Перш ніж ми приступимо до основ VLAN, я попросив би вас поставити це відео на паузу, натиснути на іконку в нижньому лівому кутку, де написано Networking consultant, зайти на нашу сторінку Facebook і поставити там лайк. Потім поверніться до відео та натисніть на іконку King у правому нижньому кутку, щоб підписатися на наш офіційний канал на YouTube. Ми постійно додаємо нові серії, зараз це стосується курсу CCNA, потім плануємо розпочати курс відеоуроків CCNA Security, Network+, PMP, ITIL, Prince2 і публікувати ці чудові серії на нашому каналі.
Отже, сьогодні ми поговоримо про основи VLAN та відповімо на 3 питання: що таке VLAN, навіщо нам потрібна VLAN та як її налаштувати. Я сподіваюся, що після перегляду цього відеоуроку ви зможете відповісти на всі три запитання.
Що таке VLAN? VLAN – це абревіатура назви "віртуальна локальна мережа". Далі по ходу нашого уроку ми розглянемо чому ця мережа віртуальна, але перш ніж ми перейдемо до VLAN, нам потрібно зрозуміти, як працює свитч. Ми ще раз повторимо деякі питання, які обговорили на попередніх уроках.
Спочатку обговоримо, що є Multiple Collision Domain, або домен колізій. Ми знаємо, що цей свитч на 48 портів має 48 доменів колізій. Це означає, що кожен з цих портів або пристроїв, підключених до цих портів, може взаємодіяти з іншим пристроєм на іншому порту незалежним чином, не впливаючи один на одного.
Всі 48 портів цього світчу є частинами одного широкомовного домену Broadcast Domain. Це означає, що якщо кілька пристроїв підключені до кількох портів, і один з них веде широкомовну передачу, вона з'явиться на всіх портах, до яких підключені інші пристрої. Саме так працює свитч.
Це ніби люди сиділи в одній кімнаті близько один до одного, і коли один із них щось голосно говорить, то його чують всі інші. Однак це абсолютно неефективно – чим більше людей з'являтиметься в кімнаті, тим шумнішою вона ставатиме і присутні перестануть чути один одного. Аналогічна ситуація виникає з комп'ютерами – чим більше пристроїв підключається до однієї мережі, тим більше стає гучність широкого мовлення, що не дозволяє встановити ефективний зв'язок.
Ми знаємо, що якщо один з цих пристроїв підключено до мережі 192.168.1.0/24, всі інші пристрої є частиною цієї мережі. Світч також повинен бути приєднаний до мережі з такою самою IP-адресою. Але тут у світчу як пристрої 2 рівня OSI може виникнути проблема. Якщо два пристрої під'єднані до однієї мережі, вони можуть легко зв'язатися з комп'ютерами один одного. Припустимо, що в нашій компанії працює поганий хлопець, хакер, якого я намалюю зверху. Знизу під ним розташований мій комп'ютер. Так ось, цього хакера дуже легко проникнути в мій комп'ютер, оскільки наші комп'ютери є частиною однієї мережі. Ось у чому полягає проблема.
Якщо я належу до адміністративного посібника, і цей новий хлопець зможе отримати доступ до файлів на моєму комп'ютері, буде зовсім не добре. Звичайно, на моєму комп'ютері є файрвол, що захищає від багатьох загроз, але хакеру не важко його обійти.
Друга небезпека, що існує для всіх, хто є членом цього широкомовного домену, полягає в тому, що якщо у когось виникнуть проблеми з широкомовною передачею, ця перешкода вплине на інші пристрої мережі. Хоча всі 48 портів можуть бути приєднані до різних хостів, збій у роботі одного хоста вплине на інші 47, що зовсім не потрібно.
Для вирішення цієї проблеми ми використовуємо концепцію VLAN або віртуальну локальну мережу. Вона працює дуже просто, поділяючи цей один великий 48-й портовий свитч на кілька менших свитчів.
