🥇Cisco 200-125 CCNA v3.0 apmācība. 11. diena: VLAN pamati

Pirms mēs iedziļināmies VLAN pamatos, es aicinu jūs visus apturēt šo videoklipu, noklikšķiniet uz ikonas apakšējā kreisajā stūrī, kur ir rakstīts Tīkla konsultants, dodieties uz mūsu Facebook lapu un tur patīk. Pēc tam atgriezieties videoklipā un noklikšķiniet uz King ikonas apakšējā labajā stūrī, lai abonētu mūsu oficiālo YouTube kanālu. Mēs pastāvīgi pievienojam jaunas sērijas, tagad tas attiecas uz CCNA kursu, tad plānojam sākt video nodarbību kursu CCNA Security, Network+, PMP, ITIL, Prince2 un publicēt šīs brīnišķīgās sērijas mūsu kanālā.

Tātad, šodien mēs runāsim par VLAN pamatiem un atbildēsim uz 3 jautājumiem: kas ir VLAN, kāpēc mums ir nepieciešams VLAN un kā to konfigurēt. Ceru, ka pēc šīs video pamācības noskatīšanās varēsi atbildēt uz visiem trim jautājumiem.

Kas ir VLAN? VLAN ir virtuālā lokālā tīkla saīsinājums. Vēlāk šajā apmācībā apskatīsim, kāpēc šis tīkls ir virtuāls, taču pirms pārejam uz VLAN, mums ir jāsaprot, kā darbojas slēdzis. Mēs pārskatīsim dažus jautājumus, kurus apspriedām iepriekšējās nodarbībās.

Vispirms apspriedīsim, kas ir vairāku sadursmju domēns. Mēs zinām, ka šim 48 portu slēdzim ir 48 sadursmes domēni. Tas nozīmē, ka katrs no šiem portiem vai tiem pievienotās ierīces var neatkarīgi sazināties ar citu ierīci citā portā, viena otru neietekmējot.

Visi 48 šī slēdža porti ir daļa no viena apraides domēna. Tas nozīmē, ka, ja vairākas ierīces ir pievienotas vairākiem portiem un viena no tām pārraida, tas tiks parādīts visos portos, kuriem ir pievienotas pārējās ierīces. Tieši tā darbojas slēdzis.

Tas ir tā, it kā cilvēki sēdētu vienā telpā tuvu viens otram, un, kad kāds no viņiem kaut ko skaļi pateica, visi pārējie to varēja dzirdēt. Taču tas ir pilnīgi neefektīvi – jo vairāk cilvēku parādīsies telpā, jo tā kļūs trokšņaināka un klātesošie viens otru vairs nedzirdēs. Līdzīga situācija rodas ar datoriem - jo vairāk ierīču tiek pievienots vienam tīklam, jo lielāks kļūst apraides “skaļums”, kas neļauj izveidot efektīvu saziņu.

Mēs zinām, ka, ja viena no šīm ierīcēm ir savienota ar 192.168.1.0/24 tīklu, visas pārējās ierīces ir viena tīkla daļa. Slēdžam arī jābūt savienotam ar tīklu ar tādu pašu IP adresi. Bet šeit slēdzim kā OSI 2. slāņa ierīcei var būt problēma. Ja divas ierīces ir pievienotas vienam tīklam, tās var viegli sazināties viena ar otras datoriem. Pieņemsim, ka mūsu uzņēmumā ir “sliktais puisis”, hakeris, kuru es uzzīmēšu augstāk. Zem tā ir mans dators. Tātad šim hakeram ir ļoti viegli ielauzties manā datorā, jo mūsu datori ir daļa no viena tīkla. Tā ir problēma.

Ja es piederu administratīvajai vadībai un šis jaunais puisis var piekļūt failiem manā datorā, tas nemaz nebūs labi. Protams, manam datoram ir ugunsmūris, kas pasargā no daudziem draudiem, taču hakeram to apiet nebūtu grūti.

