Ми вже розглядали локальні мережі VLAN у відеоуроках День 11, 12 та 13 і сьогодні продовжимо їх вивчення відповідно до тематики ICND2. Я записав попереднє відео, яке ознаменувало закінчення підготовки до складання іспиту ICND1, кілька місяців тому і весь цей час до сьогодні був дуже зайнятий. Думаю, багато хто з вас успішно склав цей іспит, ті ж, хто відклав тестування, можуть дочекатися закінчення другої частини курсу і спробувати скласти комплексний іспит CCNA 200-125.
Сьогоднішнім відеоуроком «День 34» ми розпочинаємо тематику курсу ICND2. Багато хто запитує мене, чому ми не розглянули OSPF та EIGRP. Справа в тому, що ці протоколи не включені до тематики курсу ICND1 і вивчаються під час підготовки до здачі ICND2. З сьогоднішнього дня ми почнемо охоплення тем другої частини курсу і, звичайно ж, вивчимо проколи OSPF та EIGRP. Перед тим, як розпочати сьогоднішню тему, я хочу розповісти про структурування наших відеоуроків. При викладанні тематики ICND1 не дотримувався прийнятих шаблонів, а просто логічно пояснював матеріал, оскільки вважав, що такий спосіб легше розуміння. Тепер, при вивченні ICND2, я на прохання слухачів подаватиму навчальний матеріал відповідно до навчального плану та програми курсу Cisco.
Якщо ви зайдете на сайт компанії, то побачите цей план і те, що весь курс розбито на 5 основних частин:
- технології комутації локальних мереж (26% навчального матеріалу);
- технології маршрутизації (29%);
- Технології глобальних мереж (16%);
- Сервіси інфраструктури (14%);
- Обслуговування інфраструктури (15%).
Я почну з першої частини. Якщо натиснути на меню, що розкривається праворуч, то можна побачити детальну тематику даного розділу. Сьогоднішній відеоурок охопить тематику розділу 1.1: «Налаштування, перевірка та усунення несправностей мереж VLAN (звичайний / розширений діапазон), що охоплюють кілька свитків» та підрозділів 1.1а «Порти доступу (дані та голосові повідомлення)» та 1.1.b «VLAN за замовчуванням» .
Далі я постараюся дотримуватися цього ж принципу викладу, тобто кожен відеоурок буде присвячений одному розділу з підрозділами, а якщо матеріалу виявиться мало, я об'єднуватиму в одному уроці тематику кількох розділів, наприклад, 1.2 і 1.3. Якщо ж матеріалу розділу буде багато, я розіб'ю його на два відео. У будь-якому випадку ми будемо виконувати програму курсу, і ви легко зможете порівняти відповідність ваших записів актуальному навчальному плану Cisco.
Ви бачите на екрані мій новий робочий стіл, це Windows 10. Якщо ви захочете удосконалити свій робочий стіл за допомогою різних віджетів, можете переглянути моє відео під назвою «Pimp Your Desktop», де я розповідаю, як налаштувати робочий стіл комп'ютера відповідно до ваших потребами. Відео подібного роду я викладаю на іншому каналі, ExplainWorld, так що можете скористатися посиланням у верхньому правому кутку і ознайомитися з його змістом.
Перед початком уроку попрошу вас не забувати ділитися моїми відео та ставити лайки. Хочу також нагадати наші контакти у соціальних мережах та посилання на мої персональні сторінки. Ви можете писати мені на електронну пошту, і як я вже казав, пріоритет у отриманні моєї персональної відповіді матимуть люди, які пожертвували на нашому сайті.
Якщо ви не зробили пожертвування, нічого страшного, ви можете залишати свої коментарі під відеоуроками на каналі YouTube, і я відповідатиму на них у міру можливості.
Отже, сьогодні, згідно з розкладом Cisco, ми розглянемо 3 питання: порівняємо Default VLAN, або VLAN за умовчанням, з Native VLAN, або «рідним» VLAN, дізнаємося, чим відрізняється Normal VLAN (звичайний діапазон VLAN) від розширеного діапазону мереж Extended VLAN та розглянемо різницю між Data VLAN (VLAN даних) та Voice VLAN (голосова VLAN). Як я сказав, ми вже вивчали це питання в попередніх серіях, але досить поверхово, тому досі багато учнів важко визначити різницю між типами VLAN. Сьогодні я поясню це так, щоб усім стало зрозумілим.
