Prije nego što prijeđemo na osnove VLAN-ova, zamolio bih sve vas da pauzirate ovaj video, kliknete na ikonu u donjem lijevom kutu gdje piše Networking consultant, odete na našu Facebook stranicu i tamo ga lajkate. Zatim se vratite na video i kliknite na ikonu kralja u donjem desnom kutu da biste se pretplatili na naš službeni YouTube kanal. Stalno dodajemo nove serije, sada se to odnosi na CCNA tečaj, zatim planiramo pokrenuti tečaj video lekcija CCNA Security, Network+, PMP, ITIL, Prince2 i objaviti ove prekrasne serije na našem kanalu.
Dakle, danas ćemo govoriti o osnovama VLAN-a i odgovoriti na 3 pitanja: što je VLAN, zašto nam je potreban VLAN i kako ga konfigurirati. Nadam se da ćete nakon gledanja ovog video tutoriala moći odgovoriti na sva tri pitanja.
Što je VLAN? VLAN je skraćenica za virtualnu lokalnu mrežu. Kasnije u ovom vodiču ćemo pogledati zašto je ova mreža virtualna, ali prije nego što prijeđemo na VLAN-ove, moramo razumjeti kako prekidač radi. Pregledat ćemo neka od pitanja o kojima smo raspravljali u prethodnim lekcijama.
Prvo, raspravimo što je domena višestrukih kolizija. Znamo da ovaj prekidač s 48 priključaka ima 48 domena kolizije. To znači da svaki od ovih priključaka ili uređaja spojenih na te priključke može komunicirati s drugim uređajem na drugom priključku na neovisni način bez utjecaja jedan na drugog.
Svih 48 portova ovog preklopnika dio su jedne Broadcast domene. To znači da ako je više uređaja spojeno na više priključaka i jedan od njih emitira, pojavit će se na svim priključcima na koje su spojeni preostali uređaji. Upravo tako funkcionira prekidač.
Kao da su ljudi sjedili u istoj prostoriji blizu jedni drugih, a kada bi jedan od njih nešto glasno rekao, svi bi to čuli. No, to je potpuno neučinkovito – što se više ljudi pojavi u prostoriji, to će biti bučnije i prisutni se više neće čuti. Slična je situacija s računalima - što je više uređaja spojenih na jednu mrežu, to je veća "glasnoća" emitiranja, što ne dopušta uspostavljanje učinkovite komunikacije.
Znamo da ako je jedan od ovih uređaja spojen na mrežu 192.168.1.0/24, svi ostali uređaji su dio iste mreže. Switch također mora biti spojen na mrežu s istom IP adresom. Ali ovdje prekidač, kao uređaj OSI sloja 2, može imati problema. Ako su dva uređaja spojena na istu mrežu, mogu jednostavno komunicirati s međusobnim računalima. Pretpostavimo da naša tvrtka ima “lošeg momka”, hakera, kojeg ću nacrtati gore. Ispod je moje računalo. Dakle, ovom hakeru je vrlo lako ući u moje računalo jer su naša računala dio iste mreže. To je problem.
Ako ja pripadam administrativnoj upravi i ovaj novi tip može pristupiti datotekama na mom računalu, to uopće neće biti dobro. Naravno, moje računalo ima vatrozid koji štiti od mnogih prijetnji, ali hakeru ne bi bilo teško zaobići ga.
Druga opasnost koja postoji za sve koji su članovi ove domene emitiranja je da ako netko ima problema sa emitiranjem, ta smetnja će utjecati na druge uređaje na mreži. Iako se svih 48 portova može spojiti na različite hostove, kvar jednog hosta će utjecati na ostalih 47, što nije ono što nam treba.
Za rješavanje ovog problema koristimo koncept VLAN-a ili virtualne lokalne mreže. Radi vrlo jednostavno, dijeleći ovaj veliki preklopnik s 48 priključaka na nekoliko manjih preklopnika.
Znamo da podmreže dijele jednu veliku mrežu na nekoliko malih mreža, a VLAN-ovi rade na sličan način. Dijeli preklopnik s 48 priključaka, na primjer, u 4 preklopnika s 12 priključaka, od kojih je svaki dio nove povezane mreže. Istovremeno možemo koristiti 12 portova za upravljanje, 12 portova za IP telefoniju i tako dalje, odnosno preklopnik podijeliti ne fizički, već logično, virtualno.
