Voordat we ingaan op de basisbeginselen van VLAN's, zou ik jullie allemaal willen vragen deze video te pauzeren, op het pictogram in de linkerbenedenhoek te klikken waar Netwerkconsulent staat, naar onze Facebook-pagina te gaan en de video daar leuk te vinden. Ga dan terug naar de video en klik op het King-pictogram in de rechteronderhoek om je te abonneren op ons officiële YouTube-kanaal. We voegen voortdurend nieuwe series toe, nu dit de CCNA-cursus betreft, daarna zijn we van plan een cursus met videolessen CCNA Security, Network+, PMP, ITIL, Prince2 te starten en deze prachtige series op ons kanaal te publiceren.
Vandaag zullen we het dus hebben over de basisprincipes van VLAN en drie vragen beantwoorden: wat is een VLAN, waarom hebben we een VLAN nodig en hoe kunnen we het configureren. Ik hoop dat je na het bekijken van deze video-tutorial alle drie de vragen kunt beantwoorden.
Wat is VLAN? VLAN is een afkorting voor virtueel lokaal netwerk. Later in deze tutorial zullen we bekijken waarom dit netwerk virtueel is, maar voordat we verder gaan met VLAN's, moeten we begrijpen hoe een switch werkt. We bespreken een aantal vragen die we in de vorige lessen hebben besproken.
Laten we eerst bespreken wat een Multiple Collision Domain is. We weten dat deze 48-poorts switch 48 botsingsdomeinen heeft. Dit betekent dat elk van deze poorten, of apparaten die op deze poorten zijn aangesloten, op onafhankelijke wijze met een ander apparaat op een andere poort kan communiceren zonder elkaar te beïnvloeden.
Alle 48 poorten van deze switch maken deel uit van één Broadcast Domain. Dit betekent dat als er meerdere apparaten op meerdere poorten zijn aangesloten en één daarvan uitzendt, dit zal verschijnen op alle poorten waarop de overige apparaten zijn aangesloten. Dit is precies hoe een schakelaar werkt.
Het is alsof mensen dicht bij elkaar in dezelfde kamer zitten, en als een van hen iets luid zegt, kan iedereen het horen. Dit is echter volkomen ineffectief: hoe meer mensen in de kamer verschijnen, hoe luidruchtiger het wordt en de aanwezigen elkaar niet meer zullen horen. Een soortgelijke situatie doet zich voor bij computers: hoe meer apparaten op één netwerk zijn aangesloten, hoe groter de "luidheid" van de uitzending wordt, waardoor geen effectieve communicatie tot stand kan worden gebracht.
We weten dat als een van deze apparaten is verbonden met het 192.168.1.0/24-netwerk, alle andere apparaten deel uitmaken van hetzelfde netwerk. Ook moet de switch verbonden zijn met een netwerk met hetzelfde IP-adres. Maar hier heeft de switch, als OSI Layer 2-apparaat, mogelijk een probleem. Als twee apparaten op hetzelfde netwerk zijn aangesloten, kunnen ze eenvoudig met elkaars computers communiceren. Laten we aannemen dat ons bedrijf een 'slechterik' heeft, een hacker, die ik hierboven zal schetsen. Daaronder staat mijn computer. Het is dus heel gemakkelijk voor deze hacker om in te breken op mijn computer, omdat onze computers deel uitmaken van hetzelfde netwerk. Dat is het probleem.
Als ik tot het administratief beheer behoor en deze nieuweling toegang heeft tot de bestanden op mijn computer, zal dat helemaal niet goed zijn. Natuurlijk heeft mijn computer een firewall die tegen veel bedreigingen beschermt, maar het zou voor een hacker niet moeilijk zijn om deze te omzeilen.
Het tweede gevaar dat bestaat voor iedereen die lid is van dit uitzenddomein is dat als iemand een probleem heeft met de uitzending, die interferentie andere apparaten op het netwerk zal beïnvloeden. Hoewel alle 48 poorten op verschillende hosts kunnen worden aangesloten, zal het falen van de ene host gevolgen hebben voor de andere 47, en dat is niet wat we nodig hebben.