Otrs apdraudējums, kas pastāv ikvienam, kas ir šī apraides domēna dalībnieks, ir tāds, ka, ja kādam ir problēmas ar apraidi, šie traucējumi ietekmēs citas tīkla ierīces. Lai gan visus 48 portus var savienot ar dažādiem resursdatoriem, viena resursdatora kļūme ietekmēs pārējos 47, kas mums nav vajadzīgs.
Lai atrisinātu šo problēmu, mēs izmantojam VLAN jeb virtuālā lokālā tīkla jēdzienu. Tas darbojas ļoti vienkārši, sadalot šo vienu lielo 48 portu slēdzi vairākos mazākos slēdžos.

Mēs zinām, ka apakštīkli sadala vienu lielu tīklu vairākos mazos tīklos, un VLAN darbojas līdzīgi. Tas sadala, piemēram, 48 portu slēdzi 4 slēdžos ar 12 portiem, no kuriem katrs ir daļa no jauna savienota tīkla. Tajā pašā laikā mēs varam izmantot 12 portus pārvaldībai, 12 portus IP telefonijai un tā tālāk, tas ir, sadalīt slēdzi nevis fiziski, bet loģiski, virtuāli.

Es piešķīru trīs zilus portus augšējā slēdžā zilajam VLAN10 tīklam un piešķīru trīs oranžos portus VLAN20. Tādējādi jebkura satiksme no viena no šiem zilajiem portiem tiks novirzīta tikai uz citiem zilajiem portiem, neietekmējot pārējos šī slēdža portus. Satiksme no oranžajām pieslēgvietām tiks sadalīta līdzīgi, tas ir, it kā mēs izmantojam divus dažādus fiziskos slēdžus. Tādējādi VLAN ir veids, kā sadalīt slēdzi vairākos slēdžos dažādiem tīkliem.

Uzzīmēju augšā divus slēdžus, te mums ir situācija, ka kreisajā slēdzī ir pieslēgti tikai zili porti vienam tīklam, bet labajā - tikai oranžie porti citam tīklam, un šie slēdži nav savienoti viens ar otru nekādi. .

Pieņemsim, ka vēlaties izmantot vairāk portu. Iedomāsimies, ka mums ir 2 ēkas, katrā ir savs vadības personāls, un vadībai tiek izmantoti divi apakšējā slēdža oranžie porti. Tāpēc mums ir nepieciešams, lai šie porti būtu savienoti ar visiem citu slēdžu oranžajiem portiem. Līdzīgi ir ar zilajiem portiem – visas augšējā slēdža zilās pieslēgvietas ir jāsavieno ar citām līdzīgas krāsas pieslēgvietām. Lai to izdarītu, mums ir fiziski jāsavieno šie divi slēdži dažādās ēkās ar atsevišķu sakaru līniju; attēlā tā ir līnija starp diviem zaļajiem portiem. Kā zināms, ja divi slēdži ir fiziski savienoti, mēs veidojam mugurkaulu jeb stumbru.

Kāda ir atšķirība starp parasto un VLAN slēdzi? Tā nav liela atšķirība. Pērkot jaunu slēdzi, pēc noklusējuma visi porti ir konfigurēti VLAN režīmā un ir daļa no tā paša tīkla, kas apzīmēts ar VLAN1. Tāpēc, kad mēs savienojam jebkuru ierīci ar vienu portu, tā tiek savienota ar visiem pārējiem portiem, jo visi 48 porti pieder vienam VLAN1. Bet, ja mēs konfigurēsim zilos portus darbam VLAN10 tīklā, oranžos portus VLAN20 tīklā un zaļos portus VLAN1, mēs iegūsim 3 dažādus slēdžus. Tādējādi virtuālā tīkla režīma izmantošana ļauj loģiski grupēt portus konkrētos tīklos, sadalīt apraides daļās un izveidot apakštīklus. Šajā gadījumā katrs no noteiktas krāsas portiem pieder atsevišķam tīklam. Ja zilie porti strādā 192.168.1.0 tīklā un oranžie porti 192.168.1.0 tīklā, tad, neskatoties uz to pašu IP adresi, tie netiks savienoti viens ar otru, jo loģiski piederēs dažādiem slēdžiem. Un, kā mēs zinām, dažādi fiziskie slēdži nesazinās savā starpā, ja vien tie nav savienoti ar kopēju sakaru līniju. Tāpēc mēs izveidojam dažādus apakštīklus dažādiem VLAN.