Розглянемо, у чому полягає різниця між Default VLAN та Native VLAN. Якщо ви візьмете новий свитч Cisco із заводськими налаштуваннями, він матиме 5 VLAN – VLAN1, VLAN1002, VLAN1003, VLAN1004 та VLAN1005.
VLAN1 є VLAN за промовчанням для всіх пристроїв Cisco, а VLAN 1002-1005 зарезервовані для Token Ring та FDDI. Мережа VLAN1 неможливо видалити або перейменувати, до неї не можна додати інтерфейси, і всі стандартні порти стібка належать до цієї мережі, поки їх не налаштують по-іншому. За промовчанням усі свитчі можуть спілкуватися один з одним, тому що всі вони є частиною VLAN1. Ось що означає "VLAN за промовчанням", або Default VLAN.
Якщо ви зайдете в налаштування світчу SW1 і призначите два інтерфейси для мережі VLAN20, вони стануть частиною мережі VLAN20. Перед тим, як приступити до сьогоднішнього уроку, я наполегливо раджу вам переглянути згадані вище серії 11,12, 13 і XNUMX днів, тому що я не повторюватиму, що таке VLAN і як вони працюють.
Я просто нагадаю, що не можна автоматично приписати інтерфейси до мережі VLAN20, доки її не створиш, тому спочатку потрібно зайти в режим глобальної конфігурації освітлення і створити VLAN20. Ви можете подивитися на консоль налаштувань CLI і зрозуміти, що я маю на увазі. Після того, як ви призначили ці два порти для роботи з VLAN2, комп'ютери PC20 і PC1 зможуть зв'язатися один з одним, тому що вони обидва належать одній мережі VLAN2. Але комп'ютер PC20 все ще буде частиною VLAN3 і не зможе зв'язатися з комп'ютерами мережі VLAN1.
У нас є другий світильник SW2, один з інтерфейсів якого призначений для роботи з VLAN20, і до цього порту підключено комп'ютер PC5. При такій схемі з'єднання PC5 не може зв'язатися з PC4 і PC6, але при цьому ці два комп'ютери можуть спілкуватися один з одним, оскільки належать до однієї мережі VLAN1.
Обидва світильники з'єднуються транком через відповідно налаштовані порти. Не повторюватимусь, просто скажу, що всі порти світчу за замовчуванням налаштовані на режим транкінгу за протоколом DTP. Якщо до якогось порту підключити комп'ютер, цей порт використовуватиме access mode. Якщо ви захочете перевести в цей режим порт, до якого приєднано PC3, то повинні ввести команду switchport mode access.
Отже, якщо ви з'єднаєте два світчі один з одним, вони утворюють транк. Два верхні порти SW1 пропускатимуть трафік лише VLAN20, нижній порт – лише трафік VLAN1, але транк-з'єднання пропускатиме через себе весь трафік, що проходить через свитч. Таким чином, до SW2 надходитиме трафік і VLAN1, і VLAN20.
Як ви пам'ятаєте, мережі VLAN мають локальне значення. Тому SW2 знає, що трафік, що надійшов порт VLAN1 від PC4, може бути відправлений PC6 тільки через порт, який також належить VLAN1. Однак коли один свитч відсилає трафік іншому свічку по транку, він повинен використовувати механізм, який пояснити другому свитчу, що це за трафік. Як такий механізм використовується мережа Native VLAN, яка підключена до транк-порту та пропускає через себе тегований трафік.
Як я вже сказав, у свитча є тільки одна мережа, яка не піддається змін - це мережа за умовчанням VLAN1. Але за промовчанням Native VLAN і є VLAN1. Що таке Native VLAN? Ця мережа, яка пропускає нетегований трафік VLAN1, але як тільки на транк-порт надходить трафік від будь-якої іншої мережі, у нашому випадку VLAN20 він обов'язково постачається тегом. Кожен кадр має адресу призначення DA, адресу джерела SA і тег VLAN, що містить ідентифікатор мережі VLAN ID. У нашому випадку цей ідентифікатор показує, що цей трафік відноситься до VLAN20, тому він може бути надісланий лише через порт VLAN20 та призначатися для PC5. Можна сказати, що Native VLAN вирішує, чи має трафік бути тегованим чи не тегованим.
