Før vi kommer inn på det grunnleggende om VLAN, vil jeg be dere alle om å pause denne videoen, klikk på ikonet i nedre venstre hjørne der det står Nettverkskonsulent, gå til Facebook-siden vår og lik den der. Gå deretter tilbake til videoen og klikk på kongeikonet nederst til høyre for å abonnere på vår offisielle YouTube-kanal. Vi legger stadig til nye serier, nå gjelder dette CCNA-kurset, så planlegger vi å starte et kurs med videotimer CCNA Security, Network+, PMP, ITIL, Prince2 og publisere disse fantastiske seriene på kanalen vår.
Så i dag skal vi snakke om det grunnleggende om VLAN og svare på 3 spørsmål: hva er et VLAN, hvorfor trenger vi et VLAN og hvordan konfigurere det. Jeg håper at etter å ha sett denne videoopplæringen vil du kunne svare på alle tre spørsmålene.
Hva er VLAN? VLAN er en forkortelse for virtuelt lokalnettverk. Senere i denne opplæringen skal vi se på hvorfor dette nettverket er virtuelt, men før vi går videre til VLAN, må vi forstå hvordan en svitsj fungerer. Vi vil gå gjennom noen av spørsmålene vi diskuterte i tidligere leksjoner.
La oss først diskutere hva et flerkollisjonsdomene er. Vi vet at denne 48-ports svitsjen har 48 kollisjonsdomener. Dette betyr at hver av disse portene, eller enhetene koblet til disse portene, kan kommunisere med en annen enhet på en annen port på en uavhengig måte uten å påvirke hverandre.
Alle 48 portene til denne svitsjen er en del av ett kringkastingsdomene. Dette betyr at hvis flere enheter er koblet til flere porter og en av dem kringkaster, vil den vises på alle portene som de resterende enhetene er koblet til. Det er akkurat slik en bryter fungerer.
Det er som om folk satt i samme rom tett inntil hverandre, og når en av dem sa noe høyt, kunne alle andre høre det. Dette er imidlertid helt ineffektivt - jo flere mennesker dukker opp i rommet, jo mer støyende vil det bli og de tilstedeværende vil ikke lenger høre hverandre. En lignende situasjon oppstår med datamaskiner - jo flere enheter som er koblet til ett nettverk, desto større blir "lydstyrken" på sendingen, noe som ikke tillater effektiv kommunikasjon.
Vi vet at hvis en av disse enhetene er koblet til 192.168.1.0/24-nettverket, er alle andre enheter en del av det samme nettverket. Switchen må også være koblet til et nettverk med samme IP-adresse. Men her kan bryteren, som en OSI lag 2-enhet, ha et problem. Hvis to enheter er koblet til samme nettverk, kan de enkelt kommunisere med hverandres datamaskiner. La oss anta at selskapet vårt har en "bad guy", en hacker, som jeg vil tegne ovenfor. Nedenfor er datamaskinen min. Så det er veldig enkelt for denne hackeren å bryte seg inn på datamaskinen min fordi datamaskinene våre er en del av det samme nettverket. Det er problemet.
Hvis jeg tilhører administrativ ledelse og denne nye fyren kan få tilgang til filer på datamaskinen min, vil det ikke være bra i det hele tatt. Datamaskinen min har selvfølgelig en brannmur som beskytter mot mange trusler, men det ville ikke være vanskelig for en hacker å omgå den.
Den andre faren som eksisterer for alle som er medlem av dette kringkastingsdomenet, er at hvis noen har et problem med sendingen, vil forstyrrelsen påvirke andre enheter på nettverket. Selv om alle 48 porter kan kobles til forskjellige verter, vil svikt i en vert påvirke de andre 47, som ikke er det vi trenger.
For å løse dette problemet bruker vi konseptet VLAN, eller virtuelt lokalnettverk. Det fungerer veldig enkelt, og deler denne ene store 48-ports svitsjen i flere mindre svitsjer.
Vi vet at subnett deler ett stort nettverk i flere små nettverk, og VLAN fungerer på lignende måte. Den deler en 48-porters svitsj, for eksempel, i 4 svitsjer med 12 porter, som hver er en del av et nytt tilkoblet nettverk. Samtidig kan vi bruke 12 porter for administrasjon, 12 porter for IP-telefoni, og så videre, det vil si å dele bryteren ikke fysisk, men logisk, virtuelt.