Vēlos vērst jūsu uzmanību uz to, ka VLAN koncepcija attiecas tikai uz slēdžiem. Ikviens, kurš pārzina iekapsulēšanas protokolus, piemēram, .1Q vai ISL, zina, ka ne maršrutētājiem, ne datoriem nav VLAN. Pieslēdzot datoru, piemēram, kādam no zilajiem portiem, datorā neko nemaina, visas izmaiņas notiek tikai otrajā OSI līmenī, slēdža līmenī. Kad mēs konfigurējam portus darbam ar noteiktu VLAN10 vai VLAN20 tīklu, slēdzis izveido VLAN datu bāzi. Tas “reģistrē” savā atmiņā, ka porti 1,3, 5 un 10 pieder VLAN14,15, porti 18, 20 un 1 ir daļa no VLAN1, un pārējie iesaistītie porti ir daļa no VLAN3. Tāpēc, ja daļa trafika rodas no zilā porta 5, tā iet tikai uz tā paša VLAN10 portiem 20 un XNUMX. Slēdzis apskata savu datu bāzi un redz, ka, ja trafika nāk no viena no oranžajām pieslēgvietām, tai vajadzētu pāriet tikai uz VLANXNUMX oranžajiem portiem.

Tomēr dators neko nezina par šiem VLAN. Kad savienojam 2 slēdžus, starp zaļajām pieslēgvietām veidojas stumbrs. Termins “stumbrs” attiecas tikai uz Cisco ierīcēm; citi tīkla ierīču ražotāji, piemēram, Juniper, izmanto terminu Tag port vai “tagged port”. Es domāju, ka nosaukums Tag port ir piemērotāks. Kad trafiks nāk no šī tīkla, maģistrāle to pārraida uz visiem nākamā slēdža portiem, tas ir, mēs savienojam divus 48 portu slēdžus un iegūstam vienu 96 portu slēdzi. Tajā pašā laikā, sūtot trafiku no VLAN10, tas tiek marķēts, tas ir, tiek nodrošināts ar etiķeti, kas parāda, ka tas ir paredzēts tikai VLAN10 tīkla portiem. Otrais slēdzis, saņēmis šo trafiku, nolasa tagu un saprot, ka šī trafika ir īpaši paredzēta VLAN10 tīklam un tai jādodas tikai uz zilajiem portiem. Tāpat "oranžā" trafika VLAN20 ir marķēta, lai norādītu, ka tā ir paredzēta VLAN20 portiem otrajā slēdžā.

Mēs pieminējām arī iekapsulēšanu, un šeit ir divas iekapsulēšanas metodes. Pirmais ir .1Q, tas ir, kad mēs organizējam stumbru, mums ir jānodrošina iekapsulēšana. .1Q iekapsulēšanas protokols ir atvērts standarts, kas apraksta trafika marķēšanas procedūru. Ir vēl viens protokols ar nosaukumu ISL, Inter-Switch saite, ko izstrādājis Cisco un kas norāda, ka trafiks pieder noteiktam VLAN. Visi mūsdienu slēdži darbojas ar .1Q protokolu, tāpēc, izņemot jaunu slēdzi no kastes, jums nav jāizmanto iekapsulēšanas komandas, jo pēc noklusējuma to veic .1Q protokols. Tādējādi pēc maģistrāles izveidošanas automātiski notiek satiksmes iekapsulēšana, kas ļauj nolasīt tagus.

Tagad sāksim iestatīt VLAN. Izveidosim tīklu, kurā būs 2 slēdži un divas gala ierīces - datori PC1 un PC2, kurus savienosim ar kabeļiem uz slēdzi #0. Sāksim ar pamata konfigurācijas slēdža pamata iestatījumiem.

Lai to izdarītu, noklikšķiniet uz slēdža un dodieties uz komandrindas saskarni un pēc tam iestatiet resursdatora nosaukumu, izsaucot šo slēdzi sw1. Tagad pāriesim pie pirmā datora iestatījumiem un iestatīsim statisko IP adresi 192.168.1.1 un apakštīkla masku 255.255. 255.0. Nav nepieciešama noklusējuma vārtejas adrese, jo visas mūsu ierīces atrodas vienā tīklā. Tālāk mēs darīsim to pašu ar otro datoru, piešķirot tam IP adresi 192.168.1.2.