Запам'ятайте, що VLAN1 за промовчанням є мережею Native VLAN, тому що за замовчуванням всі порти використовують VLAN1 як Native VLAN для передачі нетегованого трафіку. Однак мережею Default VLAN є лише VLAN1, єдина мережа, яка не може бути змінена. Якщо свитч отримує нетеговані кадри на транковому порту, він автоматично зараховує їх до Native VLAN.
Простіше кажучи, у свитчах Cisco як Native VLAN можна використовувати будь-яку VLAN, наприклад, VLAN20, а як Default VLAN можна використовувати тільки VLAN1.
При цьому може виникнути проблема. Якщо ми змінимо для транк-порту першого свитча Native VLAN на VLAN20, то порт подумає: «якщо це Native VLAN, її трафік не потрібно постачати тегом» і відправить нетегированный трафік мережі VLAN20 по транку другому свитчу. Світч SW2, отримавши цей трафік, скаже: «Добре, цей трафік не має тега. Відповідно до моїх налаштувань, моя Native VLAN – це VLAN1, отже, я маю надіслати цей нетегований трафік по мережі VLAN1». Таким чином, SW2 направить отриманий трафік лише PC4 та PC-6, хоча він призначений PC5. Це створить велику проблему безпеки, оскільки змішує трафік VLAN. Ось чому на обох транк-портах завжди потрібно налаштовувати одну і ту ж Native VLAN, тобто якщо Native VLAN для транк порту SW1 - це VLAN20, то ця ж VLAN20 повинна бути встановлена як Native VLAN на транк-порті SW2.
Ось у чому полягає різниця між Native VLAN і Default VLAN, і вам потрібно пам'ятати, що всі Native VLAN у транці повинні збігатися (примітка перекладача: тому краще використовувати як Native VLAN мережу, відмінну від VLAN1).
Погляньмо на це з погляду світчу. Ви можете зайти в свитч і надрукувати команду show vlan brief, після чого побачите, що всі порти світчу приєднані до Default VLAN1.
Нижче показано ще 4 мережі VLAN: 1002,1003,1004 і 1005. Це теж Default VLAN, ви бачите це з їхнього позначення. Вони є стандартними мережами, тому що зарезервовані для конкретних мереж - Token Ring і FDDI. Як бачите, вони перебувають у активному стані, але не підтримуються, тому що до світчу не приєднані мережі згаданих стандартів.
Позначення “default” для VLAN 1 не може бути змінено, тому що це мережа за замовчуванням. Так як за замовчуванням всі порти світчу належать до цієї мережі, всі свити можуть зв'язуватися один з одним за умовчанням, тобто без необхідності додаткового налаштування портів. Якщо ви хочете підключити світильник до іншої мережі, ви входите в режим глобальних налаштувань і створюєте цю мережу, наприклад, VLAN20. Натиснувши «Введення», ви перейдете до налаштувань створеної мережі і можете присвоїти їй ім'я, наприклад Management, після чого вийти з налаштувань.
Якщо зараз використати команду show vlan brief, ви побачите, що у нас з'явилася нова мережа VLAN20, якій не відповідає жоден із портів світчу. Для того щоб привласнити цій мережі конкретний порт, потрібно виділити інтерфейс, наприклад, int e0/1, зайти в налаштування цього порту і ввести команди switchport mode access і switchport access vlan20.
Якщо попросити систему показати стан мереж VLAN, ми побачимо, що тепер Ethernet 0/1 призначається для мережі Management, тобто автоматично був переміщений сюди з області портів, призначених за умовчанням для VLAN1.
Запам'ятайте, що кожен порт access може мати тільки одну Data VLAN, тому він не може одночасно обслуговувати дві мережі VLAN.
Тепер глянемо на Native VLAN. Я використовую команду show int trunk та бачу, що порт Ethernet0/0 виділено під транк.
