Înainte de a intra în elementele de bază ale VLAN-urilor, v-aș ruga pe toți să întrerupeți acest videoclip, să faceți clic pe pictograma din colțul din stânga jos unde scrie Consultant în rețea, să mergeți la pagina noastră de Facebook și să dați un like acolo. Apoi reveniți la videoclip și faceți clic pe pictograma King din colțul din dreapta jos pentru a vă abona la canalul nostru oficial YouTube. Adăugăm constant noi serii, acum este vorba despre cursul CCNA, apoi plănuim să începem un curs de lecții video CCNA Security, Network+, PMP, ITIL, Prince2 și să publicăm aceste minunate serii pe canalul nostru.
Așadar, astăzi vom vorbi despre elementele de bază ale VLAN-ului și vom răspunde la 3 întrebări: ce este un VLAN, de ce avem nevoie de un VLAN și cum să îl configuram. Sper că după ce vizionați acest tutorial video veți putea răspunde la toate cele trei întrebări.
Ce este VLAN? VLAN este o abreviere pentru rețea locală virtuală. Mai târziu, în acest tutorial, vom analiza de ce această rețea este virtuală, dar înainte de a trece la VLAN-uri, trebuie să înțelegem cum funcționează un comutator. Vom trece în revistă câteva dintre întrebările pe care le-am discutat în lecțiile anterioare.
Mai întâi, să discutăm ce este un domeniu de coliziune multiplă. Știm că acest comutator cu 48 de porturi are 48 de domenii de coliziune. Aceasta înseamnă că fiecare dintre aceste porturi, sau dispozitivele conectate la aceste porturi, pot comunica cu un alt dispozitiv pe un alt port într-o manieră independentă, fără a se afecta reciproc.
Toate cele 48 de porturi ale acestui comutator fac parte dintr-un domeniu de difuzare. Aceasta înseamnă că dacă mai multe dispozitive sunt conectate la mai multe porturi și unul dintre ele transmite, acesta va apărea pe toate porturile la care sunt conectate dispozitivele rămase. Exact așa funcționează un comutator.
E ca și cum oamenii s-au așezat în aceeași cameră aproape unul de celălalt, iar când unul dintre ei spunea ceva cu voce tare, toți ceilalți îl puteau auzi. Cu toate acestea, acest lucru este complet ineficient - cu cât apar mai mulți oameni în cameră, cu atât va deveni mai zgomotos și cei prezenți nu se vor mai auzi. O situație similară apare și în cazul computerelor - cu cât mai multe dispozitive sunt conectate la o singură rețea, cu atât „volumul” difuzării devine mai mare, ceea ce nu permite stabilirea unei comunicări eficiente.
Știm că, dacă unul dintre aceste dispozitive este conectat la rețeaua 192.168.1.0/24, toate celelalte dispozitive fac parte din aceeași rețea. De asemenea, comutatorul trebuie să fie conectat la o rețea cu aceeași adresă IP. Dar aici comutatorul, ca dispozitiv OSI layer 2, poate avea o problemă. Dacă două dispozitive sunt conectate la aceeași rețea, ele pot comunica cu ușurință unul cu computerele celuilalt. Să presupunem că compania noastră are un „băiat rău”, un hacker, pe care îl voi desena mai sus. Mai jos este computerul meu. Deci, este foarte ușor pentru acest hacker să pătrundă în computerul meu, deoarece computerele noastre fac parte din aceeași rețea. Aceasta este problema.
Dacă aparțin managementului administrativ și acest tip nou poate accesa fișierele de pe computerul meu, nu va fi deloc bine. Desigur, computerul meu are un firewall care protejează împotriva multor amenințări, dar nu ar fi dificil pentru un hacker să-l ocolească.
Al doilea pericol care există pentru toți cei care sunt membri ai acestui domeniu de difuzare este că, dacă cineva are o problemă cu difuzarea, interferența respectivă va afecta alte dispozitive din rețea. Deși toate cele 48 de porturi pot fi conectate la gazde diferite, eșecul unei gazde va afecta celelalte 47, ceea ce nu este ceea ce avem nevoie.
Pentru a rezolva această problemă folosim conceptul de VLAN sau rețea locală virtuală. Funcționează foarte simplu, împărțind acest comutator mare cu 48 de porturi în mai multe comutatoare mai mici.
