Prima di entrare nei fondamenti delle VLAN, vorrei chiedere a tutti voi di mettere in pausa questo video, fare clic sull'icona nell'angolo in basso a sinistra dove dice Consulente di rete, andare sulla nostra pagina Facebook e mettere mi piace lì. Quindi torna al video e fai clic sull'icona del Re nell'angolo in basso a destra per iscriverti al nostro canale YouTube ufficiale. Aggiungiamo costantemente nuove serie, ora questo riguarda il corso CCNA, quindi abbiamo in programma di avviare un corso di lezioni video CCNA Security, Network+, PMP, ITIL, Prince2 e pubblicare queste meravigliose serie sul nostro canale.
Quindi, oggi parleremo delle basi della VLAN e risponderemo a 3 domande: cos'è una VLAN, perché abbiamo bisogno di una VLAN e come configurarla. Spero che dopo aver visto questo video tutorial sarai in grado di rispondere a tutte e tre le domande.
Cos'è la VLAN? VLAN è l'abbreviazione di rete locale virtuale. Più avanti in questo tutorial vedremo perché questa rete è virtuale, ma prima di passare alle VLAN, dobbiamo capire come funziona uno switch. Riprenderemo alcune delle domande che abbiamo discusso nelle lezioni precedenti.
Per prima cosa, parliamo di cos'è un dominio di collisione multipla. Sappiamo che questo switch a 48 porte ha 48 domini di collisione. Ciò significa che ciascuna di queste porte, o dispositivi collegati a queste porte, può comunicare con un altro dispositivo su una porta diversa in modo indipendente senza influenzarsi a vicenda.
Tutte le 48 porte di questo switch fanno parte di un dominio di trasmissione. Ciò significa che se più dispositivi sono collegati a più porte e uno di essi sta trasmettendo, apparirà su tutte le porte a cui sono collegati i restanti dispositivi. Questo è esattamente il modo in cui funziona un interruttore.
È come se le persone fossero sedute nella stessa stanza, una accanto all'altra, e quando uno di loro diceva qualcosa ad alta voce, tutti gli altri potevano sentirlo. Tuttavia, questo è del tutto inefficace: più persone compaiono nella stanza, più rumoroso diventerà e i presenti non si sentiranno più. Una situazione simile si verifica con i computer: più dispositivi sono collegati a una rete, maggiore diventa il "volume" della trasmissione, che non consente di stabilire una comunicazione efficace.
Sappiamo che se uno di questi dispositivi è connesso alla rete 192.168.1.0/24, tutti gli altri dispositivi fanno parte della stessa rete. Lo switch deve anche essere collegato a una rete con lo stesso indirizzo IP. Ma qui lo switch, in quanto dispositivo OSI layer 2, potrebbe avere un problema. Se due dispositivi sono collegati alla stessa rete, possono comunicare facilmente tra loro. Supponiamo che la nostra azienda abbia un "cattivo", un hacker, che disegnerò sopra. Sotto c'è il mio computer. Quindi è molto facile per questo hacker entrare nel mio computer perché i nostri computer fanno parte della stessa rete. Questo è il problema.
Se appartengo alla gestione amministrativa e questo nuovo ragazzo può accedere ai file sul mio computer, non andrà affatto bene. Ovviamente il mio computer ha un firewall che protegge da molte minacce, ma non sarebbe difficile per un hacker aggirarlo.
Il secondo pericolo che esiste per chiunque sia membro di questo dominio di trasmissione è che se qualcuno ha un problema con la trasmissione, l'interferenza si ripercuoterà su altri dispositivi sulla rete. Sebbene tutte le 48 porte possano essere collegate a host diversi, il guasto di un host influenzerà gli altri 47, il che non è ciò di cui abbiamo bisogno.
Per risolvere questo problema utilizziamo il concetto di VLAN, o rete locale virtuale. Funziona in modo molto semplice, dividendo questo grande switch a 48 porte in diversi switch più piccoli.
Sappiamo che le sottoreti dividono una grande rete in diverse piccole reti e le VLAN funzionano in modo simile. Divide ad esempio uno switch a 48 porte in 4 switch da 12 porte, ciascuno dei quali fa parte di una nuova rete connessa. Allo stesso tempo, possiamo utilizzare 12 porte per la gestione, 12 porte per la telefonia IP e così via, ovvero dividere lo switch non fisicamente, ma logicamente, virtualmente.
