Preden preidemo na osnove VLAN-ov, bi vas vse prosil, da začasno ustavite ta videoposnetek, kliknete ikono v spodnjem levem kotu, kjer piše Svetovalec za mreženje, pojdite na našo Facebook stran in jo tam všečkajte. Nato se vrnite na video in kliknite ikono King v spodnjem desnem kotu, da se naročite na naš uradni YouTube kanal. Nenehno dodajamo nove serije, zdaj to zadeva tečaj CCNA, nato nameravamo začeti s tečajem video lekcij CCNA Security, Network+, PMP, ITIL, Prince2 in objaviti te čudovite serije na našem kanalu.
Torej, danes bomo govorili o osnovah VLAN in odgovorili na 3 vprašanja: kaj je VLAN, zakaj potrebujemo VLAN in kako ga konfigurirati. Upam, da boste po ogledu te video vadnice lahko odgovorili na vsa tri vprašanja.
Kaj je VLAN? VLAN je okrajšava za virtualno lokalno omrežje. Kasneje v tej vadnici bomo preučili, zakaj je to omrežje navidezno, a preden preidemo na omrežja VLAN, moramo razumeti, kako deluje stikalo. Pregledali bomo nekatera vprašanja, o katerih smo razpravljali v prejšnjih lekcijah.
Najprej se pogovorimo o tem, kaj je domena večkratnih kolizij. Vemo, da ima to stikalo z 48 vrati 48 domen trkov. To pomeni, da lahko vsaka od teh vrat ali naprav, povezanih s temi vrati, komunicira z drugo napravo na drugih vratih na neodvisen način, ne da bi vplivali druga na drugo.
Vseh 48 vrat tega stikala je del ene oddajne domene. To pomeni, da če je več naprav priključenih na več vrat in ena od njih oddaja, bo prikazana na vseh vratih, na katera so priključene preostale naprave. Točno tako deluje stikalo.
Kot da bi ljudje sedeli v istem prostoru blizu drug drugega in ko bi eden od njih nekaj glasno rekel, bi to slišali vsi drugi. Vendar je to popolnoma neučinkovito – več ko se ljudi pojavi v prostoru, bolj hrupno bo postajalo in prisotni se ne bodo več slišali. Podobna situacija se pojavi pri računalnikih - več naprav je povezanih v eno omrežje, večja je "glasnost" oddajanja, kar ne omogoča vzpostavitve učinkovite komunikacije.
Vemo, da če je ena od teh naprav povezana v omrežje 192.168.1.0/24, so vse druge naprave del istega omrežja. Stikalo mora biti tudi povezano v omrežje z istim naslovom IP. Toda tukaj ima lahko stikalo, kot naprava OSI plasti 2, težavo. Če sta dve napravi povezani v isto omrežje, lahko zlahka komunicirata z računalnikoma drugega. Predpostavimo, da ima naše podjetje "slabega fanta", hekerja, ki ga bom narisal zgoraj. Spodaj je moj računalnik. Ta heker torej zelo enostavno vdre v moj računalnik, ker sta najina računalnika del istega omrežja. To je problem.
Če pripadam administrativnemu vodstvu in ima ta novi mož dostop do datotek v mojem računalniku, to sploh ne bo dobro. Moj računalnik ima seveda požarni zid, ki ščiti pred številnimi grožnjami, vendar ga hekerju ne bi bilo težko zaobiti.
Druga nevarnost, ki obstaja za vse, ki so člani te domene oddajanja, je, da če ima nekdo težave z oddajanjem, bo ta motnja vplivala na druge naprave v omrežju. Čeprav je vseh 48 vrat lahko povezanih z različnimi gostitelji, bo okvara enega gostitelja vplivala na ostalih 47, kar pa ni tisto, kar potrebujemo.
Za rešitev tega problema uporabljamo koncept VLAN ali navideznega lokalnega omrežja. Deluje zelo preprosto in razdeli to eno veliko stikalo z 48 vrati na več manjših stikal.
Vemo, da podomrežja eno veliko omrežje delijo na več majhnih omrežij, VLAN pa delujejo na podoben način. 48-portno stikalo na primer razdeli na 4 stikala z 12 vrati, od katerih je vsako del novega povezanega omrežja. Hkrati lahko uporabimo 12 vrat za upravljanje, 12 vrat za IP telefonijo in tako naprej, torej stikalo razdelimo ne fizično, ampak logično, virtualno.