Știm că subrețelele împart o rețea mare în mai multe rețele mici, iar VLAN-urile funcționează într-un mod similar. Împarte un comutator cu 48 de porturi, de exemplu, în 4 comutatoare cu 12 porturi, fiecare dintre acestea fiind parte a unei noi rețele conectate. În același timp, putem folosi 12 porturi pentru administrare, 12 porturi pentru telefonie IP și așa mai departe, adică să împărțim comutatorul nu fizic, ci logic, virtual.
Am alocat trei porturi albastre pe comutatorul superior pentru rețeaua albastră VLAN10 și am atribuit trei porturi portocalii pentru VLAN20. Astfel, orice trafic de la unul dintre aceste porturi albastre va merge doar către celelalte porturi albastre, fără a afecta celelalte porturi ale acestui switch. Traficul din porturile portocalii va fi distribuit în mod similar, adică este ca și cum am folosi două comutatoare fizice diferite. Astfel, VLAN este o modalitate de a împărți un comutator în mai multe switch-uri pentru diferite rețele.
Am desenat două comutatoare deasupra, aici avem o situație în care în comutatorul din stânga sunt conectate doar porturi albastre pentru o rețea, iar în dreapta – doar porturi portocalii pentru o altă rețea, iar aceste comutatoare nu sunt conectate între ele în niciun fel .
Să presupunem că doriți să utilizați mai multe porturi. Să ne imaginăm că avem 2 clădiri, fiecare cu propriul personal de conducere, iar pentru management sunt folosite două porturi portocalii ale switch-ului inferior. Prin urmare, avem nevoie ca aceste porturi să fie conectate la toate porturile portocalii ale altor switch-uri. Situația este similară cu porturile albastre - toate porturile albastre ale comutatorului superior trebuie conectate la alte porturi de culoare similară. Pentru a face acest lucru, trebuie să conectăm fizic aceste două comutatoare în clădiri diferite cu o linie de comunicație separată; în figură, aceasta este linia dintre cele două porturi verzi. După cum știm, dacă două comutatoare sunt conectate fizic, formăm o coloană vertebrală sau trunchi.
Care este diferența dintre un comutator obișnuit și unul VLAN? Nu este o mare diferență. Când cumpărați un switch nou, în mod implicit toate porturile sunt configurate în modul VLAN și fac parte din aceeași rețea, desemnată VLAN1. De aceea, atunci când conectăm orice dispozitiv la un port, acesta ajunge să fie conectat la toate celelalte porturi, deoarece toate cele 48 de porturi aparțin aceluiași VLAN1. Dar dacă configuram porturile albastre să funcționeze în rețeaua VLAN10, porturile portocalii din rețeaua VLAN20 și porturile verzi pe VLAN1, vom obține 3 switch-uri diferite. Astfel, utilizarea modului de rețea virtuală ne permite să grupăm logic porturile în rețele specifice, să împărțim transmisiile în părți și să creăm subrețele. În acest caz, fiecare dintre porturile unei anumite culori aparține unei rețele separate. Dacă porturile albastre funcționează pe rețeaua 192.168.1.0, iar porturile portocalii funcționează pe rețeaua 192.168.1.0, atunci, în ciuda aceleiași adrese IP, acestea nu vor fi conectate între ele, deoarece vor aparține în mod logic unor switch-uri diferite. Și după cum știm, diferitele comutatoare fizice nu comunică între ele decât dacă sunt conectate printr-o linie de comunicație comună. Deci creăm diferite subrețele pentru diferite VLAN-uri.
Aș dori să vă atrag atenția asupra faptului că conceptul VLAN se aplică numai comutatoarelor. Oricine este familiarizat cu protocoalele de încapsulare precum .1Q sau ISL știe că nici routerele, nici computerele nu au VLAN-uri. Când vă conectați computerul, de exemplu, la unul dintre porturile albastre, nu schimbați nimic în computer, toate modificările apar doar la al doilea nivel OSI, nivelul comutatorului. Când configurăm porturi pentru a funcționa cu o anumită rețea VLAN10 sau VLAN20, comutatorul creează o bază de date VLAN. „Înregistrează” în memoria sa că porturile 1,3 și 5 aparțin VLAN10, porturile 14,15 și 18 fac parte din VLAN20, iar porturile rămase implicate fac parte din VLAN1. Prin urmare, dacă o parte din trafic provine din portul albastru 1, acesta merge doar către porturile 3 și 5 ale aceluiași VLAN10. Comutatorul se uită la baza sa de date și vede că, dacă traficul vine de la unul dintre porturile portocalii, ar trebui să meargă doar către porturile portocalii ale VLAN20.
