Skôr než sa dostaneme k základom VLAN, chcel by som vás všetkých požiadať, aby ste pozastavili toto video, kliknite na ikonu v ľavom dolnom rohu, kde je nápis Networking consultant, prejdite na našu stránku na Facebooku a lajkujte ho. Potom sa vráťte k videu a kliknutím na ikonu Kráľa v pravom dolnom rohu sa prihláste na odber nášho oficiálneho kanála YouTube. Neustále pridávame nové série, teraz sa to týka kurzu CCNA, potom plánujeme spustiť kurz video lekcií CCNA Security, Network+, PMP, ITIL, Prince2 a uverejniť tieto nádherné série na našom kanáli.
Dnes si teda povieme niečo o základoch VLAN a odpovieme na 3 otázky: čo je to VLAN, prečo potrebujeme VLAN a ako ju nakonfigurovať. Dúfam, že po zhliadnutí tohto videonávodu budete vedieť odpovedať na všetky tri otázky.
Čo je VLAN? VLAN je skratka pre virtuálnu lokálnu sieť. Neskôr v tomto návode sa pozrieme na to, prečo je táto sieť virtuálna, ale skôr ako prejdeme k VLAN, musíme pochopiť, ako prepínač funguje. Zopakujeme si niektoré otázky, o ktorých sme hovorili v predchádzajúcich lekciách.
Po prvé, poďme diskutovať o tom, čo je doména viacerých kolízií. Vieme, že tento 48-portový prepínač má 48 kolíznych domén. To znamená, že každý z týchto portov alebo zariadení pripojených k týmto portom môže komunikovať s iným zariadením na inom porte nezávislým spôsobom bez toho, aby sa navzájom ovplyvňovali.
Všetkých 48 portov tohto prepínača je súčasťou jednej vysielacej domény. To znamená, že ak je viacero zariadení pripojených k viacerým portom a jedno z nich vysiela, zobrazí sa na všetkých portoch, ku ktorým sú pripojené zvyšné zariadenia. Presne takto funguje prepínač.
Akoby ľudia sedeli v jednej miestnosti blízko seba a keď jeden z nich niečo nahlas povedal, všetci ostatní to počuli. To je však úplne neúčinné – čím viac ľudí sa v miestnosti objaví, tým bude hlučnejšia a prítomní sa už nebudú navzájom počuť. Podobná situácia nastáva pri počítačoch - čím viac zariadení je pripojených k jednej sieti, tým väčšia je „hlasitosť“ vysielania, čo neumožňuje nadviazať efektívnu komunikáciu.
Vieme, že ak je jedno z týchto zariadení pripojené k sieti 192.168.1.0/24, všetky ostatné zariadenia sú súčasťou tej istej siete. Prepínač musí byť tiež pripojený k sieti s rovnakou IP adresou. Tu však môže mať prepínač ako zariadenie vrstvy 2 OSI problém. Ak sú dve zariadenia pripojené k rovnakej sieti, môžu jednoducho komunikovať so svojimi počítačmi. Predpokladajme, že naša spoločnosť má „zlého človeka“, hackera, ktorého nakreslím vyššie. Pod ním je môj počítač. Pre tohto hackera je teda veľmi ľahké preniknúť do môjho počítača, pretože naše počítače sú súčasťou rovnakej siete. To je problém.
Ak patrím do administratívneho manažmentu a tento nový chlapík bude mať prístup k súborom v mojom počítači, nebude to vôbec dobré. Samozrejme, môj počítač má firewall, ktorý chráni pred mnohými hrozbami, ale pre hackera by nebolo ťažké ho obísť.
Druhé nebezpečenstvo, ktoré existuje pre každého, kto je členom tejto vysielacej domény, je, že ak má niekto problém s vysielaním, toto rušenie ovplyvní ostatné zariadenia v sieti. Hoci všetkých 48 portov môže byť pripojených k rôznym hostiteľom, zlyhanie jedného hostiteľa ovplyvní ostatných 47, čo nie je to, čo potrebujeme.
Na vyriešenie tohto problému používame koncept VLAN alebo virtuálnej lokálnej siete. Funguje to veľmi jednoducho, rozdelením tohto jedného veľkého 48-portového prepínača na niekoľko menších prepínačov.