Tagad atgriezīsimies pie pirmā datora, lai nosūtītu ping otrajam datoram. Kā redzat, ping bija veiksmīgs, jo abi šie datori ir savienoti ar vienu un to pašu slēdzi un pēc noklusējuma ir daļa no viena tīkla VLAN1. Ja tagad aplūkosim slēdžu saskarnes, mēs redzēsim, ka visi FastEthernet porti no 1 līdz 24 un divi GigabitEthernet porti ir konfigurēti VLAN #1. Tomēr šāda pārmērīga pieejamība nav nepieciešama, tāpēc ieejam slēdža iestatījumos un ievadām komandu show vlan, lai apskatītu virtuālā tīkla datu bāzi.

Šeit jūs redzat VLAN1 tīkla nosaukumu un faktu, ka visi komutācijas porti pieder šim tīklam. Tas nozīmē, ka varat izveidot savienojumu ar jebkuru portu, un tie visi varēs "sarunāties" viens ar otru, jo ir viena tīkla daļa.

Mēs mainīsim šo situāciju; lai to izdarītu, vispirms izveidosim divus virtuālos tīklus, tas ir, pievienosim VLAN10. Lai izveidotu virtuālo tīklu, izmantojiet komandu, piemēram, “vlan tīkla numurs”.
Kā redzat, mēģinot izveidot tīklu, sistēma parādīja ziņojumu ar VLAN konfigurācijas komandu sarakstu, kuras jāizmanto šai darbībai:

iziet – piemērot izmaiņas un iziet no iestatījumiem;
nosaukums – ievadiet pielāgotu VLAN nosaukumu;
nē – atceliet komandu vai iestatiet to kā noklusējumu.

Tas nozīmē, ka pirms komandas izveides VLAN ievadīšanas ir jāievada nosaukuma komanda, kas ieslēdz nosaukumu pārvaldības režīmu, un pēc tam jāveido jauns tīkls. Šādā gadījumā sistēma norāda, ka VLAN numuru var piešķirt diapazonā no 1 līdz 1005.
Tātad tagad mēs ievadām komandu, lai izveidotu VLAN numuru 20 - vlan 20, un pēc tam piešķiram tam lietotāja vārdu, kas parāda, kāda veida tīkls tas ir. Mūsu gadījumā mēs izmantojam nosaukumu Employees command jeb uzņēmuma darbiniekiem paredzētu tīklu.

Tagad mums ir jāpiešķir šim VLAN konkrēts ports. Mēs ieejam slēdža iestatījumu režīmā int f0/1, pēc tam manuāli pārslēdzam portu uz Access režīmu, izmantojot komutācijas režīma piekļuves komandu un norādām, kurš ports ir jāpārslēdz uz šo režīmu - tas ir VLAN10 tīkla ports.

Mēs redzam, ka pēc tam savienojuma punkta starp PC0 un slēdzi krāsa, porta krāsa, mainījās no zaļas uz oranžu. Tiklīdz iestatījumu izmaiņas stāsies spēkā, tas atkal kļūs zaļš. Mēģināsim ping otrajam datoram. Mēs neesam veikuši nekādas izmaiņas datoru tīkla iestatījumos, tiem joprojām ir IP adreses 192.168.1.1 un 192.168.1.2. Bet, ja mēģināsim ping PC0 no datora PC1, nekas nedarbosies, jo tagad šie datori pieder dažādiem tīkliem: pirmais VLAN10, otrs vietējam VLAN1.

Atgriezīsimies pie slēdža interfeisa un konfigurēsim otro portu. Lai to izdarītu, es izdošu komandu int f0/2 un atkārtošu tās pašas darbības VLAN 20, ko darīju, konfigurējot iepriekšējo virtuālo tīklu.
Redzam, ka tagad arī slēdža apakšējā pieslēgvieta, kurai pieslēgts otrs dators, ir mainījis savu krāsu no zaļas uz oranžu - jāpaiet dažām sekundēm, līdz stājas spēkā izmaiņas iestatījumos un tas atkal kļūst zaļš. Ja mēs atkal sāksim pingot otru datoru, nekas nedarbosies, jo datori joprojām pieder dažādiem tīkliem, tikai PC1 tagad ir daļa no VLAN1, nevis VLAN20.
Tādējādi jūs esat sadalījis vienu fizisko slēdzi divos dažādos loģiskajos slēdžos. Jūs redzat, ka tagad porta krāsa ir mainījusies no oranžas uz zaļu, ports darbojas, bet joprojām nereaģē, jo tas pieder citam tīklam.

