Antes de entrar nos conceptos básicos das VLAN, pediríavos a todos que poñades en pausa este vídeo, premades na icona da esquina inferior esquerda onde di Consultor de redes, vaiades á nosa páxina de Facebook e gústalles alí. A continuación, volve ao vídeo e fai clic na icona Rei na esquina inferior dereita para subscribirte á nosa canle oficial de YouTube. Estamos constantemente engadindo novas series, agora trátase do curso CCNA, entón pensamos comezar un curso de videoleccións CCNA Security, Network+, PMP, ITIL, Prince2 e publicar estas marabillosas series na nosa canle.
Entón, hoxe falaremos dos conceptos básicos da VLAN e responderemos a 3 preguntas: que é unha VLAN, por que necesitamos unha VLAN e como configurala. Espero que despois de ver este vídeo titorial poidas responder ás tres preguntas.
Que é VLAN? VLAN é unha abreviatura de rede de área local virtual. Máis adiante neste tutorial veremos por que esta rede é virtual, pero antes de pasar ás VLAN, necesitamos entender como funciona un interruptor. Repasaremos algunhas das preguntas que comentamos nas leccións anteriores.
En primeiro lugar, imos discutir o que é un dominio de colisión múltiple. Sabemos que este switch de 48 portos ten 48 dominios de colisión. Isto significa que cada un destes portos, ou os dispositivos conectados a estes, poden comunicarse con outro dispositivo nun porto diferente de forma independente sen que se afecten entre si.
Os 48 portos deste interruptor forman parte dun dominio de difusión. Isto significa que se varios dispositivos están conectados a varios portos e un deles está a transmitir, aparecerá en todos os portos aos que estean conectados os restantes dispositivos. Así é exactamente como funciona un interruptor.
É coma se a xente estivese sentada no mesmo cuarto preto uns dos outros, e cando un deles dixese algo en voz alta, os demais puidesen escoitalo. Non obstante, isto é completamente ineficaz: cantas máis persoas aparezan na sala, máis ruidosa será e os presentes xa non se oirán. Unha situación similar ocorre cos ordenadores: cantos máis dispositivos estean conectados a unha rede, maior será a "sonoridade" da emisión, o que non permite establecer unha comunicación eficaz.
Sabemos que se un destes dispositivos está conectado á rede 192.168.1.0/24, todos os demais dispositivos forman parte da mesma rede. O interruptor tamén debe estar conectado a unha rede co mesmo enderezo IP. Pero aquí o interruptor, como dispositivo de capa 2 OSI, pode ter un problema. Se dous dispositivos están conectados á mesma rede, poden comunicarse facilmente entre eles. Supoñamos que a nosa empresa ten un "malo", un hacker, ao que debuxarei arriba. Debaixo está o meu ordenador. Entón, é moi doado para este hacker entrar no meu ordenador porque os nosos ordenadores forman parte da mesma rede. Ese é o problema.
Se pertenzo á xestión administrativa e este novo pode acceder aos ficheiros do meu ordenador, non será nada bo. Por suposto, o meu ordenador ten un firewall que protexe contra moitas ameazas, pero non sería difícil para un hacker evitalo.
O segundo perigo que existe para todos os membros deste dominio de emisión é que se alguén ten un problema coa emisión, esa interferencia afectará a outros dispositivos da rede. Aínda que os 48 portos poden conectarse a hosts diferentes, a falla dun host afectará aos outros 47, que non é o que necesitamos.
Para solucionar este problema utilizamos o concepto de VLAN, ou rede de área local virtual. Funciona de forma moi sinxela, dividindo este interruptor grande de 48 portos en varios interruptores máis pequenos.
Sabemos que as subredes dividen unha rede grande en varias redes pequenas e as VLAN funcionan dun xeito similar. Divide un conmutador de 48 portos, por exemplo, en 4 conmutadores de 12 portos, cada un dos cales forma parte dunha nova rede conectada. Ao mesmo tempo, podemos utilizar 12 portos para a xestión, 12 portos para a telefonía IP, etc., é dicir, dividir o switch non fisicamente, senón lóxico, virtualmente.
