Mielőtt rátérnénk a VLAN-ok alapjaira, megkérlek mindenkit, hogy szüneteltesse ezt a videót, kattintson a bal alsó sarokban található Hálózati tanácsadó ikonra, lépjen a Facebook oldalunkra és lájkolja ott. Ezután térjen vissza a videóhoz, és kattintson a jobb alsó sarokban található King ikonra, hogy feliratkozzon hivatalos YouTube csatornánkra. Folyamatosan adunk hozzá új sorozatokat, ez most a CCNA tanfolyamot érinti, majd tervezzük, hogy elindítunk egy videóleckéket CCNA Security, Network+, PMP, ITIL, Prince2 és ezeket a csodálatos sorozatokat közzétesszük csatornánkon.
Tehát ma a VLAN alapjairól fogunk beszélni, és válaszolunk 3 kérdésre: mi az a VLAN, miért van szükségünk VLAN-ra és hogyan kell konfigurálni. Remélem, hogy az oktatóvideó megtekintése után mindhárom kérdésre választ tud majd adni.
Mi az a VLAN? A VLAN a virtuális helyi hálózat rövidítése. Az oktatóanyag későbbi részében megvizsgáljuk, miért virtuális ez a hálózat, de mielőtt továbblépnénk a VLAN-okra, meg kell értenünk, hogyan működik a kapcsoló. Áttekintünk néhány kérdést, amelyeket az előző leckékben megvitattunk.
Először beszéljük meg, mi az a többszörös ütközési tartomány. Tudjuk, hogy ennek a 48 portos kapcsolónak 48 ütközési tartománya van. Ez azt jelenti, hogy ezek a portok vagy az ezekhez a portokhoz csatlakoztatott eszközök egymástól függetlenül kommunikálhatnak egy másik porton lévő másik eszközzel, anélkül, hogy egymásra hatnának.
Ennek a kapcsolónak mind a 48 portja egyetlen Broadcast Domain része. Ez azt jelenti, hogy ha több eszköz csatlakozik több porthoz, és ezek közül az egyik sugároz, akkor ez megjelenik az összes porton, amelyhez a többi eszköz csatlakoztatva van. Egy kapcsoló pontosan így működik.
Mintha ugyanabban a szobában ülnének az emberek egymás közelében, és ha valamelyikük hangosan mond valamit, azt mindenki más is hallotta. Ez azonban teljesen hatástalan - minél több ember jelenik meg a helyiségben, annál zajosabb lesz, és a jelenlévők többé nem hallják egymást. Hasonló helyzet adódik a számítógépekkel - minél több eszköz csatlakozik egy hálózathoz, annál nagyobb lesz az adás „hangossága”, ami nem teszi lehetővé a hatékony kommunikáció kialakítását.
Tudjuk, hogy ha ezen eszközök egyike csatlakozik a 192.168.1.0/24 hálózathoz, akkor az összes többi eszköz ugyanannak a hálózatnak a része. A kapcsolót egy azonos IP-című hálózathoz is csatlakoztatni kell. De itt a kapcsolóval, mint OSI 2. rétegű eszközzel lehet probléma. Ha két eszköz csatlakozik ugyanahhoz a hálózathoz, könnyen tudnak kommunikálni egymás számítógépeivel. Tegyük fel, hogy a cégünknek van egy „rosszfiúja”, egy hacker, akit fentebb megrajzolok. Alatta a számítógépem. Tehát ez a hacker nagyon könnyen behatol a számítógépembe, mert számítógépeink ugyanannak a hálózatnak a részei. Ez a probléma.
Ha az adminisztratív menedzsmenthez tartozom, és ez az új srác hozzáférhet a számítógépemen lévő fájlokhoz, az egyáltalán nem lesz jó. Természetesen a számítógépemen van egy tűzfal, ami sok fenyegetés ellen véd, de ezt egy hackernek nem lenne nehéz megkerülni.