Мені не потрібно було робити це спеціально, тому що протокол DTP автоматично призначив цей інтерфейс для транкінгу. Порт знаходиться в режимі desirable, інкапсуляція типу n-isl, стан порту - транкінг, мережа - Native VLAN1.
Далі наведено допустимий для транкінгу діапазон номерів мереж VLAN 1-4094 та вказано, що у нас працюють мережі VLAN1 та VLAN20. Зараз я зайду в режим глобальної конфігурації та наберу команду int e0/0, завдяки якій перейду до налаштувань цього інтерфейсу. Я намагаюся вручну запрограмувати цей порт для роботи в режимі транка командою switchport mode trunk, проте система не приймає команду, відповідаючи, що: «інтерфейс з автоматичним режимом інкапсуляції транка не може бути переведений у режим транку».
Тому я повинен спочатку налаштувати тип інкапсуляції транка, для чого використовую команду switchport trunk encapsulation. Система видала підказки з можливими параметрами цієї команди:
dot1q - під час транкінгу порт використовує інкапсуляцію транка стандарту 802.1q;
isl – під час транкінгу порт використовує інкапсуляцію транкінгу лише пропрієтарного протоколу Cisco ISL;
negotiate - пристрій здійснює інкапсуляцію транкінгу з будь-яким пристроєм, підключеним до цього порту.
На кожному кінці транку повинен вибирати один і той же тип інкапсуляції. За умовчанням світильник «з коробки» підтримує лише транкінг типу dot1q, оскільки цей стандарт підтримують практично всі мережеві пристрої. Я запрограмую наш інтерфейс на інкапсуляцію транкінгу за цим стандартом за допомогою команди switchport trunk encapsulation dot1q, після чого використовую раніше відкинуту команду switchport mode trunk. Тепер наш порт запрограмовано на режим транку.
Якщо транк утворено двома свитчами Cisco, за промовчанням буде використовуватися пропрієтарний протокол ISL. Якщо один свитч підтримує dot1q і ISL, а другий тільки dot1q, транк автоматично буде переведений в режим інкапсуляції dot1q. Якщо знову поглянути на параметри транкінгу, ми побачимо, що режим інкапсуляції транкінгу інтерфейсу Et0/0 змінився з n-isl на 802.1q.
Якщо ввести команду show int e0/0 switchport, ми побачимо всі параметри стану порту.
Ви бачите, що за умовчанням VLAN1 є для транкінгу "рідною мережею" Native VLAN і при цьому можливий режим тегування трафіку Native VLAN. Далі я використовую команду int e0/0, заходжу до налаштувань цього інтерфейсу і набираю switchport trunk, після чого система видає підказки можливих параметрів цієї команди.
Allowed означає, що якщо порт знаходиться в режимі транка, то будуть встановлені допустимі характеристики VLAN. Encapsulation активує інкапсуляцію транкінгу, якщо порт перебуває у режимі транка. Я використовую параметр native, який означає, що в режимі транка для порту будуть встановлені native-характеристики і вводжу команду switchport trunk native VLAN20. Таким чином, у режимі транка VLAN20 буде Native VLAN для даного порту першого світчу SW1.
У нас є інший свитч, SW2, для транк-порту якого як Native VLAN використовується VLAN1. Зараз ви бачите, що протокол CDP видає повідомлення про те, що виявлено розбіжність Native VLAN на обох кінцях транку: транк-порт першого свитча Ethernet0/0 використовує Native VLAN20, а транк-порт другого - Native VLAN1. Це ілюструє, у чому різниця між Native VLAN та Default VLAN.
Давайте приступимо до розгляду звичайного та розширеного діапазону мереж VLAN.
Довгий час Cisco підтримувала лише діапазон номерів VLAN з 1 до 1005, при цьому діапазон з 1002 до 1005 був зарезервований за замовчуванням для Token Ring та FDDI VLAN. Ці мережі називалися звичайними VLAN. Якщо пам'ятаєте, VLAN ID є тег розміром 12 біт, який дозволяє встановити номер до 4096, проте з міркувань сумісності Cisco використовувала номери лише до 1005.