Jeg tildelte tre blå porter på den øverste bryteren for det blå VLAN10-nettverket, og tildelte tre oransje porter for VLAN20. Dermed vil all trafikk fra en av disse blå portene kun gå til de andre blå portene, uten å påvirke de andre portene på denne svitsjen. Trafikken fra de oransje portene vil bli fordelt på samme måte, det vil si at det er som om vi bruker to forskjellige fysiske brytere. Dermed er VLAN en måte å dele en svitsj i flere svitsjer for forskjellige nettverk.
Jeg tegnet to brytere på toppen, her har vi en situasjon der på venstre bryter bare blå porter for ett nettverk er koblet til, og til høyre - bare oransje porter for et annet nettverk, og disse bryterne er ikke koblet til hverandre på noen måte .
La oss si at du vil bruke flere porter. La oss forestille oss at vi har 2 bygninger, hver med sin egen ledelse, og to oransje porter på den nedre bryteren brukes til administrasjon. Derfor trenger vi at disse portene kobles til alle de oransje portene til andre svitsjer. Situasjonen er lik med blå porter - alle blå porter på den øvre bryteren må kobles til andre porter med lignende farge. For å gjøre dette må vi fysisk koble disse to bryterne i forskjellige bygninger med en separat kommunikasjonslinje; på figuren er dette linjen mellom de to grønne portene. Som vi vet, hvis to brytere er fysisk koblet sammen, danner vi en ryggrad, eller trunk.
Hva er forskjellen mellom en vanlig og en VLAN-svitsj? Det er ikke en stor forskjell. Når du kjøper en ny svitsj, er alle porter som standard konfigurert i VLAN-modus og er en del av det samme nettverket, betegnet VLAN1. Det er derfor når vi kobler en enhet til én port, ender den opp med å koble til alle andre porter fordi alle 48 porter tilhører samme VLAN1. Men hvis vi konfigurerer de blå portene til å fungere på VLAN10-nettverket, de oransje portene på VLAN20-nettverket og de grønne portene på VLAN1, får vi 3 forskjellige brytere. Dermed lar bruk av virtuell nettverksmodus oss logisk gruppere porter i spesifikke nettverk, dele sendinger i deler og lage subnett. I dette tilfellet tilhører hver av portene i en bestemt farge et eget nettverk. Hvis de blå portene fungerer på 192.168.1.0-nettverket og de oransje portene fungerer på 192.168.1.0-nettverket, vil de til tross for den samme IP-adressen ikke være koblet til hverandre, fordi de logisk sett vil tilhøre forskjellige brytere. Og som vi vet, kommuniserer ikke forskjellige fysiske brytere med hverandre med mindre de er koblet sammen med en felles kommunikasjonslinje. Så vi lager forskjellige undernett for forskjellige VLAN.
Jeg vil gjerne gjøre oppmerksom på at VLAN-konseptet kun gjelder for brytere. Alle som er kjent med innkapslingsprotokoller som .1Q eller ISL vet at verken rutere eller datamaskiner har noen VLAN. Når du kobler datamaskinen, for eksempel, til en av de blå portene, endrer du ikke noe i datamaskinen, alle endringer skjer kun på det andre OSI-nivået, svitsjnivået. Når vi konfigurerer porter til å fungere med et spesifikt VLAN10- eller VLAN20-nettverk, oppretter svitsjen en VLAN-database. Den "registrerer" i minnet at portene 1,3 og 5 tilhører VLAN10, portene 14,15 og 18 er en del av VLAN20, og de resterende involverte portene er en del av VLAN1. Derfor, hvis noe trafikk stammer fra blå port 1, går den bare til portene 3 og 5 på samme VLAN10. Switchen ser på databasen sin og ser at hvis trafikk kommer fra en av de oransje portene, skal den kun gå til de oransje portene til VLAN20.
