Antes de entrarmos no básico das VLANs, peço a todos vocês que pausem este vídeo, cliquem no ícone no canto inferior esquerdo onde diz Consultor de rede, acessem nossa página no Facebook e curtam lá. Em seguida, volte ao vídeo e clique no ícone do Rei no canto inferior direito para se inscrever em nosso canal oficial no YouTube. Estamos constantemente adicionando novas séries, agora isso diz respeito ao curso CCNA, então planejamos iniciar um curso de videoaulas CCNA Security, Network+, PMP, ITIL, Prince2 e publicar essas séries maravilhosas em nosso canal.
Então, hoje falaremos sobre o básico da VLAN e responderemos 3 perguntas: o que é uma VLAN, por que precisamos de uma VLAN e como configurá-la. Espero que depois de assistir a este vídeo tutorial você consiga responder às três perguntas.
O que é VLAN? VLAN é uma abreviatura de rede local virtual. Posteriormente neste tutorial, veremos por que essa rede é virtual, mas antes de passarmos para as VLANs, precisamos entender como funciona um switch. Revisaremos algumas das questões que discutimos nas lições anteriores.
Primeiro, vamos discutir o que é um domínio de colisão múltipla. Sabemos que este switch de 48 portas possui 48 domínios de colisão. Isso significa que cada uma dessas portas, ou dispositivos conectados a essas portas, pode se comunicar com outro dispositivo em uma porta diferente de maneira independente, sem afetar um ao outro.
Todas as 48 portas deste switch fazem parte de um Domínio de Broadcast. Isso significa que se vários dispositivos estiverem conectados a várias portas e um deles estiver transmitindo, ele aparecerá em todas as portas às quais os dispositivos restantes estão conectados. É exatamente assim que funciona um switch.
É como se as pessoas estivessem sentadas na mesma sala, próximas umas das outras, e quando uma delas dissesse algo em voz alta, todos os outros pudessem ouvir. No entanto, isto é completamente ineficaz - quanto mais pessoas aparecerem na sala, mais barulhenta ela se tornará e os presentes não se ouvirão mais. Uma situação semelhante surge com os computadores - quanto mais dispositivos estão conectados a uma rede, maior se torna o “volume” da transmissão, o que não permite estabelecer uma comunicação eficaz.
Sabemos que se um desses dispositivos estiver conectado à rede 192.168.1.0/24, todos os outros dispositivos farão parte da mesma rede. O switch também deve estar conectado a uma rede com o mesmo endereço IP. Mas aqui o switch, como um dispositivo OSI de camada 2, pode ter um problema. Se dois dispositivos estiverem conectados à mesma rede, eles poderão se comunicar facilmente com os computadores um do outro. Vamos supor que nossa empresa tenha um “bandido”, um hacker, que desenharei acima. Abaixo está meu computador. Portanto, é muito fácil para esse hacker invadir meu computador porque nossos computadores fazem parte da mesma rede. Esse é o problema.
Se eu pertenço à gestão administrativa e esse cara novo conseguir acessar os arquivos do meu computador, não vai adiantar nada. É claro que meu computador possui um firewall que protege contra muitas ameaças, mas não seria difícil para um hacker contorná-lo.
O segundo perigo que existe para todos os membros deste domínio de transmissão é que se alguém tiver um problema com a transmissão, essa interferência afetará outros dispositivos na rede. Embora todas as 48 portas possam ser conectadas a hosts diferentes, a falha de um host afetará as outras 47, o que não é o que precisamos.
Para resolver este problema usamos o conceito de VLAN, ou rede local virtual. Funciona de forma muito simples, dividindo este grande switch de 48 portas em vários switches menores.
Sabemos que as sub-redes dividem uma rede grande em várias redes pequenas e as VLANs funcionam de maneira semelhante. Ele divide um switch de 48 portas, por exemplo, em 4 switches de 12 portas, cada um deles fazendo parte de uma nova rede conectada. Ao mesmo tempo, podemos utilizar 12 portas para gerenciamento, 12 portas para telefonia IP e assim por diante, ou seja, dividir o switch não fisicamente, mas logicamente, virtualmente.
