在我们介绍 VLAN 的基础知识之前,我想请大家暂停此视频,单击左下角显示“网络顾问”的图标,转到我们的 Facebook 页面并在那里点赞。 然后返回视频并点击右下角的 King 图标来订阅我们的官方 YouTube 频道。 我们在不断地添加新的系列,现在涉及到CCNA课程,那么我们计划开始一个CCNA Security、Network+、PMP、ITIL、Prince2的视频课程课程,并在我们的频道上发布这些精彩的系列。
那么,今天我们将讨论 VLAN 的基础知识并回答 3 个问题:什么是 VLAN、为什么需要 VLAN 以及如何配置它。 我希望看完本视频教程后您能够回答所有三个问题。
什么是VLAN? VLAN 是虚拟局域网的缩写。 在本教程后面,我们将了解为什么该网络是虚拟的,但在讨论 VLAN 之前,我们需要了解交换机的工作原理。 我们将回顾之前课程中讨论过的一些问题。
首先,我们来讨论一下什么是多重冲突域。 我们知道这个48端口交换机有48个冲突域。 这意味着这些端口中的每一个或连接到这些端口的设备都可以以独立的方式与不同端口上的另一个设备进行通信,而不会互相影响。
该交换机的所有 48 个端口都是一个广播域的一部分。 这意味着,如果多个设备连接到多个端口,并且其中一个正在广播,则它将出现在其余设备连接的所有端口上。 这正是开关的工作原理。
就好像人们坐在同一个房间里,彼此距离很近,当其中一个人大声说话时,其他人都能听到。 然而,这是完全无效的——房间里出现的人越多,房间就会变得越吵,在场的人将不再听到彼此的声音。 计算机也会出现类似的情况 - 连接到一个网络的设备越多,广播的“响度”就越大,从而无法建立有效的通信。
我们知道,如果其中一台设备连接到 192.168.1.0/24 网络,则所有其他设备都属于同一网络。 交换机还必须连接到具有相同 IP 地址的网络。 但这里交换机作为 OSI 第 2 层设备,可能会出现问题。 如果两个设备连接到同一网络,它们可以轻松地与彼此的计算机进行通信。 假设我们公司有一个“坏人”,一个黑客,我将在上面画出他。 下面是我的电脑。 因此,这个黑客很容易侵入我的计算机,因为我们的计算机是同一网络的一部分。 那就是问题所在。
如果我属于行政管理,这个新人可以访问我电脑上的文件,那可就不好了。 当然,我的计算机有防火墙可以防御许多威胁,但黑客绕过它并不困难。
对于该广播域的每个成员来说,存在的第二个危险是,如果有人对广播有问题,那么干扰将影响网络上的其他设备。 虽然所有48个端口都可以连接到不同的主机,但是一台主机出现故障会影响其他47个端口,这不是我们所需要的。
为了解决这个问题,我们使用 VLAN 或虚拟局域网的概念。 它的工作原理非常简单,将一台大型 48 端口交换机分成几台较小的交换机。
我们知道子网将一个大网络划分为多个小网络,VLAN 的工作原理也类似。 例如,它将一台 48 端口交换机划分为 4 个 12 端口交换机,每个交换机都是新连接网络的一部分。 同时,我们可以使用12个端口用于管理,12个端口用于IP电话等等,即不是物理上而是逻辑上、虚拟地划分交换机。
我在顶部交换机上为蓝色 VLAN10 网络分配了三个蓝色端口,为 VLAN20 分配了三个橙色端口。 因此,来自这些蓝色端口之一的任何流量只会流向其他蓝色端口,而不会影响该交换机的其他端口。 来自橙色端口的流量将进行类似的分配,也就是说,就好像我们正在使用两个不同的物理交换机一样。 因此,VLAN是一种将一台交换机划分为多个不同网络的交换机的方法。
我在顶部画了两个交换机,这里有一种情况,左边的交换机仅连接一个网络的蓝色端口,而右边的交换机仅连接另一个网络的橙色端口,并且这些交换机没有以任何方式相互连接。
假设您想使用更多端口。 假设我们有2栋大楼,每栋楼都有自己的管理人员,下层交换机的两个橙色端口用于管理。 因此,我们需要将这些端口连接到其他交换机的所有橙色端口。 蓝色端口的情况类似 - 上层交换机的所有蓝色端口必须连接到其他类似颜色的端口。 为此,我们需要使用单独的通信线路在物理上连接不同建筑物中的这两个交换机;在图中,这是两个绿色端口之间的线路。 众所周知,如果两台交换机物理连接,我们就形成主干或主干。