Dodijelio sam tri plava priključka na gornjem prekidaču za plavu VLAN10 mrežu i dodijelio tri narančasta priključka za VLAN20. Stoga će sav promet s jednog od ovih plavih priključaka ići samo na druge plave priključke, bez utjecaja na druge priključke ovog preklopnika. Promet s narančastih priključaka bit će raspodijeljen na sličan način, odnosno kao da koristimo dva različita fizička preklopnika. Stoga je VLAN način dijeljenja preklopnika na nekoliko preklopnika za različite mreže.
Nacrtao sam dva preklopnika na vrhu, ovdje imamo situaciju gdje su na lijevom preklopniku povezani samo plavi portovi za jednu mrežu, a na desnom – samo narančasti priključci za drugu mrežu, a ti preklopnici nisu ni na koji način međusobno povezani .
Recimo da želite koristiti više portova. Zamislimo da imamo 2 zgrade, svaka sa svojim upravljačkim osobljem, a za upravljanje se koriste dva narančasta porta donjeg prekidača. Stoga moramo ove priključke spojiti na sve narančaste priključke drugih preklopnika. Slična je situacija i s plavim priključcima - svi plavi priključci gornjeg prekidača moraju biti povezani s drugim priključcima slične boje. Da bismo to učinili, moramo fizički povezati ova dva preklopnika u različitim zgradama zasebnom komunikacijskom linijom; na slici je to linija između dva zelena priključka. Kao što znamo, ako su dva switcha fizički spojena, formiramo okosnicu, odnosno trunk.
Koja je razlika između običnog i VLAN preklopnika? Nije velika razlika. Kada kupite novi preklopnik, svi su priključci prema zadanim postavkama konfigurirani u VLAN načinu rada i dio su iste mreže, označene kao VLAN1. Zato kada spojimo bilo koji uređaj na jedan port, on završi spojen na sve ostale portove jer svih 48 portova pripada istom VLAN1. Ali ako konfiguriramo plave portove za rad na VLAN10 mreži, narančaste portove na VLAN20 mreži i zelene portove na VLAN1, dobit ćemo 3 različita prekidača. Dakle, korištenje načina virtualne mreže omogućuje nam logično grupiranje portova u određene mreže, dijeljenje emitiranja u dijelove i stvaranje podmreža. U ovom slučaju svaki od priključaka određene boje pripada zasebnoj mreži. Ako plavi portovi rade na mreži 192.168.1.0, a narančasti portovi rade na mreži 192.168.1.0, tada unatoč istoj IP adresi neće biti međusobno povezani jer će logično pripadati različitim preklopnicima. A kao što znamo, različite fizičke sklopke ne komuniciraju jedna s drugom osim ako nisu povezane zajedničkom komunikacijskom linijom. Stoga stvaramo različite podmreže za različite VLAN-ove.
Želio bih vam skrenuti pozornost na činjenicu da se koncept VLAN-a odnosi samo na preklopnike. Svatko tko je upoznat s protokolima enkapsulacije kao što su .1Q ili ISL zna da ni usmjerivači ni računala nemaju VLAN-ove. Kada računalo spojite npr. na jedan od plavih portova, ne mijenjate ništa u računalu, sve se promjene događaju samo na drugoj OSI razini, razini prekidača. Kada konfiguriramo portove za rad s određenom VLAN10 ili VLAN20 mrežom, preklopnik stvara VLAN bazu podataka. U svoju memoriju "bilježi" da portovi 1,3 i 5 pripadaju VLAN10, portovi 14,15 i 18 su dio VLAN20, a preostali uključeni portovi su dio VLAN1. Stoga, ako neki promet potječe s plavog priključka 1, on ide samo na priključke 3 i 5 istog VLAN-a10. Switch gleda svoju bazu podataka i vidi da bi promet, ako dolazi s jednog od narančastih portova, trebao ići samo na narančaste portove VLAN20.
