在我們介紹 VLAN 的基礎知識之前,我想請大家暫停此視頻,單擊左下角顯示“網絡顧問”的圖標,轉到我們的 Facebook 頁面並在那裡點贊。 然後返回影片並點擊右下角的 King 圖示來訂閱我們的官方 YouTube 頻道。 我們不斷地添加新的系列,現在涉及CCNA課程,那麼我們計劃開始一個CCNA Security、Network+、PMP、ITIL、Prince2的視頻課程課程,並在我們的頻道上發布這些精彩的系列。
那麼,今天我們將討論 VLAN 的基礎並回答 3 個問題:什麼是 VLAN、為什麼需要 VLAN 以及如何設定它。 我希望看完本影片教學後您能夠回答所有三個問題。
什麼是VLAN? VLAN 是虛擬區域網路的縮寫。 在本教程後面,我們將了解為什麼該網路是虛擬的,但在討論 VLAN 之前,我們需要了解交換器的工作原理。 我們將回顧之前課程中討論過的一些問題。
首先,我們來討論一下什麼是多重衝突域。 我們知道這個48埠交換器有48個衝突域。 這意味著這些連接埠中的每一個或連接到這些連接埠的設備都可以以獨立的方式與不同連接埠上的另一個設備進行通信,而不會互相影響。
此交換器的所有 48 個連接埠都是一個廣播域的一部分。 這意味著,如果多個設備連接到多個端口,並且其中一個正在廣播,則它將出現在其餘設備連接的所有端口上。 這正是開關的工作原理。
就好像人們坐在同一個房間裡,彼此距離很近,當其中一個人大聲說話時,其他人都能聽到。 然而,這是完全無效的——房間裡出現的人越多,房間就會變得越吵,在場的人將不再聽到彼此的聲音。 電腦也會出現類似的情況 - 連接到一個網路的裝置越多,廣播的「響度」就越大,因此無法建立有效的通訊。
我們知道,如果其中一台設備連接到 192.168.1.0/24 網絡,則所有其他設備都屬於同一網絡。 交換器也必須連接到具有相同 IP 位址的網路。 但這裡交換器作為 OSI 第 2 層設備,可能會出現問題。 如果兩個設備連接到同一網絡,它們可以輕鬆地與彼此的電腦進行通訊。 假設我們公司有一個“壞人”,一個駭客,我將在上面畫出他。 下面是我的電腦。 因此,這個駭客很容易侵入我的計算機,因為我們的電腦是同一網路的一部分。 那就是問題所在。
如果我屬於行政管理,這個新人可以存取我電腦上的文件,那可就不好了。 當然,我的電腦有防火牆可以防禦許多威脅,但駭客繞過它並不困難。
對於該廣播域的每個成員來說,存在的第二個危險是,如果有人對廣播有問題,那麼幹擾將影響網路上的其他設備。 雖然所有48個端口都可以連接到不同的主機,但是一台主機發生故障會影響其他47個端口,這不是我們所需要的。
為了解決這個問題,我們使用 VLAN 或虛擬區域網路的概念。 它的工作原理非常簡單,將一台大型 48 埠交換器分成幾台較小的交換器。
我們知道子網將一個大網絡劃分為多個小網絡,VLAN 的工作原理也類似。 例如,它將一台 48 連接埠交換器劃分為 4 個 12 連接埠交換機,每個交換器都是新連接網路的一部分。 同時,我們可以使用12個連接埠用於管理,12個連接埠用於IP電話等等,即不是物理上而是邏輯上、虛擬地劃分交換器。
我在頂部交換器上為藍色 VLAN10 網路分配了三個藍色端口,為 VLAN20 分配了三個橙色端口。 因此,來自這些藍色端口之一的任何流量只會流向其他藍色端口,而不會影響該交換機的其他端口。 來自橙色連接埠的流量將進行類似的分配,也就是說,就好像我們正在使用兩個不同的實體交換器一樣。 因此,VLAN是一種將一台交換器劃分為多個不同網路的交換器的方法。
我在頂部畫了兩個交換機,這裡有一種情況,左邊的交換機僅連接一個網絡的藍色端口,而右邊的交換機僅連接另一個網絡的橙色端口,並且這些交換機沒有以任何方式相互連接。
假設您想使用更多連接埠。 假設我們有2棟大樓,每棟樓都有自己的管理人員,下層交換器的兩個橘色連接埠用於管理。 因此,我們需要將這些連接埠連接到其他交換器的所有橘色連接埠。 藍色連接埠的情況類似 - 上層交換器的所有藍色連接埠必須連接到其他類似顏色的連接埠。 為此,我們需要使用單獨的通訊線路在物理上連接不同建築物中的這兩個交換器;在圖中,這是兩個綠色連接埠之間的線路。 眾所周知,如果兩台交換器物理連接,我們就形成主幹或主幹。