普通交换机和 VLAN 交换机有什么区别? 差别不大。 当您购买新交换机时,默认情况下所有端口都配置为 VLAN 模式,并且属于同一网络(指定为 VLAN1)的一部分。 这就是为什么当我们将任何设备连接到一个端口时,它最终会连接到所有其他端口,因为所有 48 个端口都属于同一个 VLAN1。 但是,如果我们将蓝色端口配置为在 VLAN10 网络上工作,将橙色端口配置为在 VLAN20 网络上工作,将绿色端口配置为在 VLAN1 网络上工作,我们将得到 3 个不同的交换机。 因此,使用虚拟网络模式允许我们在逻辑上将端口分组到特定的网络中,将广播分割成多个部分,并创建子网。 在这种情况下,每个特定颜色的端口都属于一个单独的网络。 如果蓝色端口工作在 192.168.1.0 网络上,橙色端口工作在 192.168.1.0 网络上,那么尽管 IP 地址相同,它们也不会相互连接,因为它们在逻辑上属于不同的交换机。 正如我们所知,不同的物理交换机除非通过公共通信线路连接,否则不会相互通信。 所以我们为不同的VLAN创建不同的子网。
我想提请您注意以下事实:VLAN 概念仅适用于交换机。 任何熟悉 .1Q 或 ISL 等封装协议的人都知道,路由器和计算机都没有任何 VLAN。 例如,当您将计算机连接到其中一个蓝色端口时,您不会更改计算机中的任何内容;所有更改仅发生在第二个 OSI 级别(即交换机级别)。 当我们将端口配置为与特定 VLAN10 或 VLAN20 网络配合使用时,交换机会创建一个 VLAN 数据库。 它在内存中“记录”端口 1,3 和 5 属于 VLAN10,端口 14,15 和 18 属于 VLAN20,其余涉及的端口属于 VLAN1。 因此,如果某些流量源自蓝色端口 1,则它只会流向同一 VLAN3 的端口 5 和 10。 交换机查看其数据库,发现如果流量来自橙色端口之一,则它应该只流向 VLAN20 的橙色端口。
然而,计算机对这些 VLAN 一无所知。 当我们连接 2 个交换机时,绿色端口之间会形成一条中继。 术语“干线”仅与 Cisco 设备相关;其他网络设备制造商(例如 Juniper)使用术语“标签端口”或“标记端口”。 我认为标签端口这个名字更合适。 当流量源自该网络时,主干将其传输到下一个交换机的所有端口,也就是说,我们连接两个 48 端口交换机并获得一个 96 端口交换机。 同时,当我们从 VLAN10 发送流量时,它会被标记,也就是说,它带有一个标签,表明它仅适用于 VLAN10 网络的端口。 第二台交换机收到此流量后,会读取标签并了解这是专门用于 VLAN10 网络的流量,并且只能流向蓝色端口。 同样,VLAN20 的“橙色”流量被标记,以表明它的目的地是第二台交换机上的 VLAN20 端口。
我们还提到了封装,这里有两种封装方法。 第一个是.1Q,即我们在组织trunk的时候,必须提供封装。 .1Q 封装协议是一个开放标准,描述了标记流量的过程。 还有另一种协议,称为ISL,即交换机间链路,由Cisco 开发,它指示流量属于特定VLAN。 所有现代交换机都使用 .1Q 协议,因此当您开箱取出新交换机时,不需要使用任何封装命令,因为默认情况下它是由 .1Q 协议执行的。 因此,创建主干后,会自动进行流量封装,从而允许读取标签。
现在让我们开始设置 VLAN。 让我们创建一个网络,其中有 2 个交换机和两个终端设备 - 计算机 PC1 和 PC2,我们将使用电缆将其连接到交换机 #0。 让我们从基本配置开关的基本设置开始。
为此,请单击交换机并转到命令行界面,然后设置主机名,将此交换机称为 sw1。 现在让我们继续设置第一台计算机,设置静态 IP 地址 192.168.1.1 和子网掩码 255.255。 255.0。 不需要默认网关地址,因为我们的所有设备都位于同一网络上。 接下来,我们将对第二台计算机执行相同的操作,为其分配 IP 地址 192.168.1.2。