A második veszély, amely mindenki számára fennáll, aki tagja ennek a szórási tartománynak, hogy ha valakinek problémája van a sugárzással, az az interferencia a hálózat többi eszközére is hatással lesz. Bár mind a 48 port csatlakoztatható különböző gazdagépekhez, az egyik gazdagép meghibásodása hatással lesz a másik 47-re, amire nincs szükségünk.
A probléma megoldására a VLAN vagy virtuális helyi hálózat fogalmát használjuk. Nagyon egyszerűen működik, ezt az egy nagy 48 portos kapcsolót több kisebb kapcsolóra osztja.
Tudjuk, hogy az alhálózatok egy nagy hálózatot több kis hálózatra osztanak fel, és a VLAN-ok is hasonló módon működnek. Például egy 48 portos switchet 4 12 portos switchre oszt, amelyek mindegyike egy új csatlakoztatott hálózat része. Ugyanakkor 12 portot használhatunk menedzsmentre, 12 portot IP telefonálásra és így tovább, vagyis nem fizikailag, hanem logikailag, virtuálisan oszthatjuk fel a switchet.
Három kék portot jelöltem ki a felső kapcsolón a kék VLAN10 hálózathoz, és három narancssárga portot rendeltem a VLAN20-hoz. Így az egyik kék portról érkező forgalom csak a többi kék portra irányul, anélkül, hogy ez befolyásolná a kapcsoló többi portját. A narancssárga portok forgalmát hasonlóan osztják el, vagyis olyan, mintha két különböző fizikai kapcsolót használnánk. Így a VLAN egy mód arra, hogy egy kapcsolót több switchre oszthassunk különböző hálózatokhoz.
Rajzoltam két kapcsolót a tetejére, itt van olyan helyzet, hogy a bal kapcsolóra csak az egyik hálózathoz tartozó kék portok vannak csatlakoztatva, a jobb oldalon pedig a másik hálózathoz csak a narancssárga portok, és ezek a kapcsolók semmilyen módon nem kapcsolódnak egymáshoz. .
Tegyük fel, hogy több portot szeretne használni. Képzeljük el, hogy van 2 épületünk, mindegyiknek saját kezelőszemélyzete van, és az alsó kapcsoló két narancssárga portját használják a kezelésre. Ezért ezeket a portokat más kapcsolók összes narancssárga portjához kell csatlakoztatnunk. Hasonló a helyzet a kék portokkal - a felső kapcsoló összes kék portját más, hasonló színű portokhoz kell csatlakoztatni. Ehhez ezt a két különböző épületben lévő switchet fizikailag külön kommunikációs vezetékkel kell összekötnünk, az ábrán ez a két zöld port közötti vonal. Mint tudjuk, ha két kapcsoló fizikailag össze van kötve, akkor gerincet, vagyis törzset képezünk.
Mi a különbség a normál és a VLAN switch között? Nem nagy különbség. Új kapcsoló vásárlásakor alapértelmezés szerint minden port VLAN módban van konfigurálva, és ugyanannak a hálózatnak a részét képezi, amelyet VLAN1-nek neveznek. Ezért van az, hogy amikor bármely eszközt egy porthoz csatlakoztatunk, az az összes többi porthoz kapcsolódik, mivel mind a 48 port ugyanahhoz a VLAN1-hez tartozik. De ha a kék portokat úgy konfiguráljuk, hogy a VLAN10 hálózaton működjenek, a narancssárga portokat a VLAN20 hálózaton és a zöld portokat a VLAN1-en, akkor 3 különböző kapcsolót kapunk. Így a virtuális hálózati mód használatával logikailag csoportosíthatjuk a portokat meghatározott hálózatokba, az adásokat részekre bonthatjuk, és alhálózatokat hozhatunk létre. Ebben az esetben az adott színű portok mindegyike külön hálózathoz tartozik. Ha a kék portok a 192.168.1.0 hálózaton, a narancssárga portok pedig a 192.168.1.0 hálózaton működnek, akkor az azonos IP cím ellenére nem fognak egymáshoz kapcsolódni, mert logikailag különböző switchekhez fognak tartozni. És mint tudjuk, a különböző fizikai kapcsolók csak akkor kommunikálnak egymással, ha egy közös kommunikációs vonal köti össze őket. Így a különböző VLAN-okhoz különböző alhálózatokat hozunk létre.