Datamaskinen vet imidlertid ingenting om disse VLAN-ene. Når vi kobler til 2 brytere, dannes det en trunk mellom de grønne portene. Begrepet "trunk" er bare relevant for Cisco-enheter; andre produsenter av nettverksenheter, for eksempel Juniper, bruker begrepet Tag-port eller "tagget port". Jeg synes navnet Tag-port er mer passende. Når trafikken kommer fra dette nettverket, overfører trunk den til alle portene på neste svitsj, det vil si at vi kobler til to 48-ports svitsjer og får en 96-ports svitsj. Samtidig, når vi sender trafikk fra VLAN10, blir den tagget, det vil si at den er utstyrt med en etikett som viser at den kun er beregnet på porter i VLAN10-nettverket. Den andre bryteren, etter å ha mottatt denne trafikken, leser taggen og forstår at dette er trafikk spesifikt for VLAN10-nettverket og skal bare gå til blå porter. På samme måte er "oransje" trafikk for VLAN20 merket for å indikere at den er bestemt for VLAN20-porter på den andre svitsjen.
Vi nevnte også innkapsling og her er det to metoder for innkapsling. Den første er .1Q, det vil si at når vi organiserer en stamme, må vi sørge for innkapsling. .1Q-innkapslingsprotokollen er en åpen standard som beskriver prosedyren for å merke trafikk. Det er en annen protokoll kalt ISL, Inter-Switch link, utviklet av Cisco, som indikerer at trafikk tilhører et spesifikt VLAN. Alle moderne brytere fungerer med .1Q-protokollen, så når du tar en ny bryter ut av esken, trenger du ikke bruke noen innkapslingskommandoer, fordi det som standard utføres av .1Q-protokollen. Etter å ha opprettet en trunk, skjer trafikkinnkapsling automatisk, noe som gjør det mulig å lese tagger.
La oss nå begynne å sette opp VLAN. La oss lage et nettverk der det vil være 2 brytere og to endeenheter - datamaskiner PC1 og PC2, som vi kobler til med kabler for å bytte #0. La oss starte med de grunnleggende innstillingene til bryteren for grunnleggende konfigurasjon.
For å gjøre dette, klikk på bryteren og gå til kommandolinjegrensesnittet, og angi deretter vertsnavnet, og kall denne bryteren sw1. La oss nå gå videre til innstillingene til den første datamaskinen og angi den statiske IP-adressen 192.168.1.1 og nettverksmasken 255.255. 255.0. Det er ikke behov for en standard gateway-adresse fordi alle enhetene våre er på samme nettverk. Deretter vil vi gjøre det samme for den andre datamaskinen, og tildele den IP-adressen 192.168.1.2.
La oss nå gå tilbake til den første datamaskinen for å pinge den andre datamaskinen. Som du kan se, var pingingen vellykket fordi begge disse datamaskinene er koblet til samme svitsj og er del av det samme nettverket som standard VLAN1. Hvis vi nå ser på switch-grensesnittene, vil vi se at alle FastEthernet-porter fra 1 til 24 og to GigabitEthernet-porter er konfigurert på VLAN #1. En slik overdreven tilgjengelighet er imidlertid ikke nødvendig, så vi går inn i bryterinnstillingene og skriver inn kommandoen show vlan for å se på den virtuelle nettverksdatabasen.
Du ser her navnet på VLAN1-nettverket og det faktum at alle switch-porter tilhører dette nettverket. Dette betyr at du kan koble til en hvilken som helst port, og de vil alle kunne "snakke" med hverandre fordi de er en del av det samme nettverket.
Vi vil endre denne situasjonen; for å gjøre dette, vil vi først opprette to virtuelle nettverk, det vil si å legge til VLAN10. For å opprette et virtuelt nettverk, bruk en kommando som "vlan nettverksnummer".
Som du kan se, når du prøver å opprette et nettverk, viste systemet en melding med en liste over VLAN-konfigurasjonskommandoer som må brukes for denne handlingen:
exit – bruk endringer og avslutt innstillinger;
navn – skriv inn et tilpasset VLAN-navn;
nei – avbryt kommandoen eller sett den som standard.
Dette betyr at før du skriver inn kommandoen create VLAN, må du skrive inn navnekommandoen, som slår på navneadministrasjonsmodus, og deretter fortsette med å opprette et nytt nettverk. I dette tilfellet ber systemet om at VLAN-nummeret kan tildeles i området fra 1 til 1005.
Så nå skriver vi inn kommandoen for å lage VLAN nummer 20 - vlan 20, og deretter gi den et navn for brukeren, som viser hva slags nettverk det er. I vårt tilfelle bruker vi navnet Employees command, eller et nettverk for bedriftsansatte.