Om dit probleem op te lossen gebruiken we het concept van VLAN, of virtueel lokaal netwerk. Het werkt heel eenvoudig, waarbij deze ene grote switch met 48 poorten wordt opgedeeld in meerdere kleinere switches.
We weten dat subnetten één groot netwerk in meerdere kleine netwerken verdelen, en VLAN's werken op een vergelijkbare manier. Het verdeelt een switch met 48 poorten bijvoorbeeld in 4 switches van 12 poorten, die elk deel uitmaken van een nieuw verbonden netwerk. Tegelijkertijd kunnen we 12 poorten gebruiken voor beheer, 12 poorten voor IP-telefonie, enzovoort, dat wil zeggen dat we de switch niet fysiek, maar logisch, virtueel verdelen.
Ik heb drie blauwe poorten op de bovenste switch toegewezen voor het blauwe VLAN10-netwerk en drie oranje poorten voor VLAN20. Al het verkeer van één van deze blauwe poorten gaat dus alleen naar de andere blauwe poorten, zonder de andere poorten van deze switch te beïnvloeden. Het verkeer vanaf de oranje poorten zal op dezelfde manier worden verdeeld, dat wil zeggen dat het is alsof we twee verschillende fysieke switches gebruiken. VLAN is dus een manier om een switch in meerdere switches voor verschillende netwerken te verdelen.
Ik heb twee schakelaars bovenaan getekend, hier hebben we een situatie waarbij aan de linkerschakelaar alleen blauwe poorten voor één netwerk zijn aangesloten, en aan de rechterkant alleen oranje poorten voor een ander netwerk, en deze schakelaars zijn op geen enkele manier met elkaar verbonden .
Stel dat u meer poorten wilt gebruiken. Laten we ons voorstellen dat we twee gebouwen hebben, elk met zijn eigen managementpersoneel, en dat twee oranje poorten van de onderste schakelaar worden gebruikt voor beheer. Daarom hebben we deze poorten nodig om te worden aangesloten op alle oranje poorten van andere switches. De situatie is vergelijkbaar met blauwe poorten: alle blauwe poorten van de bovenste schakelaar moeten worden aangesloten op andere poorten met een vergelijkbare kleur. Om dit te doen, moeten we deze twee schakelaars in verschillende gebouwen fysiek verbinden met een aparte communicatielijn; in de figuur is dit de lijn tussen de twee groene poorten. Zoals we weten, vormen we een backbone of trunk als twee switches fysiek met elkaar zijn verbonden.
Wat is het verschil tussen een gewone en een VLAN-switch? Het is geen groot verschil. Wanneer u een nieuwe switch koopt, zijn alle poorten standaard geconfigureerd in de VLAN-modus en maken ze deel uit van hetzelfde netwerk, genaamd VLAN1. Dat is de reden waarom wanneer we een apparaat op één poort aansluiten, het uiteindelijk met alle andere poorten wordt verbonden, omdat alle 48 poorten tot hetzelfde VLAN1 behoren. Maar als we de blauwe poorten configureren om te werken op het VLAN10-netwerk, de oranje poorten op het VLAN20-netwerk en de groene poorten op VLAN1, krijgen we 3 verschillende switches. Door de virtuele netwerkmodus te gebruiken, kunnen we dus poorten logisch in specifieke netwerken groeperen, uitzendingen in delen opsplitsen en subnetten maken. In dit geval behoort elk van de poorten met een specifieke kleur tot een afzonderlijk netwerk. Als de blauwe poorten op het 192.168.1.0-netwerk werken en de oranje poorten op het 192.168.1.0-netwerk, dan zullen ze ondanks hetzelfde IP-adres niet met elkaar verbonden zijn, omdat ze logischerwijs bij verschillende switches horen. En zoals we weten communiceren verschillende fysieke schakelaars niet met elkaar tenzij ze zijn verbonden via een gemeenschappelijke communicatielijn. We creëren dus verschillende subnetten voor verschillende VLAN's.