Vieme, že podsiete rozdeľujú jednu veľkú sieť na niekoľko malých sietí a VLAN fungujú podobne. Rozdeľuje 48-portový prepínač napríklad na 4 prepínače po 12 portov, z ktorých každý je súčasťou novej pripojenej siete. Zároveň môžeme využiť 12 portov na správu, 12 portov na IP telefóniu a tak ďalej, teda rozdeliť switch nie fyzicky, ale logicky, virtuálne.
Pridelil som tri modré porty na hornom prepínači pre modrú sieť VLAN10 a tri oranžové porty pre VLAN20. Akákoľvek prevádzka z jedného z týchto modrých portov teda pôjde iba do ostatných modrých portov bez ovplyvnenia ostatných portov tohto prepínača. Prevádzka z oranžových portov bude distribuovaná podobne, teda ako keby sme používali dva rôzne fyzické prepínače. VLAN je teda spôsob rozdelenia prepínača na niekoľko prepínačov pre rôzne siete.
Hore som nakreslil dva prepínače, tu máme situáciu, že na ľavom prepínači sú pripojené iba modré porty pre jednu sieť a napravo – iba oranžové porty pre inú sieť a tieto prepínače nie sú navzájom prepojené. .
Povedzme, že chcete použiť viac portov. Predstavme si, že máme 2 budovy, každá má vlastný riadiaci personál a na správu slúžia dva oranžové porty spodného prepínača. Preto potrebujeme, aby tieto porty boli pripojené ku všetkým oranžovým portom ostatných prepínačov. Podobne je to aj s modrými portami – všetky modré porty horného prepínača musia byť prepojené s inými portami podobnej farby. Aby sme to dosiahli, musíme tieto dva prepínače v rôznych budovách fyzicky prepojiť samostatnou komunikačnou linkou, na obrázku je to linka medzi dvoma zelenými portami. Ako vieme, ak sú dva prepínače fyzicky spojené, tvoríme chrbticu alebo kmeň.
Aký je rozdiel medzi bežným a VLAN prepínačom? Nie je to veľký rozdiel. Keď si kúpite nový prepínač, predvolene sú všetky porty nakonfigurované v režime VLAN a sú súčasťou rovnakej siete s označením VLAN1. To je dôvod, prečo keď pripojíme akékoľvek zariadenie k jednému portu, skončí pripojené ku všetkým ostatným portom, pretože všetkých 48 portov patrí do rovnakej VLAN1. Ak však nakonfigurujeme modré porty na fungovanie v sieti VLAN10, oranžové porty na sieti VLAN20 a zelené porty na VLAN1, získame 3 rôzne prepínače. Používanie režimu virtuálnej siete nám teda umožňuje logicky zoskupovať porty do konkrétnych sietí, rozdeliť vysielanie na časti a vytvárať podsiete. V tomto prípade každý z portov určitej farby patrí do samostatnej siete. Ak modré porty fungujú na sieti 192.168.1.0 a oranžové porty na sieti 192.168.1.0, tak napriek rovnakej IP adrese nebudú navzájom prepojené, pretože budú logicky patriť rôznym switchom. A ako vieme, rôzne fyzické prepínače spolu nekomunikujú, pokiaľ nie sú prepojené spoločnou komunikačnou linkou. Takže vytvárame rôzne podsiete pre rôzne VLAN.
Chcel by som upozorniť na skutočnosť, že koncept VLAN sa vzťahuje iba na prepínače. Každý, kto pozná protokoly zapuzdrenia, ako napríklad .1Q alebo ISL, vie, že ani smerovače, ani počítače nemajú žiadne siete VLAN. Keď pripojíte počítač napríklad k jednému z modrých portov, v počítači nič nemeníte, všetky zmeny nastanú až na druhej úrovni OSI, na úrovni prepínača. Keď nakonfigurujeme porty na prácu s konkrétnou sieťou VLAN10 alebo VLAN20, prepínač vytvorí databázu VLAN. Do pamäte si „zaznamená“, že porty 1,3 a 5 patria do VLAN10, porty 14,15 a 18 sú súčasťou VLAN20 a zvyšné zapojené porty sú súčasťou VLAN1. Ak teda nejaká prevádzka pochádza z modrého portu 1, ide len na porty 3 a 5 tej istej VLAN10. Prepínač sa pozrie na svoju databázu a zistí, že ak prevádzka prichádza z jedného z oranžových portov, mala by smerovať iba do oranžových portov VLAN20.