Ми знаємо, що підмережі ділять одну велику мережу на кілька маленьких мереж, і VLAN працює аналогічним чином. Вона поділяє 48-й портовий світч, наприклад, на 4 світчі по 12 портів, кожен з яких є частиною нової приєднаної мережі. При цьому ми можемо використовувати 12 портів для керування, 12 портів для роботи IP-телефонії і так далі, тобто поділити світильник не фізично, а логічно, віртуально.
Я виділив три порти верхнього світильника, позначених синім кольором, для «синьої» мережі VLAN10, а три помаранчевих порти призначив для VLAN20. Таким чином, будь-який трафік з одного з цих синіх портів надходитиме лише на інші сині порти, не торкаючись інших портів даного світчу. Аналогічно буде розповсюджуватися і трафік з помаранчевих портів, тобто ми нібито використовуємо два різні фізичні світильники. Таким чином, VLAN є способом поділу свитча на кілька свитків для різних мереж.
Я намалював згори два світчі, тут у нас є ситуація, коли на лівому світчі задіяні з'єднання тільки синіх портів для однієї мережі, а на правому — лише помаранчевих для іншої мережі, і ці свити ніяк не пов'язані один з одним.
Припустимо, ви ходите використовувати більше портів. Уявимо, що у нас є 2 будівлі, у кожному з яких свій управлінський штат, і два помаранчеві порти нижнього свисту використовуються для управління. Тому нам потрібно, щоб ці порти були пов'язані з усіма помаранчевими портами інших світчів. Аналогічна ситуація із синіми портами – всі сині порти верхнього світчу повинні мати зв'язок з іншими портами аналогічного кольору. Для цього нам необхідно фізично зв'язати ці два світильники в різних будівлях окремою лінією зв'язку, на малюнку це лінія між двома портами зеленого кольору. Як ми знаємо, якщо два світчі з'єднані фізично, у нас утворюється магістраль, або транк.
У чому полягає різниця між звичайним і VLAN свитчем? Це не велика різниця. Коли ви купуєте новий світильник, то за замовчуванням всі порти налаштовані на режим VLAN і є частиною однієї мережі, що позначається як VLAN1. Ось чому коли ми приєднуємо якийсь пристрій до одного порту, він виявляється з'єднаним з усіма іншими портами, тому що всі 48 портів належать до однієї віртуальної мережі VLAN1. Але якщо ми налаштуємо сині порти на роботу у мережі VLAN10, помаранчеві – у мережі VLAN20, а зелені – VLAN1, то отримаємо 3 різних світчі. Таким чином, використання режиму віртуальної мережі дозволяє нам логічно групувати порти під конкретні мережі, розділяти широкомовну передачу на частини та створювати підмережі. При цьому кожен із портів конкретного кольору належить окремій мережі. Якщо сині порти працюватимуть у мережі 192.168.1.0 та помаранчеві порти працюватимуть у мережі 192.168.1.0, то незважаючи на однакову IP-адресу, вони не будуть пов'язані один з одним, тому що логічно будуть належати різним свитчам. А як ми знаємо, різні фізичні свити не спілкуються один з одним, якщо не з'єднані загальною лінією зв'язку. Таким чином, ми створюємо різні підмережі для різних VLAN.
Хочу звернути вашу увагу, що концепція VLAN поширюється лише на свитчі. Той, хто знайомий із протоколами інкапсуляції, такими як .1Q або ISL, знає, що ні роутери, ні комп'ютери не мають жодних VLAN. Коли ви підключаєте свій комп'ютер, наприклад, до одного з синіх портів, ви нічого не змінюєте на комп'ютері, всі зміни відбуваються тільки на другому рівні OSI, на рівні свитку. Коли ми налаштовуємо порти під роботу з конкретною мережею VLAN10 або VLAN20, світильник створює базу даних VLAN. Він «записує» собі на згадку, що порти 1,3 і 5 належать VLAN10, 14,15 і 18 порти є частиною мережі VLAN20, інші задіяні порти є частинами мережі VLAN1. Тому якщо трафік виходить із синього порту 1, він потрапляє тільки на порти 3 і 5 цієї ж мережі VLAN10. Світч "дивиться" у свою базу даних і бачить, що якщо трафік походить від одного з помаранчевих портів, він повинен надходити тільки на помаранчеві порти мережі VLAN20.