Aloquei três portas azuis no switch superior para a rede VLAN10 azul e atribuí três portas laranja para VLAN20. Assim, qualquer tráfego de uma dessas portas azuis irá apenas para as outras portas azuis, sem afetar as demais portas deste switch. O tráfego das portas laranja será distribuído de forma semelhante, ou seja, é como se estivéssemos utilizando dois switches físicos diferentes. Assim, VLAN é uma forma de dividir um switch em vários switches para redes diferentes.
Desenhei dois switches no topo, aqui temos uma situação em que no switch esquerdo apenas as portas azuis de uma rede estão conectadas, e à direita – apenas portas laranja para outra rede, e esses switches não estão conectados entre si de forma alguma .
Digamos que você queira usar mais portas. Vamos imaginar que temos 2 edifícios, cada um com sua própria equipe de gerenciamento, e duas portas laranja do switch inferior são usadas para gerenciamento. Portanto, precisamos que essas portas estejam conectadas a todas as portas laranja de outros switches. A situação é semelhante com as portas azuis - todas as portas azuis do switch superior devem ser conectadas a outras portas de cor semelhante. Para fazer isso, precisamos conectar fisicamente esses dois switches em edifícios diferentes com uma linha de comunicação separada; na figura, esta é a linha entre as duas portas verdes. Como sabemos, se dois switches estiverem conectados fisicamente, formamos um backbone, ou tronco.
Qual é a diferença entre um switch normal e um switch VLAN? Não é uma grande diferença. Quando você compra um novo switch, por padrão todas as portas são configuradas no modo VLAN e fazem parte da mesma rede, designada VLAN1. É por isso que quando conectamos qualquer dispositivo a uma porta, ele acaba conectado a todas as outras portas porque todas as 48 portas pertencem à mesma VLAN1. Mas se configurarmos as portas azuis para funcionarem na rede VLAN10, as portas laranja na rede VLAN20 e as portas verdes na VLAN1, obteremos 3 switches diferentes. Assim, usar o modo de rede virtual nos permite agrupar logicamente portas em redes específicas, dividir transmissões em partes e criar sub-redes. Neste caso, cada uma das portas de uma cor específica pertence a uma rede separada. Se as portas azuis funcionarem na rede 192.168.1.0 e as portas laranja funcionarem na rede 192.168.1.0, apesar do mesmo endereço IP, elas não estarão conectadas entre si, porque pertencerão logicamente a switches diferentes. E como sabemos, diferentes switches físicos não se comunicam entre si, a menos que estejam conectados por uma linha de comunicação comum. Portanto, criamos sub-redes diferentes para VLANs diferentes.
Gostaria de chamar a atenção para o fato de que o conceito de VLAN se aplica apenas a switches. Qualquer pessoa familiarizada com protocolos de encapsulamento como .1Q ou ISL sabe que nem roteadores nem computadores possuem VLANs. Ao conectar seu computador, por exemplo, a uma das portas azuis, você não altera nada no computador, todas as alterações ocorrem apenas no segundo nível OSI, o nível do switch. Quando configuramos portas para funcionar com uma rede VLAN10 ou VLAN20 específica, o switch cria um banco de dados de VLAN. Ele “grava” em sua memória que as portas 1,3 e 5 pertencem à VLAN10, as portas 14,15 e 18 fazem parte da VLAN20 e as demais portas envolvidas fazem parte da VLAN1. Portanto, se algum tráfego tiver origem na porta azul 1, ele irá apenas para as portas 3 e 5 da mesma VLAN10. O switch analisa seu banco de dados e vê que se o tráfego vier de uma das portas laranja, ele deverá ir apenas para as portas laranja da VLAN20.