普通交換器和 VLAN 交換器有什麼差別? 差別不大。 當您購買新交換器時,預設所有連接埠都配置為 VLAN 模式,並且屬於相同網路(指定為 VLAN1)的一部分。 這就是為什麼當我們將任何設備連接到一個端口時,它最終會連接到所有其他端口,因為所有 48 個端口都屬於同一個 VLAN1。 但是,如果我們將藍色連接埠配置為在 VLAN10 網路上工作,將橘色連接埠配置為在 VLAN20 網路上工作,將綠色連接埠配置為在 VLAN1 網路上工作,我們將得到 3 個不同的交換器。 因此,使用虛擬網路模式允許我們在邏輯上將連接埠分組到特定的網路中,將廣播分割成多個部分,並建立子網路。 在這種情況下,每個特定顏色的連接埠都屬於一個單獨的網路。 如果藍色連接埠工作在 192.168.1.0 網路上,橙色連接埠工作在 192.168.1.0 網路上,那麼儘管 IP 位址相同,它們也不會相互連接,因為它們在邏輯上屬於不同的交換器。 正如我們所知,不同的實體交換器除非透過公共通訊線路連接,否則不會相互通訊。 所以我們為不同的VLAN建立不同的子網路。
我想提請您注意以下事實:VLAN 概念僅適用於交換器。 任何熟悉 .1Q 或 ISL 等封裝協定的人都知道,路由器和電腦都沒有任何 VLAN。 例如,當您將電腦連接到其中一個藍色連接埠時,您不會變更電腦中的任何內容,所有變更僅發生在第二個 OSI 等級(即交換器等級)。 當我們將連接埠配置為與特定 VLAN10 或 VLAN20 網路搭配使用時,交換機會建立一個 VLAN 資料庫。 它在記憶體中「記錄」連接埠 1,3 和 5 屬於 VLAN10,連接埠 14,15 和 18 屬於 VLAN20,其餘涉及的連接埠屬於 VLAN1。 因此,如果某些流量源自藍色連接埠 1,則它只會流向相同 VLAN3 的連接埠 5 和 10。 交換器查看其資料庫,發現如果流量來自橙色連接埠之一,則它應該隻流向 VLAN20 的橘色連接埠。
然而,計算機對這些 VLAN 一無所知。 當我們連接 2 個交換器時,綠色連接埠之間會形成一條中繼。 術語「幹線」僅與 Cisco 設備相關;其他網路設備製造商(例如 Juniper)使用術語「標籤連接埠」或「標記連接埠」。 我認為標籤埠這個名字更合適。 當流量源自該網路時,主幹將其傳輸到下一個交換器的所有端口,也就是說,我們連接兩個 48 端口交換器並獲得一個 96 端口交換器。 同時,當我們從 VLAN10 發送流量時,它會被標記,也就是說,它帶有一個標籤,表示它僅適用於 VLAN10 網路的連接埠。 第二台交換器收到此流量後,會讀取標籤並了解這是專門用於 VLAN10 網路的流量,並且只能流向藍色連接埠。 同樣,VLAN20 的「橘色」流量被標記,以表示它的目的地是第二台交換器上的 VLAN20 連接埠。
我們也提到了封裝,這裡有兩種封裝方法。 第一個是.1Q,也就是我們在組織trunk的時候,必須提供封裝。 .1Q 封裝協定是一個開放標準,描述了標記流量的過程。 還有另一種協議,稱為ISL,即交換器間鏈路,由Cisco 開發,它指示流量屬於特定VLAN。 所有現代交換器都使用 .1Q 協議,因此當您開箱取出新交換器時,不需要使用任何封裝命令,因為預設情況下它是由 .1Q 協議執行的。 因此,建立主幹後,會自動進行流量封裝,從而允許讀取標籤。
現在讓我們開始設定 VLAN。 讓我們建立一個網絡,其中有 2 個交換器和兩個終端設備 - 電腦 PC1 和 PC2,我們將使用電纜將其連接到交換器 #0。 讓我們從基本配置開關的基本設定開始。
為此,請按一下交換器並轉到命令列介面,然後設定主機名,將此交換器稱為 sw1。 現在讓我們繼續設定第一台計算機,設定靜態 IP 位址 192.168.1.1 和子網路遮罩 255.255。 255.0。 不需要預設網關位址,因為我們的所有裝置都位於同一網路上。 接下來,我們將對第二台電腦執行相同的操作,為其指派 IP 位址 192.168.1.2。