现在让我们回到第一台计算机来 ping 第二台计算机。 正如我们所看到的,ping 是成功的,因为这两台计算机都连接到同一台交换机,并且默认属于同一网络 VLAN1。 如果我们现在查看交换机接口,我们将看到从 1 到 24 的所有快速以太网端口和两个千兆以太网端口都配置在 VLAN #1 上。 但是,不需要如此过多的可用性,因此我们进入交换机设置并输入 show vlan 命令来查看虚拟网络数据库。
您可以在此处看到 VLAN1 网络的名称以及所有交换机端口都属于该网络的事实。 这意味着您可以连接到任何端口,并且它们都能够相互“对话”,因为它们是同一网络的一部分。
我们将改变这种情况;为此,我们首先创建两个虚拟网络,即添加VLAN10。 要创建虚拟网络,请使用“vlan 网络号”等命令。
正如您所看到的,当尝试创建网络时,系统显示一条消息,其中包含执行此操作所需的 VLAN 配置命令列表:
退出 – 应用更改并退出设置;
名称 – 输入自定义 VLAN 名称;
no – 取消命令或将其设置为默认值。
这意味着在输入 create VLAN 命令之前,必须输入 name 命令,该命令会打开名称管理模式,然后继续创建新网络。 此时系统会提示可以分配的VLAN号,范围为1~1005。
那么现在我们输入命令创建VLAN号20-vlan 20,然后给它起一个用户名,由此可见它是一个什么样的网络。 在我们的例子中,我们使用名称“Employees”命令,或者公司员工的网络。
现在我们需要为这个 VLAN 分配一个特定的端口。 我们进入交换机设置模式 int f0/1,然后使用 switchport mode access 命令手动将端口切换到访问模式,并指示哪个端口需要切换到此模式 - 这是 VLAN10 网络的端口。
我们看到,此后PC0和交换机之间的连接点的颜色,即端口的颜色,从绿色变为橙色。 设置更改生效后,它将再次变为绿色。 让我们尝试 ping 第二台计算机。 我们没有对计算机的网络设置进行任何更改,它们的 IP 地址仍然是 192.168.1.1 和 192.168.1.2。 但是,如果我们尝试从计算机 PC0 ping PC1,则不会有任何效果,因为现在这些计算机属于不同的网络:第一台属于 VLAN10,第二台属于本机 VLAN1。
让我们返回到交换机界面并配置第二个端口。 为此,我将发出命令 int f0/2,并对 VLAN 20 重复与配置之前的虚拟网络时相同的步骤。
现在,我们看到第二台计算机所连接的交换机的下部端口的颜色也从绿色变为橙色 - 必须经过几秒钟,设置更改才会生效并再次变为绿色。 如果我们再次开始 ping 第二台计算机,则不会有任何效果,因为计算机仍然属于不同的网络,只有 PC1 现在是 VLAN1 的一部分,而不是 VLAN20。
这样,您就将一台物理交换机划分为两台不同的逻辑交换机。 您看到现在端口颜色已从橙色变为绿色,该端口正在工作,但仍然没有响应,因为它属于不同的网络。
让我们对电路进行更改 - 将计算机 PC1 与第一个交换机断开并将其连接到第二个交换机,然后用电缆连接交换机本身。
为了在它们之间建立连接,我将进入第二台交换机的设置并创建 VLAN10,并将其命名为 Management,即管理网络。 然后我将启用访问模式并指定该模式用于 VLAN10。 现在,连接交换机的端口的颜色已从橙色变为绿色,因为它们都配置在 VLAN10 上。 现在我们需要在两个交换机之间创建一条中继。 这两个端口都是 Fa0/2,因此您需要使用 switchport mode trunk 命令为第一台交换机的 Fa0/2 端口创建中继。 必须对第二台交换机执行相同的操作,然后在这两个端口之间形成中继。
现在,如果我想从第一台计算机 ping PC1,一切都会成功,因为 PC0 和交换机 #0 之间的连接是 VLAN10 网络,交换机 #1 和 PC1 之间也是 VLAN10,并且两台交换机都通过中继连接。
因此,如果设备位于不同的 VLAN 上,则它们不会相互连接,但如果它们位于同一网络上,则可以在它们之间自由交换流量。 让我们尝试为每个交换机再添加一个设备。