Entretanto, o computador não sabe nada sobre essas VLANs. Quando conectamos 2 switches, um tronco é formado entre as portas verdes. O termo “tronco” é relevante apenas para dispositivos Cisco; outros fabricantes de dispositivos de rede, como a Juniper, usam o termo porta Tag ou “porta etiquetada”. Acho que o nome Tag port é mais apropriado. Quando o tráfego vem dessa rede, o tronco o transmite para todas as portas do próximo switch, ou seja, conectamos dois switches de 48 portas e obtemos um switch de 96 portas. Ao mesmo tempo, quando enviamos o tráfego da VLAN10, ele fica marcado, ou seja, recebe uma etiqueta que mostra que se destina apenas às portas da rede VLAN10. O segundo switch, tendo recebido esse tráfego, lê a tag e entende que se trata de tráfego específico para a rede VLAN10 e deve ir apenas para as portas azuis. Da mesma forma, o tráfego "laranja" para VLAN20 é marcado para indicar que é destinado às portas VLAN20 no segundo switch.
Também mencionamos o encapsulamento e aqui existem dois métodos de encapsulamento. O primeiro é o .1Q, ou seja, quando organizamos um trunk devemos providenciar o encapsulamento. O protocolo de encapsulamento .1Q é um padrão aberto que descreve o procedimento para etiquetar o tráfego. Existe outro protocolo chamado ISL, Inter-Switch link, desenvolvido pela Cisco, que indica que o tráfego pertence a uma VLAN específica. Todos os switches modernos funcionam com o protocolo .1Q, portanto, ao tirar um novo switch da caixa, você não precisa usar nenhum comando de encapsulamento, pois por padrão ele é executado pelo protocolo .1Q. Assim, após a criação de um tronco, o encapsulamento do tráfego ocorre automaticamente, o que permite a leitura dos tags.
Agora vamos começar a configurar a VLAN. Vamos criar uma rede na qual haverá 2 switches e dois dispositivos finais - computadores PC1 e PC2, que conectaremos com cabos ao switch #0. Vamos começar com as configurações básicas do switch Configuração Básica.
Para fazer isso, clique no switch e vá para a interface da linha de comando e defina o nome do host, chamando esse switch de sw1. Agora vamos passar para as configurações do primeiro computador e definir o endereço IP estático 192.168.1.1 e a máscara de sub-rede 255.255. 255.0. Não há necessidade de um endereço de gateway padrão porque todos os nossos dispositivos estão na mesma rede. A seguir faremos o mesmo para o segundo computador, atribuindo-lhe o endereço IP 192.168.1.2.
Agora vamos voltar ao primeiro computador para fazer ping no segundo computador. Como você pode ver, o ping foi bem-sucedido porque ambos os computadores estão conectados ao mesmo switch e fazem parte da mesma rede por padrão VLAN1. Se olharmos agora para as interfaces do switch, veremos que todas as portas FastEthernet de 1 a 24 e duas portas GigabitEthernet estão configuradas na VLAN #1. No entanto, essa disponibilidade excessiva não é necessária, então vamos para as configurações do switch e inserimos o comando show vlan para examinar o banco de dados da rede virtual.
Você vê aqui o nome da rede VLAN1 e o fato de que todas as portas do switch pertencem a esta rede. Isso significa que você pode se conectar a qualquer porta e todos poderão “conversar” entre si porque fazem parte da mesma rede.
Vamos mudar essa situação, para isso vamos primeiro criar duas redes virtuais, ou seja, adicionar a VLAN10. Para criar uma rede virtual, use um comando como “número de rede vlan”.
Como você pode ver, ao tentar criar uma rede, o sistema exibiu uma mensagem com uma lista de comandos de configuração de VLAN que precisam ser utilizados para esta ação:
sair – aplica alterações e sai das configurações;
nome – insira um nome de VLAN personalizado;
não – cancele o comando ou defina-o como padrão.