Однак комп'ютер нічого не знає про ці мережі VLAN. Коли ми з'єднуємо 2 світчі, то між зеленими портами утворюється транк. Термін "транк" актуальний тільки для пристроїв компанії Cisco, решта виробників мережевих пристроїв, такі як Juniper, використовують термін Tag port, або "тегований порт". Я вважаю, що назва Tag port є більш підходящим. Коли з цієї мережі виходить трафік, транк передає його на всі порти наступного світчу, тобто ми з'єднуємо два 48 портових світчу і отримуємо один 96 портовий світч. При цьому, коли ми надсилаємо трафік із VLAN10, він стає тегованим, тобто забезпечується міткою, яка показує, що він призначений лише для портів мережі VLAN10. Другий світ, отримавши цей трафік, зчитує тег і розуміє, що це трафік саме для мережі VLAN10 і повинен надходити тільки на сині порти. Так само "помаранчевий" трафік для VLAN20 забезпечений тегом, який вказує, що він призначається для портів VLAN20 другого світчу.
Ми також згадали інкапсуляцію, і тут є два методи інкапсуляції. Перший – це .1Q, тобто, коли ми організуємо транк, ми повинні забезпечити інкапсуляцію. Протокол інкапсуляції .1Q – це відкритий стандарт, який описує процедуру тегування трафіку. Є й інший протокол під назвою ISL, Inter-Switch link, розроблений компанією Cisco, який свідчить про належність трафіку певної VLAN. Всі сучасні свитчі працюють з протоколом .1Q, тому, діставши новий свитч із коробки, вам не потрібно використовувати жодних команд інкапсуляції, тому що за замовчуванням вона здійснюється протоколом .1Q. Таким чином, після створення транка інкапсуляція трафіку відбувається автоматично, що дозволяє зчитувати теги.
Тепер давайте приступимо до налаштування мережі VLAN. Створимо мережу, в якій буде 2 свічки та два кінцеві пристрої – комп'ютери PC1 і PC2, які ми з'єднаємо кабелями зі свитчем #0. Почнемо з основних налаштувань світчу Basic Configuration.
Для цього клацнемо по світчу і зайдемо в інтерфейс командного рядка, а потім задамо ім'я хоста, назвавши цей світч sw1. Тепер перейдемо до налаштувань першого комп'ютера і задамо статичну IP-адресу 192.168.1.1 та маску підмережі 255.255. 255.0. Адреса шлюзу за промовчанням не потрібна, тому що всі наші пристрої знаходяться в одній мережі. Далі ми проробимо все те саме для другого комп'ютера, призначивши йому IP-адресу 192.168.1.2.
Тепер повернемося до першого комп'ютера, щоб пропінгувати другий комп'ютер. Як бачимо, пінгування пройшло вдало тому що обидва ці комп'ютери приєднані до одного світчу і є частиною однієї і тієї ж мережі за умовчанням VLAN1. Якщо зараз подивитися на інтерфейси світчу, ми побачимо, що всі порти FastEthernet від 1 до 24 та два порти GigabitEthernet налаштовані на VLAN #1. Однак така надмірна доступність не потрібна, тому ми входимо в налаштування світчу і вводимо команду show vlan, щоб подивитися на базу даних віртуальних мереж.
Ви бачите тут назву мережі VLAN1 і те, що всі порти світчу належать цій мережі. Це означає, що можна приєднатися до будь-якого порту, і всі вони зможуть спілкуватися один з одним, тому що є частиною однієї і тієї ж мережі.
Ми змінимо цю ситуацію, для цього спочатку створимо дві віртуальні мережі, тобто додамо VLAN10. Для створення віртуальної мережі використовується команда виду vlan номер мережі.
Як бачите, при спробі створити мережу система видала повідомлення із переліком команд конфігурації VLAN, які потрібно використовувати для цієї дії:
exit – застосувати зміни та вийти з налаштувань;
name – ввести назву користувача VLAN;
no – скасувати команду або встановити її за замовчуванням.