Počítač však o týchto VLAN nič nevie. Keď spojíme 2 prepínače, medzi zelenými portami sa vytvorí trunk. Pojem „trunk“ je relevantný len pre zariadenia Cisco, iní výrobcovia sieťových zariadení, ako napríklad Juniper, používajú výraz Tag port alebo „tagovaný port“. Myslím, že názov Tag port je vhodnejší. Keď prevádzka pochádza z tejto siete, kmeň ju prenesie na všetky porty nasledujúceho prepínača, to znamená, že pripojíme dva 48-portové prepínače a získame jeden 96-portový prepínač. Zároveň, keď posielame prevádzku z VLAN10, stane sa označenou, to znamená, že je opatrená štítkom, ktorý ukazuje, že je určená len pre porty siete VLAN10. Druhý prepínač po prijatí tohto prenosu prečíta značku a pochopí, že ide o prenos špecificky pre sieť VLAN10 a mal by ísť iba na modré porty. Podobne je označená „oranžová“ prevádzka pre VLAN20, ktorá označuje, že je určená pre porty VLAN20 na druhom prepínači.
Spomenuli sme aj zapuzdrenie a tu sú dva spôsoby zapuzdrenia. Prvým je .1Q, to znamená, že keď organizujeme kmeň, musíme zabezpečiť zapuzdrenie. Protokol zapuzdrenia .1Q je otvorený štandard, ktorý popisuje postup označovania prevádzky. Existuje ďalší protokol nazývaný ISL, Inter-Switch link, vyvinutý spoločnosťou Cisco, ktorý označuje, že prevádzka patrí do konkrétnej VLAN. Všetky moderné prepínače pracujú s protokolom .1Q, takže keď vybalíte nový prepínač z krabice, nemusíte používať žiadne príkazy na zapuzdrenie, pretože to štandardne vykonáva protokol .1Q. Po vytvorení kmeňa teda automaticky nastáva zapuzdrenie premávky, čo umožňuje čítanie značiek.
Teraz začnime nastavovať VLAN. Vytvorme si sieť, v ktorej budú 2 switche a dve koncové zariadenia - počítače PC1 a PC2, ktoré prepojíme káblami na switch #0. Začnime základnými nastaveniami prepínača Basic Configuration.
Ak to chcete urobiť, kliknite na prepínač a prejdite do rozhrania príkazového riadka a potom nastavte názov hostiteľa, pričom tento prepínač zavoláte sw1. Teraz prejdeme k nastaveniam prvého počítača a nastavíme statickú IP adresu 192.168.1.1 a masku podsiete 255.255. 255.0. Nie je potrebná predvolená adresa brány, pretože všetky naše zariadenia sú v rovnakej sieti. Ďalej urobíme to isté pre druhý počítač a pridelíme mu IP adresu 192.168.1.2.
Teraz sa vráťme k prvému počítaču a ping na druhý počítač. Ako vidíte, ping bol úspešný, pretože oba tieto počítače sú pripojené k rovnakému prepínaču a sú súčasťou rovnakej siete štandardne VLAN1. Ak sa teraz pozrieme na rozhrania prepínačov, uvidíme, že všetky porty FastEthernet od 1 do 24 a dva porty GigabitEthernet sú nakonfigurované na VLAN #1. Takáto nadmerná dostupnosť však nie je potrebná, takže prejdeme do nastavení prepínača a zadáme príkaz show vlan, aby sme sa pozreli na databázu virtuálnej siete.
Tu vidíte názov siete VLAN1 a skutočnosť, že všetky porty prepínača patria do tejto siete. To znamená, že sa môžete pripojiť k akémukoľvek portu a všetky budú môcť spolu „hovoriť“, pretože sú súčasťou rovnakej siete.
Túto situáciu zmeníme, k tomu najskôr vytvoríme dve virtuálne siete, čiže pridáme VLAN10. Ak chcete vytvoriť virtuálnu sieť, použite príkaz ako „číslo siete vlan“.
Ako vidíte, pri pokuse o vytvorenie siete systém zobrazil správu so zoznamom konfiguračných príkazov VLAN, ktoré je potrebné použiť pre túto akciu:
exit – použiť zmeny a ukončiť nastavenia;
názov – zadajte vlastný názov VLAN;
nie – zruší príkaz alebo ho nastaví ako predvolený.