Isso significa que antes de inserir o comando create VLAN, você deve inserir o comando name, que ativa o modo de gerenciamento de nomes, e então prosseguir para criar uma nova rede. Neste caso, o sistema solicita que o número da VLAN possa ser atribuído no intervalo de 1 a 1005.
Então agora inserimos o comando para criar o número VLAN 20 - vlan 20 e, em seguida, atribuímos um nome ao usuário, que mostra que tipo de rede é. No nosso caso, utilizamos o nome de comando Funcionários, ou rede para funcionários da empresa.
Agora precisamos atribuir uma porta específica a esta VLAN. Entramos no modo de configurações do switch int f0/1, depois alternamos manualmente a porta para o modo Access usando o comando switchport mode access e indicamos qual porta precisa ser alternada para este modo - esta é a porta para a rede VLAN10.
Vemos que depois disso a cor do ponto de conexão entre PC0 e o switch, a cor da porta, mudou de verde para laranja. Ele ficará verde novamente assim que as alterações nas configurações entrarem em vigor. Vamos tentar fazer ping no segundo computador. Não fizemos nenhuma alteração nas configurações de rede dos computadores, eles ainda possuem endereços IP 192.168.1.1 e 192.168.1.2. Mas se tentarmos fazer ping no PC0 do computador PC1, nada funcionará, porque agora esses computadores pertencem a redes diferentes: o primeiro à VLAN10, o segundo à VLAN1 nativa.
Vamos voltar à interface do switch e configurar a segunda porta. Para fazer isso, emitirei o comando int f0/2 e repetirei as mesmas etapas para a VLAN 20 como fiz ao configurar a rede virtual anterior.
Vemos que agora a porta inferior do switch, à qual o segundo computador está conectado, também mudou sua cor de verde para laranja - devem se passar alguns segundos antes que as alterações nas configurações tenham efeito e fique verde novamente. Se começarmos a executar ping no segundo computador novamente, nada funcionará, porque os computadores ainda pertencem a redes diferentes, apenas o PC1 agora faz parte da VLAN1, não da VLAN20.
Assim, você dividiu um switch físico em dois switches lógicos diferentes. Você vê que agora a cor da porta mudou de laranja para verde, a porta está funcionando, mas ainda não responde porque pertence a uma rede diferente.
Vamos fazer alterações em nosso circuito - desconecte o computador PC1 do primeiro switch e conecte-o ao segundo switch, e conecte os próprios switches com um cabo.
Para estabelecer a conexão entre eles, irei nas configurações do segundo switch e criarei a VLAN10, dando-lhe o nome de Management, ou seja, rede de gerenciamento. Em seguida, ativarei o modo de acesso e especificarei que esse modo é para VLAN10. Agora a cor das portas através das quais os switches estão conectados mudou de laranja para verde porque ambos estão configurados na VLAN10. Agora precisamos criar um tronco entre os dois switches. Ambas as portas são Fa0/2, portanto, você precisa criar um tronco para a porta Fa0/2 do primeiro switch usando o comando switchport mode trunk. O mesmo deve ser feito para o segundo switch, após o qual é formado um tronco entre essas duas portas.
Agora, se eu quiser fazer ping no PC1 do primeiro computador, tudo vai dar certo, pois a conexão entre o PC0 e o switch #0 é uma rede VLAN10, entre o switch #1 e o PC1 também é VLAN10, e ambos os switches estão conectados por um tronco .
Portanto, se os dispositivos estiverem localizados em VLANs diferentes, eles não estarão conectados entre si, mas se estiverem na mesma rede, o tráfego poderá ser trocado livremente entre eles. Vamos tentar adicionar mais um dispositivo a cada switch.
Nas configurações de rede do computador PC2 adicionado, definirei o endereço IP para 192.168.2.1, e nas configurações do PC3, o endereço será 192.168.2.2. Neste caso, as portas às quais estes dois PCs estão conectados serão designadas Fa0/3. Nas configurações do switch #0 definiremos o modo de acesso e indicaremos que esta porta é destinada à VLAN20, e faremos o mesmo para o switch #1.