Za modro omrežje VLAN10 sem dodelil tri modra vrata na zgornjem stikalu in tri oranžna vrata za VLAN20. Tako bo vsak promet iz enih od teh modrih vrat šel samo do drugih modrih vrat, ne da bi to vplivalo na druga vrata tega stikala. Promet iz oranžnih vrat bo razporejen podobno, se pravi, kot da bi uporabljali dve različni fizični stikali. Tako je VLAN način razdelitve stikala na več stikal za različna omrežja.
Zgoraj sem narisal dve stikali, tukaj imamo situacijo, ko so na levem stikalu povezana samo modra vrata za eno omrežje, na desni pa samo oranžna vrata za drugo omrežje in ta stikala med seboj nikakor niso povezana .
Recimo, da želite uporabiti več vrat. Predstavljajmo si, da imamo 2 stavbi, vsaka s svojim vodstvenim osebjem, za upravljanje pa sta uporabljena dva oranžna priključka spodnjega stikala. Zato moramo ta vrata povezati z vsemi oranžnimi vrati drugih stikal. Podobna situacija je z modrimi vrati - vsa modra vrata zgornjega stikala morajo biti povezana z drugimi vrati podobne barve. Za to moramo ti dve stikali v različnih stavbah fizično povezati z ločeno komunikacijsko linijo; na sliki je to linija med dvema zelenima priključkoma. Kot vemo, če sta dve stikali fizično povezani, tvorimo hrbtenico ali trunk.
Kakšna je razlika med navadnim in VLAN stikalom? Ni velika razlika. Ko kupite novo stikalo, so vsa vrata privzeto konfigurirana v načinu VLAN in so del istega omrežja, imenovanega VLAN1. Zato, ko katero koli napravo priključimo na ena vrata, je na koncu povezana z vsemi drugimi vrati, ker vseh 48 vrat pripada istemu VLAN1. Toda če konfiguriramo modra vrata za delovanje v omrežju VLAN10, oranžna vrata za omrežje VLAN20 in zelena vrata za VLAN1, bomo dobili 3 različna stikala. Tako nam uporaba načina virtualnega omrežja omogoča logično združevanje vrat v določena omrežja, razdelitev oddaj na dele in ustvarjanje podomrežij. V tem primeru vsaka vrata določene barve pripadajo ločenemu omrežju. Če modri porti delujejo v omrežju 192.168.1.0, oranžni pa v omrežju 192.168.1.0, potem kljub istemu IP naslovu med seboj ne bodo povezani, ker bodo logično pripadali različnim stikalom. In kot vemo, različna fizična stikala med seboj ne komunicirajo, razen če so povezana s skupno komunikacijsko linijo. Tako ustvarimo različna podomrežja za različna omrežja VLAN.
Rad bi vas opozoril na dejstvo, da koncept VLAN velja samo za stikala. Vsakdo, ki pozna protokole enkapsulacije, kot sta .1Q ali ISL, ve, da niti usmerjevalniki niti računalniki nimajo omrežij VLAN. Ko na primer računalnik povežete z enim od modrih vrat, v računalniku ne spremenite ničesar, vse spremembe se zgodijo samo na drugi ravni OSI, ravni stikala. Ko konfiguriramo vrata za delo z določenim omrežjem VLAN10 ali VLAN20, stikalo ustvari bazo podatkov VLAN. V svoj pomnilnik »zapiše«, da vrata 1,3 in 5 pripadajo VLAN10, vrata 14,15 in 18 so del VLAN20, preostala vključena vrata pa so del VLAN1. Torej, če nekaj prometa izvira iz modrih vrat 1, gre le do vrat 3 in 5 istega VLAN10. Stikalo pogleda svojo zbirko podatkov in ugotovi, da mora promet, če prihaja iz enih od oranžnih vrat, iti samo na oranžna vrata VLAN20.