Ho assegnato tre porte blu sullo switch superiore per la rete VLAN10 blu e tre porte arancioni per VLAN20. Pertanto, qualsiasi traffico proveniente da una di queste porte blu andrà solo alle altre porte blu, senza influenzare le altre porte di questo switch. Il traffico dai porti arancioni sarà distribuito in modo simile, ovvero come se utilizzassimo due switch fisici diversi. Pertanto, la VLAN è un modo per dividere uno switch in più switch per reti diverse.
Ho disegnato due interruttori in alto, qui abbiamo una situazione in cui sull'interruttore di sinistra sono collegate solo le porte blu per una rete e su quello di destra solo le porte arancioni per un'altra rete e questi interruttori non sono collegati tra loro in alcun modo .
Supponiamo che tu voglia utilizzare più porte. Immaginiamo di avere 2 edifici, ciascuno con il proprio personale di gestione, e due porte arancioni dello switch inferiore vengono utilizzate per la gestione. Pertanto, è necessario che queste porte siano collegate a tutte le porte arancioni degli altri switch. La situazione è simile con le porte blu: tutte le porte blu dello switch superiore devono essere collegate ad altre porte di colore simile. Per fare ciò dobbiamo collegare fisicamente questi due switch in edifici diversi con una linea di comunicazione separata; in figura questa è la linea tra le due porte verdi. Come sappiamo, se due switch sono fisicamente collegati, formiamo una dorsale, o trunk.
Qual è la differenza tra uno switch normale e uno VLAN? Non è una grande differenza. Quando acquisti un nuovo switch, per impostazione predefinita tutte le porte sono configurate in modalità VLAN e fanno parte della stessa rete, designata VLAN1. Ecco perché quando colleghiamo un dispositivo a una porta, questo finisce per connettersi a tutte le altre porte perché tutte le 48 porte appartengono alla stessa VLAN1. Ma se configuriamo le porte blu per funzionare sulla rete VLAN10, le porte arancioni sulla rete VLAN20 e le porte verdi su VLAN1, otterremo 3 switch diversi. Pertanto, l'utilizzo della modalità di rete virtuale ci consente di raggruppare logicamente le porte in reti specifiche, dividere le trasmissioni in parti e creare sottoreti. In questo caso, ciascuna delle porte di un colore specifico appartiene a una rete separata. Se le porte blu funzionano sulla rete 192.168.1.0 e le porte arancioni funzionano sulla rete 192.168.1.0, nonostante lo stesso indirizzo IP, non saranno collegate tra loro, perché logicamente apparterranno a switch diversi. E come sappiamo, diversi interruttori fisici non comunicano tra loro a meno che non siano collegati da una linea di comunicazione comune. Quindi creiamo sottoreti diverse per VLAN diverse.
Vorrei attirare la vostra attenzione sul fatto che il concetto VLAN si applica solo agli switch. Chiunque abbia familiarità con i protocolli di incapsulamento come .1Q o ISL sa che né i router né i computer dispongono di VLAN. Quando colleghi il tuo computer, ad esempio, a una delle porte blu, non cambi nulla nel computer, tutte le modifiche avvengono solo al secondo livello OSI, il livello dello switch. Quando configuriamo le porte per funzionare con una specifica rete VLAN10 o VLAN20, lo switch crea un database VLAN. “Registra” nella sua memoria che le porte 1,3 e 5 appartengono alla VLAN10, le porte 14,15 e 18 fanno parte della VLAN20 e le restanti porte coinvolte fanno parte della VLAN1. Pertanto, se parte del traffico ha origine dalla porta blu 1, va solo alle porte 3 e 5 della stessa VLAN10. Lo switch esamina il suo database e vede che se il traffico proviene da una delle porte arancioni, dovrebbe andare solo alle porte arancioni della VLAN20.