Međutim, računalo ne zna ništa o tim VLAN-ovima. Kada spojimo 2 preklopnika, formira se trunk između zelenih portova. Pojam "trunk" relevantan je samo za Cisco uređaje; drugi proizvođači mrežnih uređaja, kao što je Juniper, koriste pojam Tag port ili "tagged port". Mislim da je naziv Tag port prikladniji. Kada promet potječe iz ove mreže, trunk ga prenosi na sve portove sljedećeg switcha, odnosno spajamo dva switcha od 48 portova i dobivamo jedan switch od 96 portova. Istovremeno, kada šaljemo promet s VLAN10, on postaje tagiran, odnosno dobiva oznaku koja pokazuje da je namijenjen samo za portove VLAN10 mreže. Drugi prekidač, nakon što je primio ovaj promet, čita oznaku i razumije da je to promet posebno za VLAN10 mrežu i da bi trebao ići samo na plave priključke. Slično, "narančasti" promet za VLAN20 je označen da pokaže da je namijenjen za VLAN20 priključke na drugom prekidaču.
Također smo spomenuli enkapsulaciju i ovdje postoje dvije metode enkapsulacije. Prvi je .1Q, odnosno kada organiziramo trunk, moramo osigurati enkapsulaciju. Protokol enkapsulacije .1Q otvoreni je standard koji opisuje postupak označavanja prometa. Postoji još jedan protokol pod nazivom ISL, Inter-Switch link, koji je razvio Cisco, a koji označava da promet pripada određenom VLAN-u. Svi moderni preklopnici rade s .1Q protokolom, tako da kada izvadite novi preklopnik iz kutije, ne morate koristiti nikakve naredbe za enkapsulaciju, jer prema zadanim postavkama to provodi .1Q protokol. Dakle, nakon stvaranja debla, automatski se događa enkapsulacija prometa, što omogućuje čitanje oznaka.
Sada počnimo s postavljanjem VLAN-a. Napravimo mrežu u kojoj će biti 2 switcha i dva krajnja uređaja - računala PC1 i PC2 koje ćemo kablovima spojiti na switch #0. Počnimo s osnovnim postavkama prekidača osnovne konfiguracije.
Da biste to učinili, kliknite na prekidač i idite na sučelje naredbenog retka, a zatim postavite naziv glavnog računala, nazivajući ovaj prekidač sw1. Sada prijeđimo na postavke prvog računala i postavimo statičku IP adresu 192.168.1.1 i podmrežnu masku 255.255. 255.0. Nema potrebe za zadanom adresom pristupnika jer su svi naši uređaji na istoj mreži. Zatim ćemo učiniti isto za drugo računalo, dodijelivši mu IP adresu 192.168.1.2.
Sada se vratimo na prvo računalo da pingamo drugo računalo. Kao što vidimo, ping je bio uspješan jer su oba ova računala spojena na isti preklopnik i dio su iste mreže prema zadanom VLAN1. Ako sada pogledamo sučelja prekidača, vidjet ćemo da su svi FastEthernet portovi od 1 do 24 i dva GigabitEthernet porta konfigurirani na VLAN #1. Međutim, takva pretjerana dostupnost nije potrebna, pa idemo u postavke prekidača i upisujemo naredbu show vlan da pogledamo bazu podataka virtualne mreže.
Ovdje vidite naziv VLAN1 mreže i činjenicu da svi portovi sklopke pripadaju ovoj mreži. To znači da se možete spojiti na bilo koji priključak i svi će moći "razgovarati" jedni s drugima jer su dio iste mreže.
Promijenit ćemo ovu situaciju; da bismo to učinili, prvo ćemo stvoriti dvije virtualne mreže, odnosno dodati VLAN10. Za stvaranje virtualne mreže upotrijebite naredbu poput "vlan mrežni broj".
Kao što možete vidjeti, prilikom pokušaja stvaranja mreže, sustav je prikazao poruku s popisom VLAN konfiguracijskih naredbi koje je potrebno koristiti za ovu radnju:
izlaz – primjena promjena i izlaz iz postavki;
naziv – unesite prilagođeni naziv VLAN-a;
no – poništite naredbu ili je postavite kao zadanu.
To znači da prije nego što unesete naredbu za kreiranje VLAN-a, morate unijeti naredbu za naziv, koja uključuje način rada za upravljanje imenom, a zatim nastaviti sa stvaranjem nove mreže. U tom slučaju, sustav traži da se VLAN broj može dodijeliti u rasponu od 1 do 1005.