Szeretném felhívni a figyelmet arra, hogy a VLAN koncepció csak a switchekre vonatkozik. Aki ismeri az olyan beágyazási protokollokat, mint a .1Q vagy az ISL, tudja, hogy sem az útválasztóknak, sem a számítógépeknek nincs VLAN-ja. Amikor a számítógépet például az egyik kék porthoz csatlakoztatja, akkor a számítógépen nem változtat semmit, minden változás csak a második OSI-szinten, a kapcsoló szintjén történik. Amikor a portokat úgy konfiguráljuk, hogy egy adott VLAN10 vagy VLAN20 hálózattal működjenek, a switch létrehoz egy VLAN adatbázist. „Rögzíti” a memóriájában, hogy az 1,3-es, 5-as és 10-ös port a VLAN14,15-hez, a 18-es, 20-ös és 1-as port a VLAN1-hoz, a többi érintett port pedig a VLAN3-hez tartozik. Ezért, ha a forgalom egy része a kék 5-es portról származik, az csak ugyanazon VLAN10 20-as és XNUMX-ös portjára megy. A switch megnézi az adatbázisát, és azt látja, hogy ha a forgalom valamelyik narancssárga portról érkezik, akkor annak csak a VLANXNUMX narancssárga portjaira kell mennie.
A számítógép azonban semmit sem tud ezekről a VLAN-okról. Ha 2 kapcsolót csatlakoztatunk, a zöld portok között trönk alakul ki. A „trunk” kifejezés csak a Cisco eszközökre vonatkozik; más hálózati eszközök gyártói, például a Juniper a Tag port vagy a „tagged port” kifejezést használják. Szerintem a Tag port név megfelelőbb. Amikor ebből a hálózatból indul a forgalom, a trönk a következő switch összes portjára továbbítja, azaz csatlakoztatunk két 48 portos switchet és kapunk egy 96 portos switchet. Ugyanakkor, amikor forgalmat küldünk a VLAN10-ről, az címkézett lesz, azaz olyan címkével látják el, amely azt mutatja, hogy csak a VLAN10 hálózat portjaira szánják. A második kapcsoló, miután megkapta ezt a forgalmat, beolvassa a címkét, és megérti, hogy ez a forgalom kifejezetten a VLAN10 hálózatra vonatkozik, és csak kék portokra szabad mennie. Hasonlóképpen, a VLAN20 "narancssárga" forgalmát címkével látják el, jelezve, hogy a második kapcsoló VLAN20 portjaira szánják.
Említettük a kapszulázást is, és itt kétféle tokozási mód létezik. Az első a .1Q, vagyis amikor törzset szervezünk, akkor tokozást kell biztosítanunk. A .1Q beágyazási protokoll egy nyílt szabvány, amely leírja a forgalom címkézésének eljárását. Létezik egy másik ISL nevű protokoll, a Cisco által kifejlesztett Inter-Switch link, amely azt jelzi, hogy a forgalom egy adott VLAN-hoz tartozik. Minden modern kapcsoló a .1Q protokollal működik, így ha egy új kapcsolót kiveszünk a dobozból, nem kell semmilyen beágyazási parancsot használnunk, mert alapértelmezés szerint a .1Q protokoll hajtja végre. Így a trönk létrehozása után automatikusan megtörténik a forgalom beágyazása, amely lehetővé teszi a címkék olvasását.
Most kezdjük el a VLAN beállítását. Hozzunk létre egy hálózatot, amelyben 2 kapcsoló és két végberendezés lesz - PC1 és PC2 számítógép, amelyeket kábelekkel fogunk összekötni a 0. kapcsolóhoz. Kezdjük az Alapkonfiguráció kapcsoló alapbeállításaival.