Tuttavia il computer non sa nulla di queste VLAN. Quando colleghiamo 2 switch, si forma un trunk tra le porte verdi. Il termine "trunk" è rilevante solo per i dispositivi Cisco; altri produttori di dispositivi di rete, come Juniper, utilizzano il termine porta Tag o "porta contrassegnata". Penso che il nome Tag port sia più appropriato. Quando il traffico proviene da questa rete, il trunk lo trasmette a tutte le porte dello switch successivo, ovvero colleghiamo due switch a 48 porte e otteniamo uno switch a 96 porte. Allo stesso tempo, quando inviamo traffico dalla VLAN10, questo viene taggato, cioè gli viene fornita un'etichetta che mostra che è destinato solo alle porte della rete VLAN10. Il secondo switch, dopo aver ricevuto questo traffico, legge il tag e capisce che si tratta di traffico specifico per la rete VLAN10 e dovrebbe andare solo alle porte blu. Allo stesso modo, il traffico "arancione" per VLAN20 viene contrassegnato per indicare che è destinato alle porte VLAN20 sul secondo switch.
Abbiamo anche menzionato l'incapsulamento e qui ci sono due metodi di incapsulamento. Il primo è .1Q, ovvero quando organizziamo un trunk dobbiamo prevedere l'incapsulamento. Il protocollo di incapsulamento .1Q è uno standard aperto che descrive la procedura per contrassegnare il traffico. Esiste un altro protocollo chiamato ISL, Inter-Switch link, sviluppato da Cisco, che indica che il traffico appartiene a una VLAN specifica. Tutti gli switch moderni funzionano con il protocollo .1Q, quindi quando si tira fuori dalla scatola un nuovo switch, non è necessario utilizzare alcun comando di incapsulamento, perché per impostazione predefinita viene eseguito dal protocollo .1Q. Pertanto, dopo aver creato un trunk, avviene automaticamente l'incapsulamento del traffico, che consente la lettura dei tag.
Ora iniziamo a configurare la VLAN. Creiamo una rete in cui ci saranno 2 switch e due dispositivi finali: computer PC1 e PC2, che collegheremo con cavi allo switch n. 0. Iniziamo con le impostazioni di base dell'interruttore Configurazione di base.
Per fare ciò, fare clic sull'interruttore e andare all'interfaccia della riga di comando, quindi impostare il nome host, chiamando questo interruttore sw1. Passiamo ora alle impostazioni del primo computer e impostiamo l'indirizzo IP statico 192.168.1.1 e la subnet mask 255.255. 255.0. Non è necessario un indirizzo gateway predefinito perché tutti i nostri dispositivi si trovano sulla stessa rete. Successivamente faremo lo stesso per il secondo computer, assegnandogli l'indirizzo IP 192.168.1.2.
Ora torniamo al primo computer per eseguire il ping del secondo computer. Come puoi vedere, il ping ha avuto successo perché entrambi questi computer sono collegati allo stesso switch e fanno parte della stessa rete per impostazione predefinita VLAN1. Se ora guardiamo le interfacce dello switch, vedremo che tutte le porte FastEthernet da 1 a 24 e due porte GigabitEthernet sono configurate sulla VLAN n.1. Tuttavia, una disponibilità così eccessiva non è necessaria, quindi entriamo nelle impostazioni dello switch e inseriamo il comando show vlan per esaminare il database della rete virtuale.
Qui vedi il nome della rete VLAN1 e il fatto che tutte le porte dello switch appartengono a questa rete. Ciò significa che puoi connetterti a qualsiasi porta e tutte potranno “parlare” tra loro perché fanno parte della stessa rete.
Modificheremo questa situazione; per fare ciò, creeremo prima due reti virtuali, ovvero aggiungeremo VLAN10. Per creare una rete virtuale, utilizzare un comando come "numero di rete vlan".
Come puoi vedere, durante il tentativo di creare una rete, il sistema ha visualizzato un messaggio con un elenco di comandi di configurazione VLAN che devono essere utilizzati per questa azione:
esci: applica le modifiche e esci dalle impostazioni;
nome: inserisci un nome VLAN personalizzato;
no – annulla il comando o impostalo come predefinito.
Ciò significa che prima di immettere il comando di creazione VLAN, è necessario immettere il comando name, che attiva la modalità di gestione dei nomi, quindi procedere con la creazione di una nuova rete. In questo caso il sistema richiede che il numero VLAN possa essere assegnato nell'intervallo da 1 a 1005.