Ik wil uw aandacht vestigen op het feit dat het VLAN-concept alleen van toepassing is op switches. Iedereen die bekend is met inkapselingsprotocollen zoals .1Q of ISL weet dat routers en computers geen VLAN's hebben. Wanneer u uw computer bijvoorbeeld aansluit op een van de blauwe poorten, verandert u niets aan de computer, alle wijzigingen vinden alleen plaats op het tweede OSI-niveau, het switchniveau. Wanneer we poorten configureren om met een specifiek VLAN10- of VLAN20-netwerk te werken, creëert de switch een VLAN-database. Het “legt” in zijn geheugen vast dat de poorten 1,3 en 5 tot VLAN10 behoren, de poorten 14,15 en 18 deel uitmaken van VLAN20 en dat de overige betrokken poorten deel uitmaken van VLAN1. Als een deel van het verkeer afkomstig is van blauwe poort 1, gaat het daarom alleen naar poorten 3 en 5 van hetzelfde VLAN10. De switch kijkt in zijn database en ziet dat als er verkeer uit één van de oranje poorten komt, dit alleen naar de oranje poorten van VLAN20 mag gaan.
De computer weet echter niets van deze VLAN's. Wanneer we 2 switches aansluiten ontstaat er een trunk tussen de groene poorten. De term ‘trunk’ is alleen relevant voor Cisco-apparaten; andere fabrikanten van netwerkapparaten, zoals Juniper, gebruiken de term Tag-poort of ‘tagged port’. Ik denk dat de naam Tagport toepasselijker is. Wanneer verkeer afkomstig is van dit netwerk, verzendt de trunk dit naar alle poorten van de volgende switch, dat wil zeggen dat we twee switches met 48 poorten aansluiten en één switch met 96 poorten krijgen. Tegelijkertijd wordt, wanneer we verkeer vanuit VLAN10 verzenden, het getagd, dat wil zeggen dat het wordt voorzien van een label dat aangeeft dat het alleen bedoeld is voor poorten van het VLAN10-netwerk. De tweede switch, die dit verkeer heeft ontvangen, leest de tag en begrijpt dat dit verkeer specifiek voor het VLAN10-netwerk is en alleen naar blauwe poorten mag gaan. Op dezelfde manier wordt "oranje" verkeer voor VLAN20 getagd om aan te geven dat het bestemd is voor VLAN20-poorten op de tweede switch.
We hebben ook inkapseling genoemd en hier zijn er twee methoden voor inkapseling. De eerste is .1Q, dat wil zeggen dat wanneer we een kofferbak organiseren, we voor inkapseling moeten zorgen. Het .1Q-inkapselingsprotocol is een open standaard die de procedure beschrijft voor het taggen van verkeer. Er is een ander protocol genaamd ISL, Inter-Switch link, ontwikkeld door Cisco, dat aangeeft dat verkeer tot een specifiek VLAN behoort. Alle moderne switches werken met het .1Q-protocol, dus als je een nieuwe switch uit de doos haalt, hoef je geen inkapselingscommando's te gebruiken, omdat deze standaard worden uitgevoerd door het .1Q-protocol. Na het aanmaken van een trunk vindt dus automatisch verkeersinkapseling plaats, waardoor tags kunnen worden gelezen.
Laten we nu beginnen met het instellen van het VLAN. Laten we een netwerk creëren waarin er 2 schakelaars en twee eindapparaten zullen zijn - computers PC1 en PC2, die we met kabels zullen verbinden met schakelaar #0. Laten we beginnen met de basisinstellingen van de basisconfiguratieschakelaar.