Ehhez kattintson a kapcsolóra, és lépjen a parancssori felületre, majd állítsa be a gazdagép nevét, hívja ezt a kapcsolót sw1-nek. Most térjünk át az első számítógép beállításaira, és állítsuk be a statikus IP-címet 192.168.1.1-re és az alhálózati maszkot 255.255-re. 255.0. Nincs szükség alapértelmezett átjáró címre, mert minden eszközünk ugyanazon a hálózaton van. Ezután ugyanezt tesszük a második számítógéppel is, hozzárendelve a 192.168.1.2 IP-címet.
Most térjünk vissza az első számítógéphez a második számítógép pingeléséhez. Amint láthatja, a ping sikeres volt, mert mindkét számítógép ugyanahhoz a kapcsolóhoz csatlakozik, és alapértelmezés szerint ugyanannak a hálózatnak a része a VLAN1. Ha most megnézzük a kapcsolófelületeket, látni fogjuk, hogy az összes FastEthernet port 1-től 24-ig és két GigabitEthernet port az 1-es VLAN-on van konfigurálva. Ilyen túlzott rendelkezésre állásra azonban nincs szükség, ezért bemegyünk a kapcsolóbeállításokba, és beírjuk a show vlan parancsot, hogy megnézzük a virtuális hálózati adatbázist.
Itt látható a VLAN1 hálózat neve és az a tény, hogy az összes switch port ehhez a hálózathoz tartozik. Ez azt jelenti, hogy bármelyik porthoz csatlakozhat, és mindannyian képesek lesznek „beszélni” egymással, mivel ugyanannak a hálózatnak a részei.
Változtatni fogunk ezen a helyzeten, ehhez először két virtuális hálózatot hozunk létre, azaz hozzáadjuk a VLAN10-et. Virtuális hálózat létrehozásához használjon olyan parancsot, mint a „vlan network number”.
Amint láthatja, a hálózat létrehozása során a rendszer üzenetet jelentetett meg a művelethez használandó VLAN konfigurációs parancsok listájával:
kilépés – módosítások alkalmazása és kilépési beállítások;
név – adja meg az egyéni VLAN-nevet;
nem – törölje a parancsot, vagy állítsa be alapértelmezettként.
Ez azt jelenti, hogy a VLAN létrehozása parancs megadása előtt meg kell adnia a név parancsot, amely bekapcsolja a névkezelési módot, majd folytatni kell egy új hálózat létrehozását. Ebben az esetben a rendszer kéri, hogy a VLAN-szám hozzárendelhető-e az 1 és 1005 közötti tartományban.
Tehát most beírjuk a parancsot, hogy hozzuk létre a 20-as VLAN-számot - vlan 20, majd adunk neki egy nevet a felhasználónak, ami megmutatja, hogy milyen hálózatról van szó. Esetünkben az Employees command elnevezést, vagy a vállalati alkalmazottak hálózatát használjuk.
Most egy adott portot kell hozzárendelnünk ehhez a VLAN-hoz. Belépünk a kapcsolóbeállítási módba in f0/1, majd a portot manuálisan Access módba kapcsoljuk a switchport mode access paranccsal, és jelezzük, hogy melyik portot kell ebbe az üzemmódba kapcsolni - ez a VLAN10 hálózat portja.
Azt látjuk, hogy ezt követően a PC0 és a switch közötti csatlakozási pont színe, a port színe zöldről narancssárgára változott. Amint a beállítások módosítása érvénybe lép, újra zöldre vált. Próbáljuk meg pingelni a második számítógépet. A számítógépek hálózati beállításain nem változtattunk, továbbra is 192.168.1.1 és 192.168.1.2 IP címek vannak. De ha megpróbáljuk pingelni a PC0-et a PC1 számítógépről, semmi sem fog működni, mert most ezek a számítógépek különböző hálózatokhoz tartoznak: az első a VLAN10-hez, a második a natív VLAN1-hez.
Térjünk vissza a switch interfészhez, és állítsuk be a második portot. Ehhez kiadom az int f0/2 parancsot, és megismétlem ugyanazokat a lépéseket VLAN 20 esetén, mint az előző virtuális hálózat beállításakor.