Se eu usar o comando switchport access vlan 20 e a VLAN20 ainda não tiver sido criada, o sistema exibirá um erro como “Access VLAN does not exist” porque os switches estão configurados para funcionar apenas com VLAN10.
Vamos criar a VLAN20. Eu uso o comando “show VLAN” para visualizar o banco de dados da rede virtual.
Você pode ver que a rede padrão é VLAN1, à qual as portas Fa0/4 a Fa0/24 e Gig0/1, Gig0/2 estão conectadas. A VLAN número 10, denominada Management, está conectada à porta Fa0/1, e a VLAN número 20, denominada VLAN0020 por padrão, está conectada à porta Fa0/3.
Em princípio, o nome da rede não importa, o principal é que não se repita para redes diferentes. Se eu quiser alterar o nome da rede que o sistema atribui por padrão, utilizo o comando vlan 20 e nomeio Funcionários. Posso mudar esse nome para outro nome, como IPphones, e se executarmos ping no endereço IP 192.168.2.2, veremos que o nome da VLAN não tem significado.
A última coisa que quero mencionar é o propósito do Management IP, do qual falamos na última lição. Para fazer isso usamos o comando int vlan1 e inserimos o endereço IP 10.1.1.1 e a máscara de sub-rede 255.255.255.0 e depois adicionamos o comando no shutdown. Atribuímos o IP de gerenciamento não para todo o switch, mas apenas para as portas VLAN1, ou seja, atribuímos o endereço IP a partir do qual a rede VLAN1 é gerenciada. Se quisermos gerenciar a VLAN2, precisamos criar uma interface correspondente para a VLAN2. No nosso caso, existem portas VLAN10 azuis e portas VLAN20 laranja, que correspondem aos endereços 192.168.1.0 e 192.168.2.0.
A VLAN10 deve ter endereços localizados no mesmo intervalo para que os dispositivos apropriados possam se conectar a ela. Uma configuração semelhante deve ser feita para VLAN20.
Esta janela de linha de comando do switch mostra as configurações de interface para VLAN1, ou seja, VLAN nativa.
Para configurar o Management IP para VLAN10, devemos criar uma interface int vlan 10, e em seguida adicionar o endereço IP 192.168.1.10 e a máscara de sub-rede 255.255.255.0.
Para configurar a VLAN20, devemos criar uma interface int vlan 20, e em seguida adicionar o endereço IP 192.168.2.10 e a máscara de sub-rede 255.255.255.0.
Por que isso é necessário? Se o computador PC0 e a porta superior esquerda do switch #0 pertencerem à rede 192.168.1.0, PC2 pertencer à rede 192.168.2.0 e estiver conectado à porta VLAN1 nativa, que pertence à rede 10.1.1.1, então PC0 não poderá estabelecer comunicação com este switch através do protocolo SSH porque pertencem a redes diferentes. Portanto, para que PC0 se comunique com o switch via SSH ou Telnet, devemos conceder-lhe acesso Access. É por isso que precisamos de gerenciamento de rede.
Devemos ser capazes de vincular PC0 usando SSH ou Telnet ao endereço IP da interface VLAN20 e fazer as alterações necessárias via SSH. Assim, o Management IP é necessário especificamente para configuração de VLANs, pois cada rede virtual deve ter seu próprio controle de acesso.
No vídeo de hoje, discutimos muitos assuntos: configurações básicas de switch, criação de VLANs, atribuição de portas VLAN, atribuição de IP de gerenciamento para VLANs e configuração de troncos. Não fique constrangido se não entender alguma coisa, isso é natural, pois VLAN é um tema muito complexo e amplo ao qual voltaremos em lições futuras. Garanto que com minha ajuda você poderá se tornar um mestre de VLAN, mas o objetivo desta lição foi esclarecer 3 questões para você: o que são VLANs, por que precisamos delas e como configurá-las.
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com