To znamená, že pred zadaním príkazu na vytvorenie VLAN musíte zadať príkaz name, ktorý zapne režim správy názvov, a potom pristúpiť k vytvoreniu novej siete. V tomto prípade systém vyzve, aby bolo možné priradiť číslo VLAN v rozsahu od 1 do 1005.
Teraz teda zadáme príkaz na vytvorenie VLAN číslo 20 - vlan 20 a potom mu dáme meno pre používateľa, ktoré ukazuje, o aký druh siete ide. V našom prípade používame názov Employees command, alebo sieť pre zamestnancov firmy.
Teraz musíme tejto VLAN priradiť konkrétny port. Vstúpime do režimu nastavenia prepínača int f0/1, následne manuálne prepneme port do režimu Access pomocou príkazu switchport mode access a označíme, ktorý port je potrebné prepnúť do tohto režimu – ide o port pre sieť VLAN10.
Vidíme, že potom sa farba spojovacieho bodu medzi PC0 a prepínačom, farba portu, zmenila zo zelenej na oranžovú. Hneď ako sa zmeny nastavení prejavia, opäť sa zmení na zelenú. Skúsme pingnúť druhý počítač. Nerobili sme žiadne zmeny v sieťových nastaveniach počítačov, stále majú IP adresy 192.168.1.1 a 192.168.1.2. Ale ak sa pokúsime pingovať PC0 z počítača PC1, nič nebude fungovať, pretože teraz tieto počítače patria do rôznych sietí: prvá do VLAN10, druhá do natívnej VLAN1.
Vráťme sa do rozhrania prepínača a nakonfigurujeme druhý port. Za týmto účelom vydám príkaz int f0/2 a zopakujem rovnaké kroky pre VLAN 20 ako pri konfigurácii predchádzajúcej virtuálnej siete.
Vidíme, že teraz aj spodný port switchu, ku ktorému je pripojený druhý počítač, zmenil farbu zo zelenej na oranžovú – musí prejsť pár sekúnd, kým sa zmeny v nastaveniach prejavia a opäť sa zmení na zelenú. Ak znova začneme pingovať druhý počítač, nič nebude fungovať, pretože počítače stále patria do rôznych sietí, len PC1 je teraz súčasťou VLAN1, nie VLAN20.
Takto ste rozdelili jeden fyzický prepínač na dva rôzne logické prepínače. Vidíte, že teraz sa farba portu zmenila z oranžovej na zelenú, port funguje, ale stále nereaguje, pretože patrí do inej siete.
Urobme zmeny v našom obvode - odpojte počítač PC1 od prvého spínača a pripojte ho k druhému spínaču a samotné spínače prepojte káblom.
Aby som medzi nimi vytvoril spojenie, prejdem do nastavení druhého prepínača a vytvorím VLAN10 s názvom Management, teda sieť pre správu. Potom povolím režim prístupu a určím, že tento režim je pre VLAN10. Teraz sa farba portov, cez ktoré sú prepínače pripojené, zmenila z oranžovej na zelenú, pretože oba sú nakonfigurované na VLAN10. Teraz musíme vytvoriť kmeň medzi oboma prepínačmi. Oba tieto porty sú Fa0/2, takže musíte vytvoriť trunk pre port Fa0/2 prvého prepínača pomocou príkazu switchport mode trunk. To isté sa musí urobiť pre druhý prepínač, po ktorom sa medzi týmito dvoma portami vytvorí kmeň.
Teraz, ak chcem pingnúť PC1 z prvého počítača, všetko pôjde, pretože spojenie medzi PC0 a prepínačom #0 je sieť VLAN10, medzi prepínačom #1 a PC1 je tiež VLAN10 a oba prepínače sú spojené trunkom .
Takže, ak sú zariadenia umiestnené na rôznych VLAN, potom nie sú navzájom prepojené, ale ak sú v rovnakej sieti, potom sa medzi nimi môže voľne vymieňať prevádzka. Skúsme ku každému prepínaču pridať ešte jedno zariadenie.
V sieťových nastaveniach pridaného počítača PC2 nastavím IP adresu 192.168.2.1 a v nastaveniach PC3 bude adresa 192.168.2.2. V tomto prípade budú porty, ku ktorým sú tieto dva počítače pripojené, označené ako Fa0/3. V nastaveniach prepínača #0 nastavíme režim prístupu a označíme, že tento port je určený pre VLAN20 a to isté urobíme pre prepínač #1.