Розширений діапазон VLAN включає номери з 1006 по 4095. Його можна використовувати на старих пристроях тільки у випадку, якщо вони підтримують VTP v3. Якщо ви використовуєте VTP v3 та розширений діапазон VLAN, то повинні відключити підтримку VTP v1 і v2, тому що перша та друга версії не можуть працювати з VLAN, якщо вони мають номер більше 1005.
Так що якщо ви використовуєте Extended VLAN для старих світильників, VTP повинен бути в стані "desable" і вам потрібно вручну налаштувати його для VLAN, інакше не зможе відбуватися оновлення бази даних VLAN. Якщо ви збираєтеся використовувати Extended VLAN з VTP, вам потрібна третя версія VTP.
Подивимося стан VTP за допомогою команди show vtp status. Ви бачите, що світильник працює в режимі VTP v2, при цьому можлива підтримка версій 1 і 3. Я надав йому доменне ім'я nwking.org.
Тут важливим є режим управління VTP – сервер. Ви бачите, що максимальна кількість підтримуваних мереж VLAN дорівнює 1005. Таким чином, можна зрозуміти, що цей світильник за промовчанням підтримує лише звичайний діапазон VLAN.
Зараз я наберу команду show vlan brief і ви побачите VLAN20 Management, яка згадується тут, тому що є частиною бази даних VLAN.
Якщо я зараз попрошу показати поточну конфігурацію пристрою командою show run, ми не побачимо жодної згадки про VLAN, тому що вони містяться лише у базі даних VLAN.
Далі я використовую команду vtp mode для налаштування режиму роботи VTP. Світчі старих моделей мали лише три параметри для цієї команди: client, який переводить свитч у режим клієнта, server, що включає режим сервера, та transparent, що переводить свитч у «прозорий» режим. Так як на старих світильниках повністю відключити VTP було неможливо, в цьому режимі свитч, залишаючись у складі домену VTP, просто переставав приймати оновлення бази даних мереж VLAN, що надходять на його порти за протоколом VTP.
У нових світильниках з'явився параметр off, що дозволяє повністю відключити режим VTP. Давайте переведемо пристрій у прозорий режим командою vtp mode transparent і знову подивимося на поточну конфігурацію. Як бачите, тепер до неї додався запис про VLAN20. Таким чином, якщо ми додамо якусь мережу VLAN, чий номер знаходиться у звичайному діапазоні VLAN з номерами від 1 до 1005, і при цьому VTP перебуватиме в режимі transparent або off, то відповідно до внутрішніх політик VLAN ця мережа буде додана в поточну конфігурацію та базу даних віртуальних локальних мереж.
Спробуємо додати VLAN 3000, і ви побачите, що у прозорому режимі вона також з'явилася у поточній конфігурації. Зазвичай, якщо ми хочемо додати мережу з розширеного діапазону VLAN, то повинні використовувати команду vtp version 3. Як бачите, обидві мережі VLAN20 і VLAN3000 відображаються в поточній конфігурації.
Якщо вийти з режиму transparent і ввімкнути режим сервера за допомогою команди vtp mode server, а потім знову подивитися на конфігурацію, видно, що записи про VLAN повністю зникли. Це сталося тому, що всі відомості про VLAN зберігаються лише у базі даних VLAN, і їх можна переглянути лише у прозорому режимі VTP. Оскільки я ввімкнув режим VTP v3, то після використання команди show vtp status можна побачити, що максимальна кількість VLAN, що підтримуються, збільшилася до 4096.
Отже, база даних VTP v1 і VTP v2 підтримує тільки звичайні VLAN з номерами від 1 до 1005, а база даних VTP v3 включає записи про розширені VLAN з номерами від 1 до 4096. Якщо ви використовуєте режим VTP transparent або VTP off, інформація про VLAN буде додано до поточної конфігурації. Якщо ви хочете використовувати розширений діапазон VLAN, пристрій має бути в режимі VTP v3. Ось у чому полягає різниця між звичайними та розширеними VLAN.
А зараз ми порівняємо VLAN для даних та VLAN для голосової передачі. Якщо ви пам'ятаєте, я сказав, що кожен порт може одночасно належати лише до однієї VLAN.