Azt látjuk, hogy mostanra a kapcsoló alsó portja is, amelyre a második számítógép csatlakozik, szintén zöldről narancssárgára változtatta a színét - néhány másodpercnek el kell telnie, mire a beállítások módosítása életbe lép, és újra zöldre vált. Ha újra elkezdjük pingelni a második gépet, akkor semmi sem fog menni, mert a gépek továbbra is más hálózatokhoz tartoznak, csak a PC1 a VLAN1 része, a VLAN20 nem.
Így egy fizikai kapcsolót két különböző logikai kapcsolóra osztott. Látja, hogy most a port színe narancssárgáról zöldre változott, a port működik, de még mindig nem válaszol, mert egy másik hálózathoz tartozik.
Változtassuk meg az áramkörünket - válassza le a PC1 számítógépet az első kapcsolóról, és csatlakoztassa a második kapcsolóhoz, és csatlakoztassa magukat a kapcsolókat egy kábellel.
Ahhoz, hogy kapcsolatot létesítsek közöttük, bemegyek a második switch beállításaiba, és létrehozom a VLAN10-et, aminek a Management nevet adom, vagyis a felügyeleti hálózatot. Ezután engedélyezem a hozzáférési módot, és megadom, hogy ez a mód a VLAN10-hez való. Mostanra azoknak a portoknak a színe, amelyeken keresztül a kapcsolók csatlakoztatva vannak, narancssárgáról zöldre változott, mivel mindkettő a VLAN10-en van konfigurálva. Most egy fővonalat kell létrehoznunk a két kapcsoló között. Mindkét port Fa0/2, ezért a switchport mode trunk paranccsal létre kell hoznia egy fővonalat az első kapcsoló Fa0/2 portjához. Ugyanígy kell eljárni a második kapcsolónál is, ami után e két port között trönk alakul ki.
Ha most az első gépről akarok pingelni PC1-et, akkor minden menni fog, mert a PC0 és a 0. kapcsoló között VLAN10 hálózat, az 1. switch és PC1 között szintén VLAN10, és mindkét kapcsolót egy trönk köti össze. .
Tehát, ha az eszközök különböző VLAN-okon helyezkednek el, akkor nem kapcsolódnak egymáshoz, de ha ugyanazon a hálózaton vannak, akkor a forgalom szabadon cserélhető közöttük. Próbáljunk meg egy további eszközt hozzáadni minden kapcsolóhoz.
A hozzáadott PC2 számítógép hálózati beállításainál az IP címet 192.168.2.1-re állítom, a PC3 beállításaiban pedig a 192.168.2.2 címet. Ebben az esetben azok a portok, amelyekhez ez a két PC csatlakozik, Fa0/3 jelzésűek lesznek. A 0. kapcsoló beállításainál beállítjuk az Access módot, és jelezzük, hogy ez a port a VLAN20-hoz készült, és ugyanezt tesszük az 1. kapcsolóval is.
Ha a switchport access vlan 20 parancsot használom, és a VLAN20 még nem jött létre, akkor a rendszer „A VLAN hozzáférés nem létezik” üzenetet jelenít meg, mivel a kapcsolók úgy vannak beállítva, hogy csak a VLAN10-el működjenek.
Hozzuk létre a VLAN20-at. A "show VLAN" parancsot használom a virtuális hálózati adatbázis megtekintéséhez.
Látható, hogy az alapértelmezett hálózat a VLAN1, amelyre az Fa0/4-Fa0/24 és a Gig0/1, Gig0/2 portok csatlakoznak. A 10-es számú, Management nevű VLAN az Fa0/1 porthoz, a 20-as számú, alapértelmezés szerint VLAN0020 nevű VLAN pedig az Fa0/3 porthoz csatlakozik.
Elvileg a hálózat neve nem számít, a lényeg, hogy ne ismétlődjön meg különböző hálózatoknál. Ha meg akarom változtatni a rendszer által alapértelmezés szerint hozzárendelt hálózatnevet, akkor a vlan 20 parancsot használom és az Employees nevet. Ezt a nevet megváltoztathatom valami másra, például IPphone-ra, és ha megpingeljük a 192.168.2.2 IP-címet, akkor láthatjuk, hogy a VLAN névnek nincs értelme.