Quindi ora inseriamo il comando per creare la VLAN numero 20 - vlan 20, quindi assegnargli un nome per l'utente, che mostri di che tipo di rete si tratta. Nel nostro caso utilizziamo il nome Employees command, ovvero una rete per i dipendenti dell'azienda.
Ora dobbiamo assegnare una porta specifica a questa VLAN. Entriamo nella modalità impostazioni dello switch int f0/1, quindi commutiamo manualmente la porta in modalità Access utilizzando il comando switchport mode access e indichiamo quale porta deve essere commutata in questa modalità: questa è la porta per la rete VLAN10.
Vediamo che successivamente il colore del punto di connessione tra PC0 e lo switch, il colore della porta, è cambiato da verde ad arancione. Diventerà nuovamente verde non appena le modifiche alle impostazioni avranno effetto. Proviamo a eseguire il ping del secondo computer. Non abbiamo apportato alcuna modifica alle impostazioni di rete per i computer, hanno ancora gli indirizzi IP 192.168.1.1 e 192.168.1.2. Ma se proviamo a eseguire il ping del PC0 dal computer PC1, non funzionerà nulla, perché ora questi computer appartengono a reti diverse: il primo alla VLAN10, il secondo alla VLAN1 nativa.
Torniamo all'interfaccia dello switch e configuriamo la seconda porta. Per fare ciò, emetterò il comando int f0/2 e ripeterò gli stessi passaggi per la VLAN 20 come ho fatto durante la configurazione della rete virtuale precedente.
Vediamo che ora anche la porta inferiore dello switch, a cui è collegato il secondo computer, ha cambiato colore da verde ad arancione: devono passare alcuni secondi prima che le modifiche alle impostazioni abbiano effetto e diventi di nuovo verde. Se iniziamo di nuovo a eseguire il ping del secondo computer, non funzionerà nulla, perché i computer appartengono ancora a reti diverse, solo il PC1 ora fa parte della VLAN1, non della VLAN20.
Pertanto, hai diviso un interruttore fisico in due diversi interruttori logici. Vedi che ora il colore della porta è cambiato da arancione a verde, la porta funziona, ma continua a non rispondere perché appartiene a una rete diversa.
Apportiamo modifiche al nostro circuito: scolleghiamo il computer PC1 dal primo interruttore e colleghiamolo al secondo interruttore e colleghiamo gli interruttori stessi con un cavo.
Per poter stabilire una connessione tra loro, andrò nelle impostazioni del secondo switch e creerò la VLAN10, dandole il nome Management, cioè rete di gestione. Quindi abiliterò la modalità di accesso e specificherò che questa modalità è per VLAN10. Ora il colore delle porte attraverso le quali sono collegati gli switch è cambiato da arancione a verde perché sono entrambe configurate su VLAN10. Ora dobbiamo creare un trunk tra entrambi gli switch. Entrambe queste porte sono Fa0/2, quindi è necessario creare un trunk per la porta Fa0/2 del primo switch utilizzando il comando switchport mode trunk. Lo stesso va fatto per il secondo switch, dopo il quale si forma un trunk tra queste due porte.
Ora, se voglio eseguire il ping del PC1 dal primo computer, tutto funzionerà, perché la connessione tra PC0 e lo switch n. 0 è una rete VLAN10, anche tra lo switch n. 1 e il PC1 è VLAN10 ed entrambi gli switch sono collegati da un trunk .
Pertanto, se i dispositivi si trovano su VLAN diverse, non sono collegati tra loro, ma se si trovano sulla stessa rete, il traffico può essere scambiato liberamente tra loro. Proviamo ad aggiungere un altro dispositivo a ciascun interruttore.
Nelle impostazioni di rete del computer aggiunto PC2, imposterò l'indirizzo IP su 192.168.2.1 e nelle impostazioni del PC3, l'indirizzo sarà 192.168.2.2. In questo caso le porte a cui sono collegati questi due PC verranno designate Fa0/3. Nelle impostazioni dello switch n. 0 imposteremo la modalità di accesso e indicheremo che questa porta è destinata alla VLAN20, e faremo lo stesso per lo switch n. 1.