Однак у багатьох випадках нам потрібно налаштувати порт для роботи з IP-телефоном. У сучасні IP-телефони Cisco вбудований свій світильник, тому ви можете просто підключити телефон кабелем до стіни розетки, а патч-кордом - до свого комп'ютера. Проблема полягала в тому, що розетка, до якої підключається порт телефону, повинна була мати дві різні VLAN. Ми вже обговорювали у відеоуроках 11 і 12 днів, що потрібно робити, щоб не допустити петель трафіку, як використовувати концепцію «рідний» VLAN, що пропускає нетегований трафік, але це були обхідні методи. Остаточним вирішенням проблеми стала концепція поділу VLAN на мережі для трафіку даних та мережі для голосового трафіку.
У цьому випадку ви об'єднуєте всі телефонні лінії у голосову VLAN. На малюнку показано, що комп'ютери PC1 та PC2 можуть належати червоній мережі VLAN20, комп'ютер PC3 – зеленій мережі VLAN30, але при цьому всі пов'язані з ними IP-телефони будуть належати до однієї і тієї ж жовтої голосової мережі VLAN50.
Фактично кожен порт світчу SW1 матиме одночасно дві мережі VLAN – для даних і для голосу.
Як я сказав, access VLAN завжди має одну VLAN, у вас не може бути двох VLAN на одному порту. Ви не можете застосувати одночасно до одного інтерфейсу команди switchport access vlan 10, switchport access vlan 20 і switchport access vlan 50. Але ви можете використовувати команду для одного і того ж інтерфейсу дві команди: команду switchport access vlan 10 і команду switchportice v Отже, оскільки IP-телефон містить в собі свитч, він може інкапсулювати і відправляти голосовий трафік VLAN50 і одночасно приймати і відправляти в режимі switchport access трафік даних мережі VLAN50 свитчу SW20. Подивимося, як налаштовується цей режим.
Спочатку ми створимо мережу VLAN50, а потім перейдемо до налаштувань інтерфейсу Ethernet 0/1 та запрограмуємо його на режим switchport mode access. Після цього я послідовно вводжу команди switchport access vlan 10 та switchport voice vlan 50.
Я забув налаштувати однаковий режим VLAN для транка, тому перейду до налаштувань порту Ethernet 0/0 і введу команду switchport trunk native vlan 1. Тепер я попрошу показати параметри VLAN, і ви бачите, що тепер на порту Ethernet 0/1 у нас є обидві мережі – VLAN 50 та VLAN20.
Таким чином, якщо ви побачите, що на одному порту розташовані дві VLAN, це означає, що одна з них є голосовою мережею Voice VLAN. Це не може бути транком, тому що якщо подивитися на параметри транка за допомогою команди show int trunk, видно, що транк-порт містить у собі всі мережі VLAN, включаючи стандартну мережу VLAN1.
Можна сказати, що технічно, коли ви створюєте мережу даних і голосову мережу, кожен з цих портів поводиться як півтранк: для однієї мережі він працює як транк, для іншої як access-порт.
Якщо набрати команду show int e0/1 switchport, можна побачити, що деякі характеристики відповідають двом режимам роботи: ми маємо і static access, і інкапсуляцію транкінгу. При цьому режиму access mode відповідає мережа даних VLAN 20 Management і одночасно є голосова мережа VLAN 50.
Можна подивитися на поточну конфігурацію, яка також покаже, що на даному порту є мережі access vlan 20 і voice vlan 50.
Ось у чому полягає відмінність між мережами Data VLAN та Voice VLAN. Сподіваюся, ви зрозуміли все, що я розповів, якщо ні – просто перегляньте цей відеоурок ще раз.
Дякую, що залишаєтеся з нами. Вам подобаються наші статті? Бажаєте бачити більше цікавих матеріалів? Підтримайте нас, оформивши замовлення або порекомендувавши знайомим, 30% знижка для користувачів Хабра на унікальний аналог entry-level серверів, який був винайдений нами для Вас: (Доступні варіанти з RAID1 і RAID10, до 24 ядер і до 40GB DDR4).
Dell R730xd у 2 рази дешевше? Тільки в нас у Нідерландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – від $99! Читайте про те
Джерело: habr.com