Veiksim izmaiņas savā shēmā - atvienosim datoru PC1 no pirmā slēdža un pieslēdzam otrajam slēdžam, bet pašus slēdžus savienosim ar kabeli.

Lai izveidotu savienojumu starp tiem, es iedziļināšos otrā slēdža iestatījumos un izveidošu VLAN10, piešķirot tam nosaukumu Management, tas ir, pārvaldības tīkls. Pēc tam es aktivizēšu piekļuves režīmu un norādīšu, ka šis režīms ir paredzēts VLAN10. Tagad to portu krāsa, caur kuriem ir pievienoti slēdži, ir mainījusies no oranžas uz zaļu, jo tie abi ir konfigurēti VLAN10. Tagad mums ir jāizveido stumbrs starp abiem slēdžiem. Abi šie porti ir Fa0/2, tāpēc jums ir jāizveido stumbrs pirmā slēdža Fa0/2 portam, izmantojot komutācijas porta režīma maģistrāles komandu. Tas pats jādara ar otro slēdzi, pēc kura starp šīm divām pieslēgvietām tiek izveidots stumbrs.

Tagad, ja gribēšu pingot PC1 no pirmā datora, viss izdosies, jo savienojums starp PC0 un slēdzi #0 ir VLAN10 tīkls, starp slēdzi #1 un PC1 arī ir VLAN10, un abi slēdži ir savienoti ar maģistrāli. .

Tātad, ja ierīces atrodas dažādos VLAN, tad tās nav savienotas viena ar otru, bet, ja tās atrodas vienā tīklā, tad starp tām var brīvi apmainīties ar trafiku. Mēģināsim katram slēdzim pievienot vēl vienu ierīci.

Pievienotā datora PC2 tīkla iestatījumos iestatīšu IP adresi uz 192.168.2.1 un PC3 iestatījumos adrese būs 192.168.2.2. Šajā gadījumā porti, kuriem ir pievienoti šie divi datori, tiks apzīmēti ar Fa0/3. Slēdža #0 iestatījumos iestatīsim Access režīmu un norādīsim, ka šis ports ir paredzēts VLAN20, un to darīsim arī slēdžam #1.

Ja izmantoju komutācijas porta piekļuves vlan 20 komandu un VLAN20 vēl nav izveidots, sistēma parādīs kļūdu, piemēram, “Piekļuves VLAN neeksistē”, jo slēdži ir konfigurēti darbam tikai ar VLAN10.

Izveidosim VLAN20. Es izmantoju komandu "show VLAN", lai skatītu virtuālā tīkla datu bāzi.

Var redzēt, ka noklusējuma tīkls ir VLAN1, kuram ir pievienoti porti Fa0/4 līdz Fa0/24 un Gig0/1, Gig0/2. VLAN numurs 10 ar nosaukumu Management ir savienots ar portu Fa0/1, un VLAN numurs 20, pēc noklusējuma nosaukts VLAN0020, ir savienots ar portu Fa0/3.

Principā tīkla nosaukumam nav nozīmes, galvenais, lai tas neatkārtotos dažādiem tīkliem. Ja vēlos mainīt tīkla nosaukumu, ko sistēma piešķir pēc noklusējuma, es izmantoju komandu vlan 20 un nosaukumu Employees. Es varu mainīt šo nosaukumu uz kaut ko citu, piemēram, IPphones, un, ja mēs pingam IP adresi 192.168.2.2, mēs varam redzēt, ka VLAN nosaukumam nav nozīmes.
Pēdējais, ko vēlos pieminēt, ir Management IP mērķis, par ko mēs runājām pēdējā nodarbībā. Lai to izdarītu, mēs izmantojam komandu int vlan1 un ievadiet IP adresi 10.1.1.1 un apakštīkla masku 255.255.255.0 un pēc tam pievienojiet komandu bez izslēgšanas. Mēs piešķīrām pārvaldības IP nevis visam slēdzim, bet tikai VLAN1 portiem, tas ir, mēs piešķīrām IP adresi, no kuras tiek pārvaldīts VLAN1 tīkls. Ja vēlamies pārvaldīt VLAN2, mums ir jāizveido atbilstošs VLAN2 interfeiss. Mūsu gadījumā ir zili VLAN10 porti un oranži VLAN20 porti, kas atbilst adresēm 192.168.1.0 un 192.168.2.0.
VLAN10 adresēm ir jāatrodas tajā pašā diapazonā, lai atbilstošās ierīces varētu izveidot savienojumu ar to. Līdzīgs iestatījums ir jāveic arī VLAN20.