Se utilizzo il comando switchport access vlan 20 e la VLAN20 non è stata ancora creata, il sistema visualizzerà un errore come "La VLAN di accesso non esiste" perché gli switch sono configurati per funzionare solo con VLAN10.
Creiamo VLAN20. Utilizzo il comando "mostra VLAN" per visualizzare il database della rete virtuale.
Puoi vedere che la rete predefinita è VLAN1, alla quale sono collegate le porte da Fa0/4 a Fa0/24 e Gig0/1, Gig0/2. La VLAN numero 10, denominata Gestione, è connessa alla porta Fa0/1, mentre la VLAN numero 20, denominata VLAN0020 per impostazione predefinita, è connessa alla porta Fa0/3.
In linea di principio, il nome della rete non ha importanza, l'importante è che non si ripeta per reti diverse. Se voglio cambiare il nome della rete che il sistema assegna per impostazione predefinita, utilizzo il comando vlan 20 e chiamo Employees. Posso cambiare questo nome in qualcos'altro, come IPphones, e se eseguiamo il ping dell'indirizzo IP 192.168.2.2, possiamo vedere che il nome VLAN non ha significato.
L'ultima cosa che voglio menzionare è lo scopo del Management IP, di cui abbiamo parlato nell'ultima lezione. Per fare questo utilizziamo il comando int vlan1 e inseriamo l'indirizzo IP 10.1.1.1 e la subnet mask 255.255.255.0 e poi aggiungiamo il comando no shutdown. Abbiamo assegnato l'IP di gestione non all'intero switch, ma solo alle porte VLAN1, ovvero abbiamo assegnato l'indirizzo IP da cui viene gestita la rete VLAN1. Se vogliamo gestire VLAN2, dobbiamo creare un'interfaccia corrispondente per VLAN2. Nel nostro caso ci sono porte VLAN10 blu e porte VLAN20 arancioni, che corrispondono agli indirizzi 192.168.1.0 e 192.168.2.0.
La VLAN10 deve avere indirizzi situati nello stesso intervallo in modo che i dispositivi appropriati possano connettersi ad essa. Un'impostazione simile deve essere effettuata per VLAN20.
Questa finestra della riga di comando di commutazione mostra le impostazioni dell'interfaccia per VLAN1, ovvero VLAN nativa.
Per configurare l'IP di gestione per VLAN10, dobbiamo creare un'interfaccia int vlan 10, quindi aggiungere l'indirizzo IP 192.168.1.10 e la maschera di sottorete 255.255.255.0.
Per configurare VLAN20, dobbiamo creare un'interfaccia int vlan 20, quindi aggiungere l'indirizzo IP 192.168.2.10 e la maschera di sottorete 255.255.255.0.
Perché è necessario? Se il computer PC0 e la porta in alto a sinistra dello switch n. 0 appartengono alla rete 192.168.1.0, PC2 appartiene alla rete 192.168.2.0 ed è connesso alla porta nativa VLAN1, che appartiene alla rete 10.1.1.1, quindi PC0 non può stabilire comunicazione con questo switch tramite il protocollo SSH perché appartengono a reti diverse. Pertanto, affinché PC0 possa comunicare con lo switch tramite SSH o Telnet, dobbiamo concedergli l'accesso di accesso. Ecco perché abbiamo bisogno della gestione della rete.
Dovremmo essere in grado di associare PC0 utilizzando SSH o Telnet all'indirizzo IP dell'interfaccia VLAN20 e apportare eventuali modifiche necessarie tramite SSH. Pertanto, l'IP di gestione è necessario specificamente per la configurazione delle VLAN, poiché ciascuna rete virtuale deve avere il proprio controllo di accesso.
Nel video di oggi abbiamo discusso molti argomenti: impostazioni di base dello switch, creazione di VLAN, assegnazione di porte VLAN, assegnazione di IP di gestione per VLAN e configurazione di trunk. Non vergognarti se non capisci qualcosa, questo è naturale, perché la VLAN è un argomento molto complesso e ampio su cui torneremo nelle prossime lezioni. Ti garantisco che con il mio aiuto potrai diventare un VLAN master, ma lo scopo di questa lezione era chiarirti 3 domande: cosa sono le VLAN, perché ne abbiamo bisogno e come configurarle.
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, Sconto del 30% per gli utenti Habr su un analogo unico di server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com