Om dit te doen, klikt u op de schakelaar en gaat u naar de opdrachtregelinterface. Stel vervolgens de hostnaam in door deze schakelaar sw1 aan te roepen. Laten we nu verder gaan met de instellingen van de eerste computer en het statische IP-adres 192.168.1.1 en het subnetmasker 255.255 instellen. 255.0. Er is geen standaard gateway-adres nodig omdat al onze apparaten zich op hetzelfde netwerk bevinden. Vervolgens zullen we hetzelfde doen voor de tweede computer, waarbij we deze het IP-adres 192.168.1.2 toewijzen.
Laten we nu teruggaan naar de eerste computer om de tweede computer te pingen. Zoals u kunt zien, was de ping succesvol omdat beide computers op dezelfde switch zijn aangesloten en standaard deel uitmaken van hetzelfde netwerk VLAN1. Als we nu naar de switchinterfaces kijken, zien we dat alle FastEthernet-poorten van 1 tot en met 24 en twee GigabitEthernet-poorten op VLAN #1 zijn geconfigureerd. Een dergelijke overmatige beschikbaarheid is echter niet nodig, dus gaan we naar de switchinstellingen en voeren de opdracht show vlan in om naar de virtuele netwerkdatabase te kijken.
Je ziet hier de naam van het VLAN1-netwerk en het feit dat alle switchpoorten tot dit netwerk behoren. Dit betekent dat je verbinding kunt maken met elke poort en dat ze allemaal met elkaar kunnen ‘praten’ omdat ze deel uitmaken van hetzelfde netwerk.
We zullen deze situatie veranderen; hiervoor zullen we eerst twee virtuele netwerken creëren, dat wil zeggen VLAN10 toevoegen. Om een virtueel netwerk te creëren, gebruik je een commando zoals “vlan-netwerknummer”.
Zoals u kunt zien, gaf het systeem bij het maken van een netwerk een bericht weer met een lijst met VLAN-configuratieopdrachten die voor deze actie moeten worden gebruikt:
afsluiten – wijzigingen toepassen en instellingen afsluiten;
naam – voer een aangepaste VLAN-naam in;
nee – annuleer de opdracht of stel deze in als standaard.
Dit betekent dat voordat u de opdracht Create VLAN invoert, u de naamopdracht moet invoeren, waardoor de naambeheermodus wordt ingeschakeld, en vervolgens moet doorgaan met het maken van een nieuw netwerk. In dit geval vraagt het systeem of het VLAN-nummer kan worden toegewezen in het bereik van 1 tot 1005.
Dus nu voeren we de opdracht in om VLAN-nummer 20 - vlan 20 te maken, en geven het vervolgens een naam voor de gebruiker, die laat zien wat voor soort netwerk het is. In ons geval gebruiken we de naam Employees command, oftewel een netwerk voor bedrijfsmedewerkers.
Nu moeten we een specifieke poort aan dit VLAN toewijzen. We gaan naar de switch-instellingenmodus int f0/1, schakelen vervolgens de poort handmatig naar de Access-modus met behulp van het switchport-modustoegangscommando en geven aan welke poort naar deze modus moet worden geschakeld - dit is de poort voor het VLAN10-netwerk.
We zien dat hierna de kleur van het verbindingspunt tussen PC0 en de switch, de kleur van de poort, veranderde van groen naar oranje. Het wordt weer groen zodra de wijzigingen in de instellingen van kracht worden. Laten we proberen de tweede computer te pingen. We hebben geen wijzigingen aangebracht in de netwerkinstellingen van de computers, ze hebben nog steeds de IP-adressen 192.168.1.1 en 192.168.1.2. Maar als we computer PC0 proberen te pingen vanaf computer PC1, zal niets werken, omdat deze computers nu tot verschillende netwerken behoren: de eerste naar VLAN10, de tweede naar native VLAN1.
Laten we terugkeren naar de switchinterface en de tweede poort configureren. Om dit te doen, geef ik de opdracht int f0/2 en herhaal ik dezelfde stappen voor VLAN 20 als bij het configureren van het vorige virtuele netwerk.