Ak použijem príkaz switchport access vlan 20 a VLAN20 ešte nebola vytvorená, systém zobrazí chybu ako „Access VLAN neexistuje“, pretože prepínače sú nakonfigurované tak, aby fungovali iba s VLAN10.
Poďme vytvoriť VLAN20. Na zobrazenie databázy virtuálnej siete používam príkaz „show VLAN“.
Vidíte, že predvolená sieť je VLAN1, ku ktorej sú pripojené porty Fa0/4 až Fa0/24 a Gig0/1, Gig0/2. VLAN číslo 10 s názvom Management je pripojená k portu Fa0/1 a VLAN číslo 20, štandardne pomenovaná VLAN0020, je pripojená k portu Fa0/3.
Na názve siete v zásade nezáleží, hlavné je, že sa pre rôzne siete neopakuje. Ak chcem zmeniť názov siete, ktorý systém štandardne priraďuje, použijem príkaz vlan 20 a názov Zamestnanci. Môžem zmeniť tento názov na niečo iné, napríklad IP telefóny, a ak pingneme IP adresu 192.168.2.2, vidíme, že názov VLAN nemá žiadny význam.
Posledná vec, ktorú chcem spomenúť, je účel správy IP, o ktorom sme hovorili v minulej lekcii. Na to použijeme príkaz int vlan1 a zadáme IP adresu 10.1.1.1 a masku podsiete 255.255.255.0 a potom pridáme príkaz no shutdown. Management IP sme priradili nie celému prepínaču, ale iba portom VLAN1, to znamená, že sme priradili IP adresu, z ktorej je spravovaná sieť VLAN1. Ak chceme spravovať VLAN2, musíme vytvoriť zodpovedajúce rozhranie pre VLAN2. V našom prípade ide o modré porty VLAN10 a oranžové porty VLAN20, ktoré zodpovedajú adresám 192.168.1.0 a 192.168.2.0.
VLAN10 musí mať adresy umiestnené v rovnakom rozsahu, aby sa k nej mohli pripojiť príslušné zariadenia. Podobné nastavenie je potrebné vykonať pre VLAN20.
Toto okno príkazového riadka prepínača zobrazuje nastavenia rozhrania pre VLAN1, teda natívnu VLAN.
Aby sme mohli nakonfigurovať Management IP pre VLAN10, musíme vytvoriť rozhranie int vlan 10 a potom pridať IP adresu 192.168.1.10 a masku podsiete 255.255.255.0.
Na konfiguráciu VLAN20 musíme vytvoriť rozhranie int vlan 20 a potom pridať IP adresu 192.168.2.10 a masku podsiete 255.255.255.0.
Prečo je to potrebné? Ak počítač PC0 a ľavý horný port prepínača #0 patria do siete 192.168.1.0, PC2 patrí do siete 192.168.2.0 a je pripojený k natívnemu portu VLAN1, ktorý patrí do siete 10.1.1.1, potom sa PC0 nemôže nadviazať komunikáciu s týmto prepínačom cez protokol SSH, pretože patria do rôznych sietí. Preto, aby PC0 komunikovalo s prepínačom cez SSH alebo Telnet, musíme mu udeliť Access access. To je dôvod, prečo potrebujeme správu siete.
Mali by sme byť schopní naviazať PC0 pomocou SSH alebo Telnetu na IP adresu rozhrania VLAN20 a vykonať potrebné zmeny cez SSH. Management IP je teda potrebný špeciálne na konfiguráciu VLAN, pretože každá virtuálna sieť musí mať vlastnú kontrolu prístupu.
V dnešnom videu sme diskutovali o mnohých problémoch: základné nastavenia prepínačov, vytváranie VLAN, priraďovanie portov VLAN, priraďovanie Management IP pre VLAN a konfigurácia trunkov. Nehanbite sa, ak niečomu nerozumiete, je to prirodzené, pretože VLAN je veľmi komplexná a široká téma, ku ktorej sa ešte vrátime v ďalších lekciách. Zaručujem vám, že s mojou pomocou sa môžete stať majstrom VLAN, ale cieľom tejto lekcie bolo objasniť vám 3 otázky: čo sú siete VLAN, prečo ich potrebujeme a ako ich nakonfigurovať.
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, 30% zľava pre užívateľov Habr na unikátny analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com