Asignei tres portos azuis no interruptor superior para a rede azul VLAN10 e asignei tres portos laranxas para VLAN20. Así, calquera tráfico dun destes portos azuis só irá aos outros portos azuis, sen afectar aos outros portos deste switch. O tráfico dos portos laranxas distribuirase de xeito similar, é dicir, é coma se estivésemos usando dous interruptores físicos diferentes. Así, a VLAN é unha forma de dividir un switch en varios switches para diferentes redes.
Debuxei dous interruptores na parte superior, aquí temos unha situación na que no interruptor esquerdo só están conectados os portos azuis dunha rede e, á dereita, só os portos laranxas para outra rede, e estes interruptores non están conectados entre si de ningún xeito. .
Digamos que queres usar máis portos. Imaxinemos que temos 2 edificios, cada un co seu propio persoal de xestión, e que se utilizan dous portos laranxas do switch inferior para a xestión. Polo tanto, necesitamos que estes portos estean conectados a todos os portos laranxas doutros switches. A situación é similar cos portos azuis: todos os portos azuis do interruptor superior deben estar conectados a outros portos dunha cor similar. Para iso, necesitamos conectar fisicamente estes dous interruptores en edificios diferentes cunha liña de comunicación separada; na figura, esta é a liña entre os dous portos verdes. Como sabemos, se dous interruptores están conectados fisicamente, formamos unha columna vertebral ou tronco.
Cal é a diferenza entre un switch normal e un VLAN? Non é unha gran diferenza. Cando compras un novo switch, todos os portos están configurados por defecto en modo VLAN e forman parte da mesma rede, denominada VLAN1. É por iso que cando conectamos calquera dispositivo a un porto, este acaba conectado a todos os demais portos porque os 48 portos pertencen á mesma VLAN1. Pero se configuramos os portos azuis para que funcionen na rede VLAN10, os portos laranxa na rede VLAN20 e os portos verdes na VLAN1, obteremos 3 conmutadores diferentes. Así, usar o modo de rede virtual permítenos agrupar loxicamente portos en redes específicas, dividir as emisións en partes e crear subredes. Neste caso, cada un dos portos dunha cor específica pertence a unha rede separada. Se os portos azuis funcionan na rede 192.168.1.0 e os portos laranxa funcionan na rede 192.168.1.0, a pesar do mesmo enderezo IP, non estarán conectados entre si, porque loxicamente pertencerán a conmutadores diferentes. E como sabemos, os diferentes interruptores físicos non se comunican entre si a menos que estean conectados por unha liña de comunicación común. Así que creamos diferentes subredes para diferentes VLAN.
Gustaríame chamar a súa atención sobre o feito de que o concepto VLAN só se aplica aos interruptores. Calquera persoa familiarizada con protocolos de encapsulación como .1Q ou ISL sabe que nin os enrutadores nin os ordenadores teñen VLAN. Cando conectas o teu ordenador, por exemplo, a un dos portos azuis, non cambias nada no ordenador, todos os cambios ocorren só no segundo nivel OSI, o nivel de conmutación. Cando configuramos portos para traballar cunha rede VLAN10 ou VLAN20 específica, o switch crea unha base de datos VLAN. "Rexistra" na súa memoria que os portos 1,3 e 5 pertencen á VLAN10, os portos 14,15 e 18 forman parte da VLAN20 e os restantes portos implicados forman parte da VLAN1. Polo tanto, se algún tráfico se orixina do porto azul 1, só vai aos portos 3 e 5 da mesma VLAN10. O interruptor mira a súa base de datos e ve que se o tráfico procede dun dos portos laranxas, só debería ir aos portos laranxas de VLAN20.