Cu toate acestea, computerul nu știe nimic despre aceste VLAN-uri. Când conectăm 2 comutatoare, se formează un trunchi între porturile verzi. Termenul „trunchi” este relevant doar pentru dispozitivele Cisco; alți producători de dispozitive de rețea, cum ar fi Juniper, folosesc termenul Port etichetat sau „port etichetat”. Cred că numele Tag port este mai potrivit. Când traficul provine din această rețea, trunchiul îl transmite către toate porturile următorului switch, adică conectăm două switch-uri cu 48 de porturi și obținem un switch cu 96 de porturi. În același timp, atunci când trimitem trafic de la VLAN10, acesta devine etichetat, adică este prevăzut cu o etichetă care arată că este destinat doar porturilor rețelei VLAN10. Cel de-al doilea comutator, după ce a primit acest trafic, citește eticheta și înțelege că acesta este trafic specific pentru rețeaua VLAN10 și ar trebui să meargă numai la porturile albastre. În mod similar, traficul „portocaliu” pentru VLAN20 este etichetat pentru a indica faptul că este destinat porturilor VLAN20 de pe al doilea switch.
Am menționat și încapsularea și aici există două metode de încapsulare. Primul este .1Q, adică atunci când organizăm un trunchi, trebuie să asigurăm încapsulare. Protocolul de încapsulare .1Q este un standard deschis care descrie procedura de etichetare a traficului. Există un alt protocol numit ISL, Inter-Switch link, dezvoltat de Cisco, care indică faptul că traficul aparține unui anumit VLAN. Toate comutatoarele moderne funcționează cu protocolul .1Q, așa că atunci când scoateți un nou comutator din cutie, nu trebuie să utilizați nicio comandă de încapsulare, deoarece în mod implicit este realizat prin protocolul .1Q. Astfel, după crearea unui trunchi, încapsularea traficului are loc automat, ceea ce permite citirea etichetelor.
Acum să începem configurarea VLAN-ului. Să creăm o rețea în care vor exista 2 comutatoare și două dispozitive finale - calculatoarele PC1 și PC2, pe care le vom conecta cu cabluri pentru a comuta #0. Să începem cu setările de bază ale comutatorului Configurație de bază.
Pentru a face acest lucru, faceți clic pe comutator și accesați interfața de linie de comandă, apoi setați numele gazdei, apelând acest comutator sw1. Acum să trecem la setările primului computer și să setăm adresa IP statică 192.168.1.1 și masca de subrețea 255.255. 255.0. Nu este nevoie de o adresă de gateway implicită, deoarece toate dispozitivele noastre sunt în aceeași rețea. În continuare, vom face același lucru pentru al doilea computer, atribuindu-i adresa IP 192.168.1.2.
Acum să revenim la primul computer pentru a da ping celui de-al doilea computer. După cum puteți vedea, ping-ul a avut succes, deoarece ambele computere sunt conectate la același switch și fac parte din aceeași rețea în mod implicit VLAN1. Dacă ne uităm acum la interfețele switch-ului, vom vedea că toate porturile FastEthernet de la 1 la 24 și două porturi GigabitEthernet sunt configurate pe VLAN #1. Cu toate acestea, o astfel de disponibilitate excesivă nu este necesară, așa că intrăm în setările comutatorului și introducem comanda show vlan pentru a ne uita la baza de date a rețelei virtuale.
Vedeți aici numele rețelei VLAN1 și faptul că toate porturile de comutare aparțin acestei rețele. Aceasta înseamnă că vă puteți conecta la orice port și toți vor putea „vorbi” între ei, deoarece fac parte din aceeași rețea.
Vom schimba această situație; pentru a face acest lucru, vom crea mai întâi două rețele virtuale, adică vom adăuga VLAN10. Pentru a crea o rețea virtuală, utilizați o comandă precum „numărul rețelei vlan”.
După cum puteți vedea, atunci când încercați să creați o rețea, sistemul a afișat un mesaj cu o listă de comenzi de configurare VLAN care trebuie utilizate pentru această acțiune:
ieșire – aplică modificări și setări de ieșire;
nume – introduceți un nume VLAN personalizat;
nu – anulați comanda sau setați-o ca implicită.
Aceasta înseamnă că înainte de a introduce comanda create VLAN, trebuie să introduceți comanda name, care pornește modul de gestionare a numelui și apoi să continuați la crearea unei noi rețele. În acest caz, sistemul solicită ca numărul VLAN poate fi atribuit în intervalul de la 1 la 1005.