Vendar računalnik ne ve ničesar o teh VLAN-ih. Ko povežemo 2 stikali, se med zelenima portoma oblikuje trunk. Izraz »trunk« je pomemben samo za naprave Cisco; drugi proizvajalci omrežnih naprav, kot je Juniper, uporabljajo izraz Tag port ali »tagged port«. Mislim, da je ime Tag port bolj primerno. Ko promet izvira iz tega omrežja, ga trunk prenese na vsa vrata naslednjega stikala, to pomeni, da povežemo dve 48-portni stikali in dobimo eno 96-portno stikalo. Hkrati, ko pošiljamo promet iz VLAN10, ta postane označen, to pomeni, da je opremljen z oznako, ki kaže, da je namenjen samo za vrata omrežja VLAN10. Drugo stikalo, ki prejme ta promet, prebere oznako in razume, da je to promet posebej za omrežje VLAN10 in naj gre samo do modrih vrat. Podobno je "oranžni" promet za VLAN20 označen, da označuje, da je namenjen vratom VLAN20 na drugem stikalu.
Omenili smo tudi enkapsulacijo in tukaj obstajata dva načina enkapsulacije. Prvi je .1Q, se pravi, ko organiziramo deblo, moramo zagotoviti enkapsulacijo. Protokol enkapsulacije .1Q je odprt standard, ki opisuje postopek označevanja prometa. Obstaja še en protokol, imenovan ISL, Inter-Switch link, ki ga je razvil Cisco, ki označuje, da promet pripada določenemu VLAN. Vsa sodobna stikala delujejo s protokolom .1Q, tako da, ko vzamete novo stikalo iz škatle, vam ni treba uporabiti nobenih ukazov za enkapsulacijo, ker se privzeto izvaja s protokolom .1Q. Tako po ustvarjanju debla samodejno pride do enkapsulacije prometa, ki omogoča branje oznak.
Zdaj pa začnimo nastavljati VLAN. Ustvarimo omrežje v katerem bosta 2 stikala in dve končni napravi - računalnika PC1 in PC2, ki ju bomo s kabli povezali na stikalo #0. Začnimo z osnovnimi nastavitvami stikala Basic Configuration.
Če želite to narediti, kliknite na stikalo in pojdite na vmesnik ukazne vrstice, nato pa nastavite ime gostitelja in pokličite to stikalo sw1. Zdaj pa pojdimo na nastavitve prvega računalnika in nastavimo statični naslov IP 192.168.1.1 in masko podomrežja 255.255. 255.0. Ni potrebe po privzetem naslovu prehoda, ker so vse naše naprave v istem omrežju. Nato bomo naredili enako za drugi računalnik in mu dodelili naslov IP 192.168.1.2.
Zdaj pa se vrnimo k prvemu računalniku, da pingamo drugemu računalniku. Kot lahko vidimo, je bil ping uspešen, ker sta oba računalnika povezana z istim stikalom in sta privzeto del istega omrežja VLAN1. Če zdaj pogledamo vmesnike stikala, bomo videli, da so vsa vrata FastEthernet od 1 do 24 in dve vrati GigabitEthernet konfigurirani na VLAN #1. Vendar takšna pretirana razpoložljivost ni potrebna, zato gremo v nastavitve stikala in vnesemo ukaz show vlan, da pogledamo podatkovno bazo virtualnega omrežja.
Tukaj vidite ime omrežja VLAN1 in dejstvo, da vsa vrata stikala pripadajo temu omrežju. To pomeni, da se lahko povežete s poljubnimi vrati in vsi se bodo lahko »pogovarjali« med seboj, ker so del istega omrežja.
To situacijo bomo spremenili; za to bomo najprej ustvarili dve virtualni omrežji, torej dodali VLAN10. Če želite ustvariti navidezno omrežje, uporabite ukaz, kot je "številka omrežja vlan".
Kot lahko vidite, je sistem ob poskusu ustvarjanja omrežja prikazal sporočilo s seznamom konfiguracijskih ukazov VLAN, ki jih je treba uporabiti za to dejanje:
izhod – uporabi spremembe in zapusti nastavitve;
ime – vnesite ime VLAN po meri;
ne – prekličite ukaz ali ga nastavite kot privzetega.
To pomeni, da preden vnesete ukaz create VLAN, morate vnesti ukaz name, ki vklopi način upravljanja imen, in nato nadaljevati z ustvarjanjem novega omrežja. V tem primeru sistem pozove, da je številko VLAN mogoče dodeliti v območju od 1 do 1005.
Torej zdaj vnesemo ukaz za ustvarjanje VLAN številka 20 - vlan 20, nato pa mu damo ime za uporabnika, ki pokaže, za kakšno omrežje gre. V našem primeru uporabljamo ime Employees ukaz oziroma omrežje za zaposlene v podjetju.