現在讓我們回到第一台電腦來 ping 第二台電腦。 如您所看到的,ping 成功是因為這兩台電腦都連接到同一台交換機,並且預設屬於同一網路 VLAN1。 如果我們現在查看交換器接口,我們將看到從 1 到 24 的所有快速乙太網路連接埠和兩個千兆乙太網路連接埠都配置在 VLAN #1 上。 但是,不需要如此過多的可用性,因此我們進入交換器設定並輸入 show vlan 命令來查看虛擬網路資料庫。
您可以在此處看到 VLAN1 網路的名稱以及所有交換器連接埠都屬於該網路的事實。 這意味著您可以連接到任何端口,並且它們都能夠相互“對話”,因為它們是同一網路的一部分。
我們將改變這種情況;為此,我們首先創建兩個虛擬網絡,即添加VLAN10。 若要建立虛擬網絡,請使用「vlan 網路號碼」等指令。
正如您所看到的,當嘗試建立網路時,系統顯示一條訊息,其中包含執行此操作所需的 VLAN 配置命令清單:
退出 – 應用變更並退出設定;
名稱 – 輸入自訂 VLAN 名稱;
no – 取消指令或將其設為預設值。
這表示在輸入 create VLAN 命令之前,必須輸入 name 命令,該命令會開啟名稱管理模式,然後繼續建立新網路。 此時系統會提示可指派的VLAN號,範圍為1~1005。
那麼現在我們輸入指令創建VLAN號20-vlan 20,然後給它一個用戶名,由此可見它是一個什麼樣的網路。 在我們的例子中,我們使用名稱「Employees」指令,或是公司員工的網路。
現在我們需要為這個 VLAN 指派一個特定的連接埠。 我們進入交換器設定模式 int f0/1,然後使用 switchport mode access 命令手動將連接埠切換到存取模式,並指示哪個連接埠需要切換到此模式 - 這是 VLAN10 網路的連接埠。
我們看到,此後PC0和交換器之間的連接點的顏色,即連接點的顏色,從綠色變為橙色。 設定變更生效後,它將再次變為綠色。 讓我們試試 ping 第二台電腦。 我們沒有對電腦的網路設定進行任何更改,它們的 IP 位址仍然是 192.168.1.1 和 192.168.1.2。 但是,如果我們嘗試從電腦 PC0 ping PC1,則不會有任何效果,因為現在這些電腦屬於不同的網路:第一台屬於 VLAN10,第二台屬於本機 VLAN1。
讓我們返回到交換器介面並配置第二個連接埠。 為此,我將發出命令 int f0/2,並對 VLAN 20 重複與配置之前的虛擬網路時相同的步驟。
現在,我們看到第二台電腦所連接的交換器的下部連接埠的顏色也從綠色變為橘色 - 必須經過幾秒鐘,設定變更才會生效並再次變為綠色。 如果我們再次開始 ping 第二台計算機,則不會有任何效果,因為計算機仍然屬於不同的網絡,只有 PC1 現在是 VLAN1 的一部分,而不是 VLAN20。
這樣,您就將一台實體交換器劃分為兩台不同的邏輯交換器。 您看到現在連接埠顏色已從橙色變為綠色,該連接埠正在工作,但仍然沒有響應,因為它屬於不同的網路。
讓我們對電路進行更改 - 將電腦 PC1 與第一個交換機斷開並將其連接到第二個交換機,然後用電纜連接交換器本身。
為了在它們之間建立連接,我將進入第二台交換器的設定並建立 VLAN10,並將其命名為 Management,即管理網路。 然後我將啟用存取模式並指定該模式用於 VLAN10。 現在,連接交換器的連接埠的顏色已從橙色變為綠色,因為它們都配置在 VLAN10 上。 現在我們需要在兩台交換器之間建立一條中繼。 這兩個連接埠都是 Fa0/2,因此您需要使用 switchport mode trunk 指令為第一台交換器的 Fa0/2 連接埠建立中繼。 必須對第二台交換器執行相同的操作,然後在這兩個連接埠之間形成中繼。
現在,如果我想從第一台電腦 ping PC1,一切都會成功,因為 PC0 和交換器 #0 之間的連接是 VLAN10 網絡,交換器 #1 和 PC1 之間也是 VLAN10,並且兩台交換器都透過中繼連接。
因此,如果裝置位於不同的 VLAN 上,則它們不會相互連接,但如果它們位於同一網路上,則可以在它們之間自由交換流量。 讓我們嘗試為每個交換器再增加一個設備。