Це означає, що перед тим, як ввести команду створити VLAN, потрібно ввести команду name, яка включає режим керування назвами, а потім перейти до створення нової мережі. При цьому система підказує, що номер мережі VLAN можна призначити в діапазоні від 1 до 1005.
Отже, тепер ми вводимо команду створити мережу VLAN під номером 20 - vlan 20, а потім задаємо їй назву для користувача, яка показує, що це мережа. У нашому випадку ми використовуємо команду name Employees або мережу для співробітників компанії.
Тепер потрібно призначити для цієї VLAN конкретний порт. Ми заходимо в режим налаштувань світчу int f0/1, потім вручну переводимо порт у режим Access командою switchport mode access і вказуємо, який саме порт потрібно перевести в цей режим – це порт для мережі VLAN10.
Ми бачимо, що після цього колір точки з'єднання PC0 і світчу, колір порту, змінився із зеленого на помаранчевий. Він знову стане зеленим, як тільки зміни налаштувань набудуть чинності. Спробуємо пропінгувати другий комп'ютер. Ми не вносили жодних змін у налаштування мережі для комп'ютерів, вони, як і раніше, мають IP-адреси 192.168.1.1 і 192.168.1.2. Але якщо ми спробуємо з комп'ютера PC0 пропінгувати комп'ютер PC1, ми нічого не вийде, тому що тепер ці комп'ютери належать до різних мереж: перший до VLAN10, другий – до native VLAN1.
Повернемося до інтерфейсу світчу та налаштуємо другий порт. Для цього я введу команду int f0/2 і повторю для мережі VLAN 20 ті самі кроки, що й налаштування попередньої віртуальної мережі.
Ми бачимо, що нижній порт свитча, до якого приєднаний другий комп'ютер, так само поміняв свій колір із зеленого на помаранчевий – має пройти кілька секунд, перш ніж зміни в налаштуваннях набудуть чинності і він знову стане зеленим. Якщо знову запустити пінгування другого комп'ютера, у нас нічого не вийде, тому що комп'ютери, як і раніше, належать до різних мереж, тільки PC1 тепер є не VLAN1, а VLAN20.
Таким чином, ви розділили один фізичний свитч на два різні логічні свитчі. Ви бачите, що зараз колір порту помінявся з помаранчевого на зелений, порт запрацював, але все одно не пінгується, тому що належить до іншої мережі.
Внесемо зміни до нашої схеми – від'єднаємо комп'ютер PC1 від першого світчу і підключимо його до другого світчу, а самі світчі з'єднаємо кабелем.
Для того, щоб встановити між ними зв'язок, я ввійду в налаштування другого світчу і створюю VLAN10, надавши їй назву Management, тобто мережу управління. Потім я увімкну режим Access і вкажу, що цей режим призначений для мережі VLAN10. Тепер колір портів, через які з'єднані світильники, змінився з помаранчевого на зелений, тому що вони обидва налаштовані на VLAN10. Нині нам потрібно створити транк між обома свитчами. Обидва ці порти є Fa0/2, тому потрібно створити транк для порту Fa0/2 першого світчу, використовуючи команду switchport mode trunk. Те саме потрібно зробити для другого світчу, після чого між цими двома портами утворюється транк.
Тепер, якщо я захочу пропінгувати з першого комп'ютера комп'ютер PC1, все вийде, тому що зв'язок між PC0 і свитчем #0 - це мережа VLAN10, між свитчем #1 і PC1 теж VLAN10, а обидва свічки з'єднані транком.
Отже, якщо пристрої розташовані в різних мережах VLAN, то вони не пов'язані один з одним, а якщо в одній мережі, між ними можна здійснити вільний обмін трафіком. Спробуємо додати до кожного світчу ще один пристрій.
У настройках мережі доданого комп'ютера PC2 я встановлю IP-адресу 192.168.2.1, а в налаштуваннях PC3 – адресу 192.168.2.2. При цьому порти, до яких приєднані ці два ПК, отримають позначення Fa0/3. У налаштуваннях свитча #0 ми встановимо режим Access і вкажемо, що цей порт призначений для VLAN20, і те саме проробимо для свитча #1.