Šis slēdža komandrindas logs parāda VLAN1, tas ir, vietējā VLAN, saskarnes iestatījumus.

Lai konfigurētu pārvaldības IP VLAN10, mums ir jāizveido interfeiss int vlan 10 un pēc tam jāpievieno IP adrese 192.168.1.10 un apakštīkla maska 255.255.255.0.

Lai konfigurētu VLAN20, mums ir jāizveido interfeiss int vlan 20 un pēc tam jāpievieno IP adrese 192.168.2.10 un apakštīkla maska 255.255.255.0.

Kāpēc tas ir vajadzīgs? Ja dators PC0 un slēdža #0 augšējais kreisais ports pieder 192.168.1.0 tīklam, PC2 pieder 192.168.2.0 tīklam un ir savienots ar vietējo VLAN1 portu, kas pieder 10.1.1.1 tīklam, tad PC0 nevar izveidot saziņa ar šo slēdzi, izmantojot protokolu SSH, jo tie pieder dažādiem tīkliem. Tāpēc, lai PC0 varētu sazināties ar slēdzi, izmantojot SSH vai Telnet, mums ir jāpiešķir tai piekļuves piekļuve. Tāpēc mums ir nepieciešama tīkla pārvaldība.

Mums vajadzētu būt iespējai saistīt PC0, izmantojot SSH vai Telnet, ar VLAN20 interfeisa IP adresi un veikt visas nepieciešamās izmaiņas, izmantojot SSH. Tādējādi Management IP ir nepieciešams tieši VLAN konfigurēšanai, jo katram virtuālajam tīklam ir jābūt savai piekļuves kontrolei.

Šodienas videoklipā mēs apspriedām daudzus jautājumus: pamata slēdžu iestatījumi, VLAN izveide, VLAN portu piešķiršana, pārvaldības IP piešķiršana VLAN un maģistrāļu konfigurēšana. Nekautrējieties, ja kaut ko nesaprotat, tas ir dabiski, jo VLAN ir ļoti sarežģīta un plaša tēma, pie kuras mēs atgriezīsimies nākamajās nodarbībās. Es garantēju, ka ar manu palīdzību jūs varat kļūt par VLAN meistaru, taču šīs nodarbības mērķis bija noskaidrot jums 3 jautājumus: kas ir VLAN, kāpēc mums tie ir vajadzīgi un kā tos konfigurēt.

Paldies, ka palikāt kopā ar mums. Vai jums patīk mūsu raksti? Vai vēlaties redzēt interesantāku saturu? Atbalsti mūs, pasūtot vai iesakot draugiem, 30% atlaide Habr lietotājiem unikālam sākuma līmeņa serveru analogam, ko mēs jums izgudrojām: Visa patiesība par VPS (KVM) E5-2650 v4 (6 kodoli) 10GB DDR4 240GB SSD 1Gbps no 20$ vai kā koplietot serveri? (pieejams ar RAID1 un RAID10, līdz 24 kodoliem un līdz 40 GB DDR4).

Dell R730xd 2 reizes lētāk? Tikai šeit 2x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV no 199$ Nīderlandē! Dell R420 — 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB — no 99 USD! Lasīt par Kā izveidot infrastruktūras uzņēmumu klase ar Dell R730xd E5-2650 v4 serveru izmantošanu 9000 eiro par santīmu?

Avots: www.habr.com

Cisco apmācība 200-125 CCNA v3.0. 11. diena: VLAN pamati

Pievieno komentāru Atcelt atbildi