Zdaj moramo temu VLAN-ju dodeliti določena vrata. Vstopimo v način nastavitev stikala int f0/1, nato pa vrata ročno preklopimo v način dostopa z ukazom za dostop do načina stikala in označimo, katera vrata je treba preklopiti v ta način - to so vrata za omrežje VLAN10.
Vidimo, da se je po tem barva priključne točke med PC0 in stikalom, barva vrat, spremenila iz zelene v oranžno. Ponovno se bo obarval zeleno, takoj ko bodo spremembe nastavitev začele veljati. Poskusimo pingati drugi računalnik. Omrežnih nastavitev za računalnike nismo spremenili, še vedno imajo naslova IP 192.168.1.1 in 192.168.1.2. Toda če poskušamo pingati PC0 iz računalnika PC1, nič ne bo delovalo, ker sedaj ti računalniki pripadajo različnim omrežjem: prvi VLAN10, drugi domačemu VLAN1.
Vrnimo se k vmesniku stikala in nastavimo druga vrata. Da bi to naredil, bom izdal ukaz int f0/2 in ponovil iste korake za VLAN 20, kot sem jih naredil pri konfiguraciji prejšnjega virtualnega omrežja.
Vidimo, da je zdaj tudi spodnji priključek stikala, na katerega je priključen drugi računalnik, spremenil barvo iz zelene v oranžno – miniti mora nekaj sekund, da spremembe nastavitev začnejo veljati in se spet obarva zeleno. Če začnemo znova pingati drugi računalnik, ne bo nič delovalo, ker računalniki še vedno pripadajo različnim omrežjem, samo PC1 je zdaj del VLAN1, ne VLAN20.
Tako ste eno fizično stikalo razdelili na dve različni logični stikali. Vidite, da se je barva vrat zdaj spremenila iz oranžne v zeleno, vrata delujejo, vendar se še vedno ne odzivajo, ker pripadajo drugemu omrežju.
Naredimo spremembe v našem vezju - računalnik PC1 odklopimo s prvega stikala in ga priključimo na drugo stikalo, sama stikala pa povežemo s kablom.
Da bi vzpostavili povezavo med njima, bom šel v nastavitve drugega stikala in ustvaril VLAN10 ter ga poimenoval Management, to je omrežje za upravljanje. Nato bom omogočil način dostopa in določil, da je ta način za VLAN10. Zdaj se je barva vrat, prek katerih so povezana stikala, spremenila iz oranžne v zeleno, ker sta oba konfigurirana na VLAN10. Zdaj moramo ustvariti deblo med obema stikaloma. Obe vrati sta Fa0/2, zato morate ustvariti deblo za vrata Fa0/2 prvega stikala z ukazom trunk načina switchport. Enako je treba storiti za drugo stikalo, po katerem se med tema dvema priključkoma oblikuje prtljažnik.
Zdaj, če želim pingati PC1 iz prvega računalnika, bo vse uspelo, ker je povezava med PC0 in stikalom #0 omrežje VLAN10, med stikalom #1 in PC1 je tudi VLAN10 in obe stikali sta povezani s trunk .
Torej, če se naprave nahajajo v različnih VLAN-ih, potem med seboj niso povezane, če pa so v istem omrežju, potem se promet med njimi lahko prosto izmenjuje. Poskusimo vsakemu stikalu dodati še eno napravo.
V omrežnih nastavitvah dodanega računalnika PC2 bom IP naslov nastavil na 192.168.2.1, v nastavitvah PC3 pa bo naslov 192.168.2.2. V tem primeru bodo vrata, na katera sta ta dva računalnika povezana, označena s Fa0/3. V nastavitvah stikala #0 bomo nastavili način dostopa in navedli, da so ta vrata namenjena za VLAN20, in enako bomo storili za stikalo #1.
Če uporabim ukaz switchport access vlan 20 in VLAN20 še ni bil ustvarjen, bo sistem prikazal napako, kot je »Access VLAN does not exist«, ker so stikala konfigurirana za delo samo z VLAN10.
Ustvarimo VLAN20. Za ogled baze podatkov virtualnega omrežja uporabljam ukaz "show VLAN".