Non obstante, o ordenador non sabe nada sobre estas VLAN. Cando conectamos 2 interruptores, fórmase un tronco entre os portos verdes. O termo "tronco" só é relevante para os dispositivos Cisco; outros fabricantes de dispositivos de rede, como Juniper, usan o termo porto etiquetado ou "porto etiquetado". Creo que o nome Tag port é máis apropiado. Cando o tráfico se orixina desta rede, o tronco transmíteo a todos os portos do seguinte switch, é dicir, conectamos dous switches de 48 portos e obtemos un switch de 96 portos. Ao mesmo tempo, cando enviamos tráfico desde VLAN10, tórnase etiquetado, é dicir, proporcionase cunha etiqueta que indica que está destinado só a portos da rede VLAN10. O segundo interruptor, despois de recibir este tráfico, le a etiqueta e entende que se trata de tráfico específico para a rede VLAN10 e que só debe ir aos portos azuis. Do mesmo xeito, o tráfico "laranxa" para VLAN20 está etiquetado para indicar que está destinado a portos VLAN20 no segundo switch.
Tamén mencionamos o encapsulamento e aquí hai dous métodos de encapsulamento. O primeiro é .1Q, é dicir, cando organizamos un tronco, debemos proporcionar o encapsulamento. O protocolo de encapsulación .1Q é un estándar aberto que describe o procedemento para marcar o tráfico. Existe outro protocolo chamado ISL, Inter-Switch link, desenvolvido por Cisco, que indica que o tráfico pertence a unha VLAN específica. Todos os interruptores modernos funcionan co protocolo .1Q, polo que cando saques un interruptor novo da caixa, non necesitas usar ningún comando de encapsulación, porque por defecto lévao a cabo o protocolo .1Q. Así, despois de crear un tronco, a encapsulación do tráfico prodúcese automaticamente, o que permite ler as etiquetas.
Agora imos comezar a configurar a VLAN. Imos crear unha rede na que haberá 2 interruptores e dous dispositivos finais: ordenadores PC1 e PC2, que conectaremos con cables para o interruptor #0. Imos comezar coa configuración básica do interruptor de configuración básica.
Para iso, faga clic no interruptor e vaia á interface da liña de comandos e, a continuación, configure o nome do servidor, chamando a este interruptor sw1. Agora pasemos á configuración do primeiro ordenador e configure o enderezo IP estático 192.168.1.1 e a máscara de subrede 255.255. 255.0. Non é necesario un enderezo de pasarela predeterminado porque todos os nosos dispositivos están na mesma rede. A continuación, faremos o mesmo para o segundo ordenador, asignándolle o enderezo IP 192.168.1.2.
Agora volvamos ao primeiro ordenador para facer ping ao segundo. Como podes ver, o ping foi exitoso porque ambos os dous ordenadores están conectados ao mesmo interruptor e forman parte da mesma rede por defecto VLAN1. Se agora miramos as interfaces do switch, veremos que todos os portos FastEthernet do 1 ao 24 e dous portos GigabitEthernet están configurados na VLAN #1. Non obstante, esa dispoñibilidade excesiva non é necesaria, polo que entramos na configuración do interruptor e introducimos o comando show vlan para mirar a base de datos da rede virtual.
Aquí ves o nome da rede VLAN1 e o feito de que todos os portos de switch pertencen a esta rede. Isto significa que pode conectarse a calquera porto e todos poderán "falar" entre eles porque forman parte da mesma rede.
Cambiaremos esta situación; para iso, primeiro imos crear dúas redes virtuais, é dicir, engadir VLAN10. Para crear unha rede virtual, use un comando como "número de rede vlan".
Como podes ver, ao tentar crear unha rede, o sistema mostrou unha mensaxe cunha lista de comandos de configuración de VLAN que se deben usar para esta acción:
saír: aplique os cambios e saia da configuración;
nome: introduza un nome de VLAN personalizado;
non: cancela o comando ou configúrao como predeterminado.
Isto significa que antes de introducir o comando create VLAN, debes introducir o comando name, que activa o modo de xestión de nomes e, a continuación, proceder a crear unha nova rede. Neste caso, o sistema solicita que o número de VLAN se poida asignar no intervalo de 1 a 1005.