Sada upisujemo naredbu za kreiranje VLAN-a broj 20 - vlan 20, a zatim mu dajemo ime za korisnika, što pokazuje o kakvoj se mreži radi. U našem slučaju koristimo naziv Employees naredba, odnosno mreža za zaposlenike tvrtke.
Sada moramo dodijeliti određeni port ovom VLAN-u. Ulazimo u način rada postavki prekidača int f0/1, zatim ručno prebacimo port u način pristupa pomoću naredbe za pristup načinu rada switchport i označimo koji port treba prebaciti u ovaj način rada - ovo je priključak za VLAN10 mrežu.
Vidimo da se nakon toga boja spojne točke između PC0 i switcha, boja porta, promijenila iz zelene u narančastu. Ponovno će postati zeleno čim promjene postavki stupe na snagu. Pokušajmo pingati drugo računalo. Nismo napravili nikakve promjene u mrežnim postavkama računala, ona i dalje imaju IP adrese 192.168.1.1 i 192.168.1.2. Ali ako pokušamo pingati PC0 s računala PC1, ništa neće uspjeti, jer sada ta računala pripadaju različitim mrežama: prvo VLAN10, drugo izvornom VLAN1.
Vratimo se na sučelje prekidača i konfiguriramo drugi port. Da bih to učinio, izdat ću naredbu int f0/2 i ponoviti iste korake za VLAN 20 kao što sam učinio prilikom konfiguracije prethodne virtualne mreže.
Vidimo da je sada i donji port preklopnika, na koji je spojeno drugo računalo, promijenio boju iz zelene u narančastu - mora proći nekoliko sekundi prije nego promjene postavki stupe na snagu i ponovno postane zeleno. Ako ponovno počnemo pingati drugo računalo, ništa neće raditi, jer računala i dalje pripadaju različitim mrežama, samo je PC1 sada dio VLAN1, a ne VLAN20.
Dakle, podijelili ste jedan fizički prekidač na dva različita logička prekidača. Vidite da se boja porta sada promijenila iz narančaste u zelenu, port radi, ali i dalje ne reagira jer pripada drugoj mreži.
Napravimo promjene u našem strujnom krugu - odvojimo računalo PC1 od prvog prekidača i spojimo ga na drugi prekidač, a same prekidače spojimo kabelom.
Kako bih uspostavio vezu između njih, ući ću u postavke drugog switcha i kreirati VLAN10, dajući mu naziv Management, odnosno upravljačka mreža. Zatim ću omogućiti način pristupa i navesti da je ovaj način za VLAN10. Sada se boja portova preko kojih su preklopnici povezani promijenila iz narančaste u zelenu jer su oba konfigurirana na VLAN10. Sada moramo stvoriti trunk između oba prekidača. Oba ova priključka su Fa0/2, tako da morate stvoriti trunk za Fa0/2 port prvog preklopnika pomoću naredbe trunk načina switchport. Isto se mora učiniti za drugu sklopku, nakon čega se između ova dva priključka formira trunk.
Sada, ako želim pingati PC1 s prvog računala, sve će uspjeti, jer je veza između PC0 i preklopnika #0 VLAN10 mreža, između preklopnika #1 i PC1 je također VLAN10, a oba preklopnika su povezana trunk-om .
Dakle, ako se uređaji nalaze na različitim VLAN-ovima, tada nisu međusobno povezani, ali ako su na istoj mreži, tada se promet između njih može slobodno razmjenjivati. Pokušajmo dodati još jedan uređaj na svaki prekidač.
U mrežnim postavkama dodanog računala PC2 postavit ću IP adresu na 192.168.2.1, a u postavkama PC3 adresa će biti 192.168.2.2. U ovom slučaju, portovi na koje su ova dva računala spojena bit će označeni kao Fa0/3. U postavkama prekidača #0 postavit ćemo način pristupa i označiti da je ovaj port namijenjen za VLAN20, a isto ćemo učiniti i za prekidač #1.
Ako koristim naredbu switchport access vlan 20, a VLAN20 još nije kreiran, sustav će prikazati pogrešku poput "Pristup VLAN-u ne postoji" jer su preklopnici konfigurirani za rad samo s VLAN10.
Kreirajmo VLAN20. Koristim naredbu "show VLAN" za pregled baze podataka virtualne mreže.