Vidite lahko, da je privzeto omrežje VLAN1, na katerega so povezana vrata Fa0/4 do Fa0/24 in Gig0/1, Gig0/2. VLAN številka 10, imenovan Management, je povezan z vrati Fa0/1, VLAN številka 20, privzeto imenovan VLAN0020, pa je povezan z vrati Fa0/3.
Načeloma ime omrežja ni pomembno, glavno je, da se ne ponavlja za različna omrežja. Če želim spremeniti ime omrežja, ki ga sistem dodeli privzeto, uporabim ukaz vlan 20 in poimenujem Employees. To ime lahko spremenim v nekaj drugega, na primer IPphones, in če pingamo naslov IP 192.168.2.2, lahko vidimo, da ime VLAN nima pomena.
Zadnja stvar, ki bi jo rad omenil, je namen upravljanja IP, o katerem smo govorili v zadnji lekciji. Za to uporabimo ukaz int vlan1 in vnesemo naslov IP 10.1.1.1 in podomrežno masko 255.255.255.0 ter nato dodamo ukaz no shutdown. Management IP nismo dodelili za celotno stikalo, ampak samo za vrata VLAN1, torej smo dodelili IP naslov, s katerega se upravlja omrežje VLAN1. Če želimo upravljati VLAN2, moramo ustvariti ustrezen vmesnik za VLAN2. V našem primeru so modra vrata VLAN10 in oranžna vrata VLAN20, ki ustrezajo naslovoma 192.168.1.0 in 192.168.2.0.
VLAN10 mora imeti naslove v istem obsegu, tako da se ustrezne naprave lahko povežejo z njim. Podobno nastavitev morate narediti za VLAN20.
To okno ukazne vrstice preklopa prikazuje nastavitve vmesnika za VLAN1, to je izvorni VLAN.
Če želite konfigurirati IP za upravljanje za VLAN10, moramo ustvariti vmesnik int vlan 10 in nato dodati naslov IP 192.168.1.10 in masko podomrežja 255.255.255.0.
Za konfiguracijo VLAN20 moramo ustvariti vmesnik int vlan 20, nato pa dodati naslov IP 192.168.2.10 in masko podomrežja 255.255.255.0.
Zakaj je to potrebno? Če računalnik PC0 in zgornja leva vrata stikala #0 pripadajo omrežju 192.168.1.0, PC2 pripada omrežju 192.168.2.0 in je povezan z domačimi vrati VLAN1, ki pripada omrežju 10.1.1.1, potem PC0 ne more vzpostaviti komunikacija s tem stikalom preko protokola SSH, ker pripadata različnim omrežjem. Da bi torej PC0 lahko komuniciral s stikalom prek SSH ali Telneta, mu moramo odobriti dostop za dostop. Zato potrebujemo upravljanje omrežja.
Morali bi biti sposobni povezati PC0 z uporabo SSH ali Telneta na naslov IP vmesnika VLAN20 in narediti vse potrebne spremembe prek SSH. Tako je IP za upravljanje potreben posebej za konfiguracijo omrežij VLAN, ker mora imeti vsako navidezno omrežje svoj nadzor dostopa.
V današnjem videoposnetku smo obravnavali številna vprašanja: osnovne nastavitve stikala, ustvarjanje omrežij VLAN, dodeljevanje vrat VLAN, dodeljevanje naslova IP za upravljanje za omrežja VLAN in konfiguriranje povezav. Naj vam ne bo nerodno, če nečesa ne razumete, to je naravno, saj je VLAN zelo kompleksna in široka tema, h kateri se bomo vrnili v prihodnjih lekcijah. Zagotavljam vam, da lahko z mojo pomočjo postanete mojster VLAN, vendar je bil namen te lekcije razjasniti 3 vprašanja za vas: kaj so VLAN, zakaj jih potrebujemo in kako jih konfigurirati.
Hvala, ker ste ostali z nami. So vam všeč naši članki? Želite videti več zanimivih vsebin? Podprite nas tako, da oddate naročilo ali priporočite prijateljem, 30% popust za uporabnike Habr na edinstvenem analogu začetnih strežnikov, ki smo ga izumili za vas: (na voljo z RAID1 in RAID10, do 24 jeder in do 40 GB DDR4).
Dell R730xd 2-krat cenejši? Samo tukaj na Nizozemskem! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2x960 GB SSD 1 Gbps 100 TB - od 99 $! Preberite o
Vir: www.habr.com