Якщо я використовую команду switchport access vlan 20, а мережа VLAN20 ще не створена, система видасть помилку виду "Access VLAN does not exist", тому що світильники налаштовані на роботу тільки з VLAN10.
Давайте створимо VLAN20. Я використовую команду "показати VLAN", щоб переглянути базу даних віртуальних мереж.
Ви бачите, що мережею за промовчанням є VLAN1, до якої підключені порти від Fa0/4 до Fa0/24 та Gig0/1, Gig0/2. Віртуальна мережа під номером 10 під назвою Management підключена до порту Fa0/1, а мережа VLAN під номером 20 під назвою VLAN0020 підключена до порту Fa0/3.
В принципі назва мережі не має значення, головне, щоб вона не повторювалася для різних мереж. Якщо я хочу замінити ім'я мережі, яке система надає за замовчуванням, я використовую команду vlan 20 та name Employees. Я можу змінити це ім'я на інше, наприклад, на IPphones, і якщо ми пропінгуємо IP-адресу 192.168.2.2, то побачимо, що ім'я VLAN не має жодного значення.
Останнє, що я хочу згадати, – це призначення Management IP, про яке ми говорили на останньому уроці. Для цього ми використовуємо команду int vlan1 та вводимо IP-адресу 10.1.1.1 та маску підмережі 255.255.255.0, а потім додаємо команду no shutdown. Ми призначили Management IP не для всього освітлення, а тільки для портів VLAN1, тобто призначили IP-адресу, з якої здійснюється керування мережею VLAN1. Якщо ми хочемо здійснити керування VLAN2, потрібно створити відповідний інтерфейс для VLAN2. У нашому випадку є сині порти VLAN10 та помаранчеві порти VLAN20, яким відповідають адреси 192.168.1.0 та 192.168.2.0.
VLAN10 повинен мати адреси, розташовані в цьому діапазоні, щоб до неї могли приєднатися відповідні пристрої. Аналогічна настройка повинна бути виконана і для VLAN20.
У цьому вікні командного рядка свитча показано налаштування інтерфейсу для VLAN1, тобто native VLAN.
Для того, щоб налаштувати Management IP для VLAN10, ми повинні створити інтерфейс int vlan 10, а потім додати IP-адресу 192.168.1.10 та маску підмережі 255.255.255.0.
Для налаштування VLAN20, ми повинні створити інтерфейс int vlan 20, а потім додати IP-адресу 192.168.2.10 та маску підмережі 255.255.255.0.
Навіщо це потрібно? Якщо комп'ютер PC0 і верхній лівий порт світчу #0 належать до мережі 192.168.1.0, PC2 відноситься до мережі 192.168.2.0 і підключений до порту native VLAN1, який відноситься до мережі 10.1.1.1, то PC0 не може встановити зв'язок з цим свистом за протоколом SSH, тому що вони належать до різних мереж. Тому для того, щоб PC0 міг зв'язатися зі свитчем протоколом SSH або Telnet, ми повинні надати йому доступ Access. Ось навіщо нам потрібне управління мережею.
Ми повинні мати можливість зв'язати PC0 за допомогою SSH або Telnet з IP-адресою VLAN20 інтерфейсу і внести будь-які потрібні нам зміни через SSH. Таким чином, Management IP необхідний саме для налаштування VLAN, тому що кожна віртуальна мережа повинна мати власне управління доступом.
У сьогоднішньому відео ми обговорили багато питань: основні налаштування світчу, створення мереж VLAN, призначення портів VLAN, призначення Management IP для мереж VLAN та налаштування транків. Нехай вас не бентежить, якщо ви чогось не зрозуміли, це природно, тому що VLAN є дуже складною та обширною темою, до якої ми повертатимемося в наступних уроках. Я гарантую, що з моєю допомогою ви зможете стати «майстрами» VLAN, але зміст цього уроку був у тому, щоб роз'яснити вам 3 питання: що таке мережі VLAN, навіщо вони нам потрібні і як їх налаштовувати.
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com