We zien dat nu ook de onderste poort van de switch, waarop de tweede computer is aangesloten, van kleur is veranderd van groen naar oranje - er moeten een paar seconden verstrijken voordat de wijzigingen in de instellingen van kracht worden en deze weer groen wordt. Als we de tweede computer opnieuw gaan pingen, werkt niets, omdat de computers nog steeds tot verschillende netwerken behoren, alleen PC1 maakt nu deel uit van VLAN1, niet VLAN20.
U hebt dus één fysieke switch opgedeeld in twee verschillende logische switches. Je ziet dat nu de poortkleur is veranderd van oranje naar groen, de poort werkt, maar reageert nog steeds niet omdat deze bij een ander netwerk hoort.
Laten we wijzigingen aanbrengen in ons circuit: koppel computer PC1 los van de eerste schakelaar en sluit deze aan op de tweede schakelaar, en sluit de schakelaars zelf aan met een kabel.
Om een verbinding daartussen tot stand te brengen, ga ik naar de instellingen van de tweede switch en creëer VLAN10, waarbij ik deze de naam Management geef, dat wil zeggen het beheernetwerk. Vervolgens schakel ik de toegangsmodus in en specificeer dat deze modus voor VLAN10 is. Nu is de kleur van de poorten waarmee de switches zijn verbonden veranderd van oranje naar groen omdat ze beide op VLAN10 zijn geconfigureerd. Nu moeten we een trunk tussen beide schakelaars maken. Beide poorten zijn Fa0/2, dus u moet een trunk maken voor de Fa0/2-poort van de eerste switch met behulp van de trunkopdracht in de switchport-modus. Hetzelfde moet gebeuren voor de tweede switch, waarna er een trunk ontstaat tussen deze twee poorten.
Als ik nu PC1 vanaf de eerste computer wil pingen, komt alles goed, omdat de verbinding tussen PC0 en switch #0 een VLAN10-netwerk is, tussen switch #1 en PC1 is ook VLAN10, en beide switches zijn verbonden door een trunk .
Als apparaten zich dus op verschillende VLAN's bevinden, zijn ze niet met elkaar verbonden, maar als ze zich op hetzelfde netwerk bevinden, kan er vrij verkeer tussen worden uitgewisseld. Laten we proberen nog een apparaat aan elke schakelaar toe te voegen.
In de netwerkinstellingen van de toegevoegde computer PC2 zal ik het IP-adres instellen op 192.168.2.1, en in de instellingen van PC3 zal het adres 192.168.2.2 zijn. In dit geval worden de poorten waarop deze twee pc's zijn aangesloten, aangeduid als Fa0/3. In de instellingen van switch #0 zullen we de Access mode instellen en aangeven dat deze poort bedoeld is voor VLAN20, en we zullen hetzelfde doen voor switch #1.
Als ik de opdracht switchport access vlan 20 gebruik en VLAN20 is nog niet gemaakt, geeft het systeem een foutmelding weer zoals 'Toegang tot VLAN bestaat niet', omdat de switches zijn geconfigureerd om alleen met VLAN10 te werken.
Laten we VLAN20 maken. Ik gebruik de opdracht "show VLAN" om de virtuele netwerkdatabase te bekijken.
U kunt zien dat het standaardnetwerk VLAN1 is, waarop de poorten Fa0/4 tot Fa0/24 en Gig0/1, Gig0/2 zijn aangesloten. VLAN-nummer 10, genaamd Management, is verbonden met poort Fa0/1, en VLAN-nummer 20, standaard genaamd VLAN0020, is verbonden met poort Fa0/3.
In principe doet de naam van het netwerk er niet toe, het belangrijkste is dat deze niet voor verschillende netwerken wordt herhaald. Als ik de netwerknaam wil wijzigen die het systeem standaard toekent, gebruik ik het commando vlan 20 en naam Employees. Ik kan deze naam veranderen in iets anders, zoals IPphones, en als we het IP-adres 192.168.2.2 pingen, kunnen we zien dat de VLAN-naam geen betekenis heeft.