在添加的计算机PC2的网络设置中,我将IP地址设置为192.168.2.1,在PC3的设置中,该地址将为192.168.2.2。 在这种情况下,这两台 PC 连接的端口将指定为 Fa0/3。 在交换机 #0 的设置中,我们将设置访问模式并指示该端口用于 VLAN20,我们将对交换机 #1 执行相同的操作。
如果我使用 switchport access vlan 20 命令,并且 VLAN20 尚未创建,系统将显示类似“Access VLAN 不存在”的错误,因为交换机被配置为仅与 VLAN10 配合使用。
让我们创建 VLAN20。 我使用“show VLAN”命令来查看虚拟网络数据库。
可以看到默认网络为VLAN1,端口Fa0/4~Fa0/24和Gig0/1、Gig0/2都连接到该VLAN10。 VLAN 号 0,名为 Management,连接到端口 Fa1/20;VLAN 号 0020,默认名称为 VLAN0,连接到端口 Fa3/XNUMX。
原则上,网络的名称并不重要,主要是不同网络的名称不重复。 如果我想更改系统默认分配的网络名称,我使用命令 vlan 20 和名称Employees。 我可以将此名称更改为其他名称,例如 IPphones,如果我们 ping IP 地址 192.168.2.2,我们可以看到 VLAN 名称没有任何意义。
最后我想提的是管理IP的目的,我们在上一课中谈到了这一点。 为此,我们使用 int vlan1 命令并输入 IP 地址 10.1.1.1 和子网掩码 255.255.255.0,然后添加 no shutdown 命令。 我们不是为整个交换机分配管理IP,而是只为VLAN1端口分配管理IP,即我们分配管理VLAN1网络的IP地址。 如果我们要管理VLAN2,就需要为VLAN2创建对应的接口。 在我们的例子中,有蓝色的 VLAN10 端口和橙色的 VLAN20 端口,分别对应地址 192.168.1.0 和 192.168.2.0。
VLAN10 的地址必须位于同一范围内,以便适当的设备可以连接到它。 必须对 VLAN20 进行类似的设置。
此交换机命令行窗口显示 VLAN1(即本机 VLAN)的接口设置。
为了配置 VLAN10 的管理 IP,我们必须创建一个接口 int vlan 10,然后添加 IP 地址 192.168.1.10 和子网掩码 255.255.255.0。
要配置VLAN20,我们必须创建一个接口int vlan 20,然后添加IP地址192.168.2.10和子网掩码255.255.255.0。
为什么这是必要的? 如果计算机 PC0 和交换机 #0 的左上端口属于 192.168.1.0 网络,PC2 属于 192.168.2.0 网络并连接到本征 VLAN1 端口,该端口属于 10.1.1.1 网络,则 PC0 无法建立由于属于不同的网络,因此通过 SSH 协议与该交换机进行通信。 因此,为了让PC0能够通过SSH或Telnet与交换机进行通信,我们必须授予它Access访问权限。 这就是为什么我们需要网络管理。
我们应该能够使用 SSH 或 Telnet 将 PC0 绑定到 VLAN20 接口 IP 地址,并通过 SSH 进行所需的任何更改。 因此,管理 IP 对于配置 VLAN 是特别必要的,因为每个虚拟网络必须有自己的访问控制。
在今天的视频中,我们讨论了许多问题:基本交换机设置、创建 VLAN、分配 VLAN 端口、为 VLAN 分配管理 IP 以及配置中继。 如果您不理解某些内容,请不要感到尴尬,这是很自然的,因为 VLAN 是一个非常复杂且广泛的主题,我们将在以后的课程中再次讨论。 我保证在我的帮助下你可以成为 VLAN 高手,但是本课的重点是为你澄清 3 个问题:什么是 VLAN、为什么需要它们以及如何配置它们。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣: (适用于 RAID1 和 RAID10,最多 24 个内核和最多 40GB DDR4)。
戴尔R730xd便宜2倍? 只有这里 在荷兰! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 阅读
来源: habr.com