Așa că acum introducem comanda pentru a crea numărul VLAN 20 - vlan 20 și apoi îi dăm un nume pentru utilizator, care arată ce fel de rețea este. În cazul nostru, folosim numele de comandă Employees sau o rețea pentru angajații companiei.
Acum trebuie să atribuim un anumit port acestui VLAN. Intrăm în modul setări comutator int f0/1, apoi comutăm manual portul în modul Acces folosind comanda de acces în modul switchport și indicăm ce port trebuie comutat în acest mod - acesta este portul pentru rețeaua VLAN10.
Vedem ca dupa aceasta culoarea punctului de conectare intre PC0 si switch, culoarea portului, s-a schimbat din verde in portocaliu. Acesta va deveni din nou verde de îndată ce modificările setărilor vor intra în vigoare. Să încercăm să facem ping pe al doilea computer. Nu am făcut nicio modificare la setările de rețea pentru computere, acestea au încă adrese IP de 192.168.1.1 și 192.168.1.2. Dar dacă încercăm să facem ping PC0 de pe computerul PC1, nimic nu va funcționa, deoarece acum aceste computere aparțin unor rețele diferite: primul la VLAN10, al doilea la VLAN1 nativ.
Să revenim la interfața comutatorului și să configuram al doilea port. Pentru a face acest lucru, voi lansa comanda int f0/2 și voi repeta aceiași pași pentru VLAN 20 ca și când am configurat rețeaua virtuală anterioară.
Vedem că acum și portul inferior al switch-ului, la care este conectat al doilea computer, și-a schimbat și culoarea din verde în portocaliu - trebuie să treacă câteva secunde înainte ca modificările în setări să aibă efect și să redevină verde. Dacă începem să trimitem din nou ping la al doilea computer, nimic nu va funcționa, deoarece computerele încă aparțin unor rețele diferite, doar PC1 este acum parte din VLAN1, nu VLAN20.
Astfel, ați împărțit un comutator fizic în două comutatoare logice diferite. Vedeți că acum culoarea portului s-a schimbat de la portocaliu la verde, portul funcționează, dar tot nu răspunde pentru că aparține unei rețele diferite.
Să facem modificări în circuitul nostru - deconectați computerul PC1 de la primul comutator și conectați-l la al doilea comutator și conectați întrerupătoarele în sine cu un cablu.
Pentru a stabili o conexiune între ele, voi intra în setările celui de-al doilea switch și voi crea VLAN10, dându-i numele Management, adică rețea de management. Apoi voi activa modul Access și voi specifica că acest mod este pentru VLAN10. Acum culoarea porturilor prin care sunt conectate comutatoarele s-a schimbat de la portocaliu la verde deoarece ambele sunt configurate pe VLAN10. Acum trebuie să creăm un trunchi între ambele comutatoare. Ambele porturi sunt Fa0/2, așa că trebuie să creați un trunk pentru portul Fa0/2 al primului comutator folosind comanda de trunk în modul switchport. Același lucru trebuie făcut și pentru al doilea comutator, după care se formează un trunchi între aceste două porturi.
Acum, dacă vreau să dau ping la PC1 de pe primul computer, totul va merge, deoarece conexiunea dintre PC0 și switch-ul #0 este o rețea VLAN10, între switch-ul #1 și PC1 este tot VLAN10 și ambele switch-uri sunt conectate printr-un trunk. .
Deci, dacă dispozitivele sunt situate pe VLAN-uri diferite, atunci nu sunt conectate între ele, dar dacă sunt în aceeași rețea, atunci traficul poate fi schimbat liber între ele. Să încercăm să adăugăm încă un dispozitiv la fiecare comutator.
În setările de rețea ale computerului adăugat PC2, voi seta adresa IP la 192.168.2.1, iar în setările PC3, adresa va fi 192.168.2.2. În acest caz, porturile la care sunt conectate aceste două PC-uri vor fi desemnate Fa0/3. În setările comutatorului #0 vom seta modul de acces și vom indica că acest port este destinat VLAN20 și vom face același lucru pentru comutatorul #1.
Dacă folosesc comanda switchport access vlan 20 și VLAN20 nu a fost încă creat, sistemul va afișa o eroare de genul „Acces VLAN nu există”, deoarece comutatoarele sunt configurate să funcționeze numai cu VLAN10.
Să creăm VLAN20. Folosesc comanda „show VLAN” pentru a vizualiza baza de date a rețelei virtuale.