Het laatste dat ik wil noemen is het doel van Management IP, waar we het in de vorige les over hadden. Om dit te doen gebruiken we de opdracht int vlan1 en voeren het IP-adres 10.1.1.1 en het subnetmasker 255.255.255.0 in en voegen vervolgens de opdracht no shutdown toe. We hebben Management IP niet voor de hele switch toegewezen, maar alleen voor de VLAN1-poorten, dat wil zeggen dat we het IP-adres hebben toegewezen van waaruit het VLAN1-netwerk wordt beheerd. Als we VLAN2 willen beheren, moeten we een overeenkomstige interface voor VLAN2 maken. In ons geval zijn er blauwe VLAN10-poorten en oranje VLAN20-poorten, die overeenkomen met de adressen 192.168.1.0 en 192.168.2.0.
VLAN10 moet adressen hebben die zich in hetzelfde bereik bevinden, zodat de juiste apparaten er verbinding mee kunnen maken. Voor VLAN20 moet een soortgelijke instelling worden uitgevoerd.
Dit switch-opdrachtregelvenster toont de interface-instellingen voor VLAN1, dat wil zeggen native VLAN.
Om Management IP voor VLAN10 te configureren, moeten we een interface int vlan 10 maken en vervolgens het IP-adres 192.168.1.10 en het subnetmasker 255.255.255.0 toevoegen.
Om VLAN20 te configureren, moeten we een interface int vlan 20 maken en vervolgens het IP-adres 192.168.2.10 en het subnetmasker 255.255.255.0 toevoegen.
Waarom is dit nodig? Als computer PC0 en de poort linksboven van switch #0 tot het 192.168.1.0-netwerk behoren, PC2 tot het 192.168.2.0-netwerk behoort en is aangesloten op de oorspronkelijke VLAN1-poort, die tot het 10.1.1.1-netwerk behoort, kan PC0 niet tot stand komen communicatie met deze switch verloopt via het protocol SSH omdat ze tot verschillende netwerken behoren. Om ervoor te zorgen dat PC0 via SSH of Telnet met de switch kan communiceren, moeten we deze daarom toegang verlenen. Daarom hebben we netwerkbeheer nodig.
We zouden PC0 via SSH of Telnet moeten kunnen binden aan het IP-adres van de VLAN20-interface en eventuele wijzigingen kunnen aanbrengen die we nodig hebben via SSH. Management IP is dus specifiek nodig voor het configureren van VLAN's, omdat elk virtueel netwerk zijn eigen toegangscontrole moet hebben.
In de video van vandaag hebben we veel kwesties besproken: basisswitchinstellingen, het maken van VLAN's, het toewijzen van VLAN-poorten, het toewijzen van beheer-IP voor VLAN's en het configureren van trunks. Schaam je niet als je iets niet begrijpt. Dat is normaal, want VLAN is een zeer complex en breed onderwerp waar we in toekomstige lessen op zullen terugkomen. Ik garandeer dat je met mijn hulp een VLAN-master kunt worden, maar het doel van deze les was om drie vragen voor je te verduidelijken: wat zijn VLAN's, waarom hebben we ze nodig en hoe kunnen we ze configureren.
Bedankt dat je bij ons bent gebleven. Vind je onze artikelen leuk? Wil je meer interessante inhoud zien? Steun ons door een bestelling te plaatsen of door vrienden aan te bevelen, 30% korting voor Habr-gebruikers op een unieke analoog van instapservers, die door ons voor u is uitgevonden: (beschikbaar met RAID1 en RAID10, tot 24 cores en tot 40GB DDR4).
Dell R730xd 2 keer goedkoper? Alleen hier in Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - vanaf $99! Lees over
Bron: www.habr.com