Az utolsó dolog, amit szeretnék megemlíteni, az a Management IP célja, amelyről az előző leckében beszéltünk. Ehhez használjuk az int vlan1 parancsot, és írjuk be a 10.1.1.1 IP-címet és a 255.255.255.0 alhálózati maszkot, majd adjuk hozzá a no shutdown parancsot. Nem a teljes switch-hez, hanem csak a VLAN1 portokhoz rendeltünk Management IP-t, vagyis azt az IP címet adtuk ki, amelyről a VLAN1 hálózatot kezelik. Ha a VLAN2-t szeretnénk kezelni, létre kell hoznunk egy megfelelő interfészt a VLAN2 számára. Esetünkben kék VLAN10 portok és narancssárga VLAN20 portok találhatók, amelyek a 192.168.1.0 és 192.168.2.0 címeknek felelnek meg.
A VLAN10 címeinek ugyanabban a tartományban kell lenniük, hogy a megfelelő eszközök csatlakozhassanak hozzá. Hasonló beállítást kell végezni a VLAN20-nál is.
Ez a switch parancssori ablak a VLAN1, azaz a natív VLAN interfész beállításait mutatja.
A VLAN10 felügyeleti IP-címének konfigurálásához létre kell hoznunk egy interfész int vlan 10-et, majd hozzá kell adni a 192.168.1.10 IP-címet és a 255.255.255.0 alhálózati maszkot.
A VLAN20 konfigurálásához létre kell hoznunk egy interfész int vlan 20-at, majd hozzá kell adni a 192.168.2.10 IP-címet és a 255.255.255.0 alhálózati maszkot.
Miért van erre szükség? Ha a PC0 számítógép és a 0. kapcsoló bal felső portja a 192.168.1.0 hálózathoz tartozik, a PC2 a 192.168.2.0 hálózathoz tartozik és a natív VLAN1 porthoz csatlakozik, amely a 10.1.1.1 hálózathoz tartozik, akkor a PC0 nem tud létrehozni Ezzel a kapcsolóval az SSH protokollon keresztül kommunikálnak, mert különböző hálózatokhoz tartoznak. Ezért ahhoz, hogy a PC0 SSH-n vagy Telneten keresztül kommunikálhasson a switch-el, hozzáférési hozzáférést kell biztosítanunk számára. Ezért van szükségünk a hálózatkezelésre.
A PC0-t SSH vagy Telnet használatával össze kell tudnunk kötni a VLAN20 interfész IP-címével, és SSH-n keresztül elvégezni a szükséges változtatásokat. Így a Management IP-re kifejezetten a VLAN-ok konfigurálásához van szükség, mivel minden virtuális hálózatnak saját hozzáférés-vezérléssel kell rendelkeznie.
A mai videóban sok kérdést megvitattunk: alapvető kapcsolóbeállítások, VLAN-ok létrehozása, VLAN-portok hozzárendelése, Management IP hozzárendelése VLAN-okhoz és trönkek konfigurálása. Ne szégyelld magad, ha valamit nem értesz, ez természetes, mert a VLAN egy nagyon összetett és tág téma, amelyre a következő órákon még visszatérünk. Garantálom, hogy az én segítségemmel VLAN mesterré válhatsz, de ennek a leckének a lényege az volt, hogy 3 kérdést tisztázzunk számodra: mik azok a VLAN-ok, miért van szükségünk rájuk és hogyan állítsuk be őket.
Köszönjük, hogy velünk tartott. Tetszenek cikkeink? További érdekes tartalmakat szeretne látni? Támogass minket rendeléssel vagy ajánlj ismerőseidnek, 30% kedvezmény a Habr felhasználóknak a belépő szintű szerverek egyedülálló analógjára, amelyet mi találtunk ki Önnek: (RAID1 és RAID10, akár 24 maggal és akár 40 GB DDR4-gyel is elérhető).
Dell R730xd kétszer olcsóbb? Csak itt Hollandiában! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 dollártól! Olvasni valamiről
Forrás: will.com