Entón, agora introducimos o comando para crear o número de VLAN 20 - vlan 20, e despois dámoslle un nome para o usuario, que mostra que tipo de rede é. No noso caso, usamos o comando de nome Empregados, ou unha rede para os empregados da empresa.
Agora necesitamos asignar un porto específico a esta VLAN. Entramos no modo de configuración do interruptor int f0/1, despois cambiamos manualmente o porto ao modo de acceso mediante o comando de acceso ao modo switchport e indicamos que porto debe cambiarse a este modo: este é o porto para a rede VLAN10.
Vemos que despois disto a cor do punto de conexión entre PC0 e o switch, a cor do porto, pasou de verde a laranxa. Volverá a ser verde en canto se fagan efectivos os cambios de configuración. Imos tentar facer ping ao segundo ordenador. Non fixemos ningún cambio na configuración de rede dos ordenadores, aínda teñen enderezos IP de 192.168.1.1 e 192.168.1.2. Pero se tentamos facer ping ao ordenador PC0 desde o ordenador PC1, nada funcionará, porque agora estes ordenadores pertencen a redes diferentes: a primeira a VLAN10, a segunda a VLAN1 nativa.
Volvamos á interface do switch e configuremos o segundo porto. Para iso, emitirei o comando int f0/2 e repetirei os mesmos pasos para a VLAN 20 que fixen ao configurar a rede virtual anterior.
Vemos que agora o porto inferior do interruptor, ao que está conectado o segundo ordenador, tamén cambiou a súa cor de verde a laranxa; deben pasar uns segundos antes de que os cambios na configuración teñan efecto e volva a ser verde. Se comezamos a facer ping ao segundo ordenador de novo, nada funcionará, porque os ordenadores aínda pertencen a redes diferentes, só PC1 forma parte agora de VLAN1, non VLAN20.
Así, dividiu un interruptor físico en dous interruptores lóxicos diferentes. Ves que agora a cor do porto pasou de laranxa a verde, o porto está funcionando, pero aínda non responde porque pertence a unha rede diferente.
Fagamos cambios no noso circuíto: desconecte o ordenador PC1 do primeiro interruptor e conécteo ao segundo interruptor e conecte os interruptores cun cable.
Para establecer unha conexión entre eles, entrarei na configuración do segundo switch e crearei VLAN10, dándolle o nome de Xestión, é dicir, a rede de xestión. A continuación, activarei o modo de acceso e especificarei que este modo é para VLAN10. Agora a cor dos portos a través dos que se conectan os switches pasou de laranxa a verde porque ambos están configurados en VLAN10. Agora necesitamos crear un tronco entre ambos interruptores. Estes dous portos son Fa0/2, polo que cómpre crear un tronco para o porto Fa0/2 do primeiro switch usando o comando de tronco do modo switchport. O mesmo debe facerse para o segundo interruptor, despois do cal se forma un tronco entre estes dous portos.
Agora, se quero facer ping a PC1 desde o primeiro ordenador, todo funcionará, porque a conexión entre PC0 e switch #0 é unha rede VLAN10, entre switch #1 e PC1 tamén é VLAN10, e ambos switches están conectados por un tronco. .
Polo tanto, se os dispositivos están situados en diferentes VLAN, non están conectados entre si, pero se están na mesma rede, o tráfico pódese intercambiar libremente entre eles. Tentemos engadir un dispositivo máis a cada interruptor.
Na configuración de rede do ordenador engadido PC2, establecerei o enderezo IP en 192.168.2.1 e na configuración de PC3, o enderezo será 192.168.2.2. Neste caso, os portos aos que están conectados estes dous PCs denominaranse Fa0/3. Na configuración do switch #0 estableceremos o modo de acceso e indicaremos que este porto está destinado a VLAN20, e faremos o mesmo para o switch #1.
Se uso o comando switchport access vlan 20 e aínda non se creou VLAN20, o sistema mostrará un erro como "Access VLAN does not exist" porque os interruptores están configurados para funcionar só con VLAN10.
Imos crear VLAN20. Utilizo o comando "mostrar VLAN" para ver a base de datos da rede virtual.