在新增的電腦PC2的網路設定中,我將IP位址設定為192.168.2.1,在PC3的設定中,該位址將為192.168.2.2。 在這種情況下,這兩台 PC 連接的連接埠將指定為 Fa0/3。 在交換器 #0 的設定中,我們將設定存取模式並指示該連接埠用於 VLAN20,我們將對交換器 #1 執行相同的操作。
如果我使用 switchport access vlan 20 命令,且 VLAN20 尚未創建,系統將顯示類似「Access VLAN 不存在」的錯誤,因為交換器已配置為僅與 VLAN10 配合使用。
讓我們建立 VLAN20。 我使用“show VLAN”命令來查看虛擬網路資料庫。
可以看到預設網路為VLAN1,連接埠Fa0/4~Fa0/24和Gig0/1、Gig0/2都連接到該VLAN10。 VLAN 號碼 0,名為 Management,連接到連接埠 Fa1/20;VLAN 號碼 0020,預設名稱為 VLAN0,連接到連接埠 Fa3/XNUMX。
原則上,網路的名稱並不重要,主要是不同網路的名稱不重複。 如果我想更改系統預設分配的網路名稱,我使用命令 vlan 20 和名稱Employees。 我可以將此名稱更改為其他名稱,例如 IPphones,如果我們 ping IP 位址 192.168.2.2,我們可以看到 VLAN 名稱沒有任何意義。
最後我想提的是管理IP的目的,我們在上一課中談到了這一點。 為此,我們使用 int vlan1 指令並輸入 IP 位址 10.1.1.1 和子網路遮罩 255.255.255.0,然後新增 no shutdown 指令。 我們不是為整個交換器分配管理IP,而是只為VLAN1連接埠分配管理IP,也就是我們分配管理VLAN1網路的IP位址。 如果我們要管理VLAN2,就需要為VLAN2建立對應的介面。 在我們的例子中,有藍色的 VLAN10 端口和橙色的 VLAN20 端口,分別對應位址 192.168.1.0 和 192.168.2.0。
VLAN10 的位址必須位於同一範圍內,以便適當的設備可以連接到它。 必須對 VLAN20 進行類似的設定。
此交換器命令列視窗顯示 VLAN1(即本機 VLAN)的介面設定。
為了設定 VLAN10 的管理 IP,我們必須建立一個介面 int vlan 10,然後新增 IP 位址 192.168.1.10 和子網路遮罩 255.255.255.0。
要設定VLAN20,我們必須建立一個介面int vlan 20,然後新增IP位址192.168.2.10和子網路遮罩255.255.255.0。
為什麼這是必要的? 如果電腦 PC0 和交換器 #0 的左上連接埠屬於 192.168.1.0 網絡,PC2 屬於 192.168.2.0 網路並連接到本徵 VLAN1 網絡,該連接埠屬於 10.1.1.1 網絡,則 PC0 無法建立由於屬於不同的連接埠網絡,因此透過SSH 協定與此交換器進行通訊。 因此,為了讓PC0能夠透過SSH或Telnet與交換器進行通信,我們必須授予它Access存取權限。 這就是為什麼我們需要網路管理。
我們應該能夠使用 SSH 或 Telnet 將 PC0 綁定到 VLAN20 介面 IP 位址,並透過 SSH 進行所需的任何變更。 因此,管理 IP 對於配置 VLAN 是特別必要的,因為每個虛擬網路必須有自己的存取控制。
在今天的影片中,我們討論了許多問題:基本交換器設定、建立 VLAN、分配 VLAN 連接埠、為 VLAN 指派管理 IP 以及設定中繼。 如果您不理解某些內容,請不要感到尷尬,這是很自然的,因為 VLAN 是一個非常複雜且廣泛的主題,我們將在以後的課程中再次討論。 我保證在我的幫助下你可以成為 VLAN 高手,但本課程的重點是為你澄清 3 個問題:什麼是 VLAN、為什麼需要它們以及如何設定它們。
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
戴爾R730xd便宜2倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com