Nå må vi tilordne en spesifikk port til dette VLAN. Vi går inn i bryterinnstillingsmodusen int f0/1, og bytter deretter porten manuelt til tilgangsmodus ved hjelp av tilgangskommandoen for switchportmodus og indikerer hvilken port som må byttes til denne modusen - dette er porten for VLAN10-nettverket.
Vi ser at etter dette endret fargen på koblingspunktet mellom PC0 og bryteren, fargen på porten, fra grønn til oransje. Den blir grønn igjen så snart innstillingene trer i kraft. La oss prøve å pinge den andre datamaskinen. Vi har ikke gjort noen endringer i nettverksinnstillingene for datamaskinene, de har fortsatt IP-adresser på 192.168.1.1 og 192.168.1.2. Men hvis vi prøver å pinge PC0 fra datamaskinen PC1, vil ingenting fungere, for nå tilhører disse datamaskinene forskjellige nettverk: den første til VLAN10, den andre til native VLAN1.
La oss gå tilbake til brytergrensesnittet og konfigurere den andre porten. For å gjøre dette, utsteder jeg kommandoen int f0/2 og gjentar de samme trinnene for VLAN 20 som jeg gjorde da jeg konfigurerte det forrige virtuelle nettverket.
Vi ser at nå har også den nedre porten på bryteren, som den andre datamaskinen er koblet til, endret farge fra grønn til oransje – det må gå noen sekunder før endringene i innstillingene trer i kraft og den blir grønn igjen. Hvis vi begynner å pinge den andre datamaskinen igjen, vil ingenting fungere, fordi datamaskinene fortsatt tilhører forskjellige nettverk, bare PC1 er nå en del av VLAN1, ikke VLAN20.
Dermed har du delt en fysisk bryter i to forskjellige logiske brytere. Du ser at nå har portfargen endret seg fra oransje til grønn, porten fungerer, men svarer fortsatt ikke fordi den tilhører et annet nettverk.
La oss gjøre endringer i kretsen vår - koble datamaskinen PC1 fra den første bryteren og koble den til den andre bryteren, og koble selve bryterne med en kabel.
For å etablere en forbindelse mellom dem, vil jeg gå inn i innstillingene til den andre svitsjen og lage VLAN10, og gi den navnet Management, det vil si administrasjonsnettverket. Deretter aktiverer jeg tilgangsmodus og spesifiserer at denne modusen er for VLAN10. Nå har fargen på portene som bryterne er koblet til, endret seg fra oransje til grønn fordi de begge er konfigurert på VLAN10. Nå må vi lage en trunk mellom begge bryterne. Begge disse portene er Fa0/2, så du må opprette en trunk for Fa0/2-porten til den første svitsjen ved å bruke kommandoen switchport mode trunk. Det samme må gjøres for den andre bryteren, hvoretter det dannes en trunk mellom disse to portene.
Nå, hvis jeg vil pinge PC1 fra den første datamaskinen, vil alt ordne seg, fordi forbindelsen mellom PC0 og switch #0 er et VLAN10-nettverk, mellom switch #1 og PC1 er også VLAN10, og begge switchene er koblet sammen med en trunk .
Så hvis enheter er plassert på forskjellige VLAN-er, er de ikke koblet til hverandre, men hvis de er på samme nettverk, kan trafikk fritt utveksles mellom dem. La oss prøve å legge til en enhet til for hver bryter.
I nettverksinnstillingene til datamaskinen PC2 som ble lagt til, vil jeg sette IP-adressen til 192.168.2.1, og i innstillingene til PC3 vil adressen være 192.168.2.2. I dette tilfellet vil portene som disse to PC-ene er koblet til bli betegnet med Fa0/3. I innstillingene til bryter #0 vil vi sette tilgangsmodus og indikere at denne porten er beregnet for VLAN20, og vi vil gjøre det samme for bryter #1.
Hvis jeg bruker kommandoen switchport access vlan 20, og VLAN20 ennå ikke er opprettet, vil systemet vise en feil som "Access VLAN exists not exist" fordi svitsjene er konfigurert til å fungere bare med VLAN10.
La oss lage VLAN20. Jeg bruker kommandoen "vis VLAN" for å se den virtuelle nettverksdatabasen.