Podes ver que a rede predeterminada é VLAN1, á que están conectados os portos Fa0/4 a Fa0/24 e Gig0/1, Gig0/2. A VLAN número 10, denominada Xestión, está conectada ao porto Fa0/1 e a VLAN número 20, denominada VLAN0020 por defecto, está conectada ao porto Fa0/3.
En principio, o nome da rede non importa, o principal é que non se repita para diferentes redes. Se quero cambiar o nome de rede que o sistema asigna por defecto, uso o comando vlan 20 e nomeo Empregados. Podo cambiar este nome por outro, como teléfonos IP, e se facemos ping ao enderezo IP 192.168.2.2, podemos ver que o nome da VLAN non ten significado.
O último que quero mencionar é o propósito de Xestión IP, do que falamos na última lección. Para iso utilizamos o comando int vlan1 e introducimos o enderezo IP 10.1.1.1 e a máscara de subrede 255.255.255.0 e despois engadimos o comando no shutdown. Asignamos a IP de xestión non para todo o switch, senón só para os portos VLAN1, é dicir, asignamos o enderezo IP desde o que se xestiona a rede VLAN1. Se queremos xestionar VLAN2, necesitamos crear unha interface correspondente para VLAN2. No noso caso, hai portos VLAN10 azuis e portos VLAN20 laranxas, que corresponden aos enderezos 192.168.1.0 e 192.168.2.0.
A VLAN10 debe ter enderezos situados no mesmo rango para que os dispositivos axeitados poidan conectarse a ela. Débese facer unha configuración similar para VLAN20.
Esta xanela da liña de comandos de cambio mostra a configuración da interface para a VLAN1, é dicir, a VLAN nativa.
Para configurar a IP de xestión para VLAN10, debemos crear unha interface int vlan 10 e, a continuación, engadir o enderezo IP 192.168.1.10 e a máscara de subrede 255.255.255.0.
Para configurar VLAN20, debemos crear unha interface int vlan 20, e despois engadir o enderezo IP 192.168.2.10 e a máscara de subrede 255.255.255.0.
Por que isto é necesario? Se a computadora PC0 e o porto superior esquerdo do switch #0 pertencen á rede 192.168.1.0, a PC2 pertence á rede 192.168.2.0 e está conectada ao porto VLAN1 nativo, que pertence á rede 10.1.1.1, entón PC0 non pode establecer comunicación con este switch a través do protocolo SSH porque pertencen a redes diferentes. Polo tanto, para que PC0 se comunique co switch a través de SSH ou Telnet, debemos concederlle acceso de acceso. É por iso que necesitamos a xestión da rede.
Deberíamos poder vincular PC0 mediante SSH ou Telnet ao enderezo IP da interface VLAN20 e facer os cambios que precisemos a través de SSH. Así, Xestión IP é necesaria especificamente para configurar VLAN, xa que cada rede virtual debe ter o seu propio control de acceso.
No vídeo de hoxe, falamos de moitos problemas: a configuración básica do interruptor, a creación de VLAN, a asignación de portos de VLAN, a asignación de IP de xestión para as VLAN e a configuración de troncais. Non teñas vergoña se non entendes algo, isto é natural, porque a VLAN é un tema moi complexo e amplo sobre o que volveremos en próximas leccións. Garántoche que coa miña axuda podes converterte nun mestre de VLAN, pero o obxectivo desta lección foi aclararche 3 preguntas: que son as VLAN, por que as necesitamos e como configuralas.
Grazas por estar connosco. Gústanche os nosos artigos? Queres ver máis contido interesante? Apóyanos facendo un pedido ou recomendando a amigos, Desconto do 30 % para os usuarios de Habr nun análogo único de servidores de nivel de entrada, que inventamos nós para ti: (dispoñible con RAID1 e RAID10, ata 24 núcleos e ata 40 GB DDR4).
Dell R730xd 2 veces máis barato? Só aquí nos Países Baixos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - desde $ 99! Ler sobre
Fonte: www.habr.com