Možete vidjeti da je zadana mreža VLAN1, na koju su povezani portovi Fa0/4 do Fa0/24 i Gig0/1, Gig0/2. VLAN broj 10, nazvan Management, spojen je na port Fa0/1, a VLAN broj 20, nazvan prema zadanim postavkama VLAN0020, spojen je na port Fa0/3.
U principu, naziv mreže nije bitan, glavna stvar je da se ne ponavlja za različite mreže. Ako želim promijeniti naziv mreže koji sustav dodjeljuje prema zadanim postavkama, koristim naredbu vlan 20 i imenujem Employees. Mogu promijeniti ovo ime u nešto drugo, kao što su IPphones, i ako pingamo IP adresu 192.168.2.2, možemo vidjeti da naziv VLAN-a nema nikakvo značenje.
Zadnje što želim spomenuti je svrha upravljanja IP-om, o čemu smo govorili u prošloj lekciji. Da bismo to učinili koristimo naredbu int vlan1 i unesemo IP adresu 10.1.1.1 i podmrežnu masku 255.255.255.0, a zatim dodamo naredbu no shutdown. Nismo dodijelili Management IP za cijeli switch, već samo za VLAN1 portove, odnosno dodijelili smo IP adresu s koje se upravlja VLAN1 mrežom. Ako želimo upravljati VLAN2, moramo kreirati odgovarajuće sučelje za VLAN2. U našem slučaju, postoje plavi VLAN10 portovi i narančasti VLAN20 portovi, koji odgovaraju adresama 192.168.1.0 i 192.168.2.0.
VLAN10 mora imati adrese smještene u istom rasponu kako bi se na njega mogli spojiti odgovarajući uređaji. Sličnu postavku morate napraviti za VLAN20.
Ovaj prozor naredbenog retka prekidača prikazuje postavke sučelja za VLAN1, to jest izvorni VLAN.
Kako bismo konfigurirali IP za upravljanje za VLAN10, moramo stvoriti sučelje int vlan 10, a zatim dodati IP adresu 192.168.1.10 i podmrežnu masku 255.255.255.0.
Da bismo konfigurirali VLAN20, moramo stvoriti sučelje int vlan 20, a zatim dodati IP adresu 192.168.2.10 i podmrežnu masku 255.255.255.0.
Zašto je to potrebno? Ako računalo PC0 i gornji lijevi priključak sklopke #0 pripadaju mreži 192.168.1.0, PC2 pripada mreži 192.168.2.0 i spojen je na izvorni VLAN1 priključak, koji pripada mreži 10.1.1.1, tada PC0 ne može uspostaviti komunikacija s ovim switchem preko protokola SSH jer pripadaju različitim mrežama. Stoga, kako bi PC0 mogao komunicirati sa preklopnikom putem SSH ili Telneta, moramo mu dodijeliti Access pristup. Zbog toga nam je potrebno upravljanje mrežom.
Trebali bismo moći vezati PC0 pomoću SSH ili Telneta na IP adresu VLAN20 sučelja i izvršiti sve potrebne promjene putem SSH. Stoga je IP za upravljanje nužan posebno za konfiguriranje VLAN-ova, jer svaka virtualna mreža mora imati vlastitu kontrolu pristupa.
U današnjem videu raspravljali smo o mnogim pitanjima: osnovnim postavkama preklopnika, stvaranju VLAN-ova, dodjeljivanju VLAN portova, dodjeljivanju IP-a upravljanja za VLAN-ove i konfiguriranju spojnih mjesta. Neka vam ne bude neugodno ako nešto ne razumijete, to je prirodno, jer je VLAN vrlo složena i široka tema kojoj ćemo se vratiti u narednim lekcijama. Jamčim da uz moju pomoć možete postati VLAN master, ali poanta ove lekcije bila je razjasniti vam 3 pitanja: što su VLAN-ovi, zašto nam trebaju i kako ih konfigurirati.
Hvala što ste ostali s nama. Sviđaju li vam se naši članci? Želite li vidjeti više zanimljivog sadržaja? Podržite nas narudžbom ili preporukom prijateljima, 30% popusta za korisnike Habra na jedinstveni analog početnih poslužitelja, koji smo izmislili za vas: (dostupno s RAID1 i RAID10, do 24 jezgre i do 40 GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Nizozemskoj! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 USD! Pročitaj o
Izvor: www.habr.com