Du kan se at standardnettverket er VLAN1, som portene Fa0/4 til Fa0/24 og Gig0/1, Gig0/2 er koblet til. VLAN nummer 10, kalt Management, er koblet til port Fa0/1, og VLAN nummer 20, kalt VLAN0020 som standard, er koblet til port Fa0/3.
I prinsippet spiller ikke navnet på nettverket noen rolle, det viktigste er at det ikke gjentas for forskjellige nettverk. Hvis jeg ønsker å endre nettverksnavnet som systemet tildeler som standard, bruker jeg kommandoen vlan 20 og navngir ansatte. Jeg kan endre dette navnet til noe annet, som IPphones, og hvis vi pinger IP-adressen 192.168.2.2, kan vi se at VLAN-navnet ikke har noen betydning.
Det siste jeg vil nevne er formålet med Management IP, som vi snakket om i forrige leksjon. For å gjøre dette bruker vi kommandoen int vlan1 og skriver inn IP-adressen 10.1.1.1 og subnettmasken 255.255.255.0 og legger deretter til kommandoen no shutdown. Vi tildelte Management IP ikke for hele svitsjen, men bare for VLAN1-portene, det vil si at vi tildelte IP-adressen som VLAN1-nettverket administreres fra. Hvis vi vil administrere VLAN2, må vi lage et tilsvarende grensesnitt for VLAN2. I vårt tilfelle er det blå VLAN10-porter og oransje VLAN20-porter, som tilsvarer adressene 192.168.1.0 og 192.168.2.0.
VLAN10 må ha adresser plassert i samme område slik at de aktuelle enhetene kan koble til den. En lignende innstilling må gjøres for VLAN20.
Dette bryterkommandolinjevinduet viser grensesnittinnstillingene for VLAN1, det vil si native VLAN.
For å konfigurere Management IP for VLAN10, må vi opprette et grensesnitt int vlan 10, og deretter legge til IP-adressen 192.168.1.10 og subnettmasken 255.255.255.0.
For å konfigurere VLAN20 må vi lage et grensesnitt int vlan 20, og deretter legge til IP-adressen 192.168.2.10 og subnettmasken 255.255.255.0.
Hvorfor er dette nødvendig? Hvis datamaskin PC0 og øvre venstre port på bryter #0 tilhører 192.168.1.0-nettverket, tilhører PC2 192.168.2.0-nettverket og er koblet til den opprinnelige VLAN1-porten, som tilhører 10.1.1.1-nettverket, kan ikke PC0 etablere kommunikasjon med denne bryteren via protokollen SSH fordi de tilhører forskjellige nettverk. Derfor, for at PC0 skal kunne kommunisere med svitsjen via SSH eller Telnet, må vi gi den tilgangstilgang. Dette er grunnen til at vi trenger nettverksadministrasjon.
Vi skal kunne binde PC0 ved hjelp av SSH eller Telnet til VLAN20-grensesnittets IP-adresse og gjøre eventuelle endringer vi trenger via SSH. Derfor er Management IP nødvendig spesifikt for å konfigurere VLAN, fordi hvert virtuelle nettverk må ha sin egen tilgangskontroll.
I dagens video diskuterte vi mange problemer: grunnleggende bryterinnstillinger, opprettelse av VLAN-er, tilordning av VLAN-porter, tilordning av Management IP for VLAN og konfigurering av trunks. Ikke vær flau hvis du ikke forstår noe, dette er naturlig, for VLAN er et veldig komplekst og bredt tema som vi kommer tilbake til i fremtidige leksjoner. Jeg garanterer at du med min hjelp kan bli en VLAN-mester, men poenget med denne leksjonen var å avklare 3 spørsmål for deg: hva er VLAN, hvorfor trenger vi dem og hvordan du konfigurerer dem.
Takk for at du bor hos oss. Liker du artiklene våre? Vil du se mer interessant innhold? Støtt oss ved å legge inn en bestilling eller anbefale til venner, 30 % rabatt for Habr-brukere på en unik analog av inngangsnivåservere, som ble oppfunnet av oss for deg: (tilgjengelig med RAID1 og RAID10, opptil 24 kjerner og opptil 40 GB DDR4).
Dell R730xd 2 ganger billigere? Bare her i Nederland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Lese om
Kilde: www.habr.com