Puteți vedea că rețeaua implicită este VLAN1, la care sunt conectate porturile Fa0/4 la Fa0/24 și Gig0/1, Gig0/2. VLAN-ul numărul 10, numit Management, este conectat la portul Fa0/1, iar VLAN-ul numărul 20, denumit VLAN0020 în mod implicit, este conectat la portul Fa0/3.
În principiu, numele rețelei nu contează, principalul lucru este că nu se repetă pentru diferite rețele. Dacă vreau să schimb numele rețelei pe care sistemul îl atribuie implicit, folosesc comanda vlan 20 și numesc Angajații. Pot schimba acest nume cu altceva, cum ar fi IPphones, și dacă facem ping la adresa IP 192.168.2.2, putem vedea că numele VLAN nu are nicio semnificație.
Ultimul lucru pe care vreau să-l menționez este scopul Management IP, despre care am vorbit în ultima lecție. Pentru a face acest lucru, folosim comanda int vlan1 și introducem adresa IP 10.1.1.1 și masca de subrețea 255.255.255.0 și apoi adăugăm comanda no shutdown. Am atribuit Management IP nu pentru întregul switch, ci doar pentru porturile VLAN1, adică am atribuit adresa IP de la care este gestionată rețeaua VLAN1. Dacă vrem să gestionăm VLAN2, trebuie să creăm o interfață corespunzătoare pentru VLAN2. În cazul nostru, există porturi VLAN10 albastre și porturi VLAN20 portocalii, care corespund adreselor 192.168.1.0 și 192.168.2.0.
VLAN10 trebuie să aibă adrese situate în același interval, astfel încât dispozitivele corespunzătoare să se poată conecta la el. O setare similară trebuie făcută pentru VLAN20.
Această fereastră de linie de comandă de comutare arată setările interfeței pentru VLAN1, adică VLAN nativ.
Pentru a configura Management IP pentru VLAN10, trebuie să creăm o interfață int vlan 10, apoi să adăugăm adresa IP 192.168.1.10 și masca de subrețea 255.255.255.0.
Pentru a configura VLAN20, trebuie să creăm o interfață int vlan 20, apoi să adăugăm adresa IP 192.168.2.10 și masca de subrețea 255.255.255.0.
De ce este necesar acest lucru? Dacă computerul PC0 și portul din stânga sus al comutatorului #0 aparțin rețelei 192.168.1.0, PC2 aparține rețelei 192.168.2.0 și este conectat la portul nativ VLAN1, care aparține rețelei 10.1.1.1, atunci PC0 nu poate stabili comunicarea cu acest comutator prin protocolul SSH deoarece acestea aparțin unor rețele diferite. Prin urmare, pentru ca PC0 să comunice cu comutatorul prin SSH sau Telnet, trebuie să îi acordăm acces de acces. Acesta este motivul pentru care avem nevoie de managementul rețelei.
Ar trebui să putem lega PC0 folosind SSH sau Telnet la adresa IP a interfeței VLAN20 și să facem orice modificări de care avem nevoie prin SSH. Astfel, Management IP este necesar special pentru configurarea VLAN-urilor, deoarece fiecare rețea virtuală trebuie să aibă propriul control de acces.
În videoclipul de astăzi, am discutat multe probleme: setările de bază ale comutatorului, crearea VLAN-urilor, alocarea de porturi VLAN, atribuirea IP de gestionare pentru VLAN-uri și configurarea trunchiurilor. Nu vă jenați dacă nu înțelegeți ceva, acest lucru este firesc, pentru că VLAN-ul este un subiect foarte complex și larg asupra căruia vom reveni în lecțiile viitoare. Vă garantez că cu ajutorul meu puteți deveni un maestru VLAN, dar scopul acestei lecții a fost să vă clarificăm 3 întrebări: ce sunt VLAN-urile, de ce avem nevoie de ele și cum să le configuram.
Vă mulțumim că ați rămas cu noi. Vă plac articolele noastre? Vrei să vezi mai mult conținut interesant? Susține-ne plasând o comandă sau recomandând prietenilor, Reducere de 30% pentru utilizatorii Habr la un analog unic de servere entry-level, care a fost inventat de noi pentru tine: (disponibil cu RAID1 și RAID10, până la 24 de nuclee și până la 40 GB DDR4).
Dell R730xd de 2 ori mai ieftin? Numai aici in Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - de la 99 USD! Citește despre
Sursa: www.habr.com