Jak nastavit VLAN
Virtuální místní síť neboli VLAN je způsob rozdělení počítačů v síti do skupin klastrů, které slouží společnému obchodnímu účelu..Část LAN označuje, že rozdělujeme fyzický hardwarezatímcovirtuální část naznačuje, že používáme logikuabych to splnil. V tomto článku uvidíme, jak můžete vytvořit VLAN a poté ji nakonfigurovat tak, aby do ní mohly přecházet datové pakety z jiné VLAN.
Poznámka: i když jsme se snažili celé cvičení nastavení VLAN co nejvíce zjednodušit, předpokládá se, že vy, čtenář, máte základní přehled o konfiguraci sítě. Předpokládáme také, že máte praktické znalosti o konceptech a účelech IP adres, bran, přepínačů a směrovačů. Kromě toho také potřebujete vědět o navigaci v rozhraní a postupech konfigurace podrozhraní na počítačích a síťových zařízeních.
Krok za krokem – Jak nastavit VLAN
Nejlepší způsob, jak se naučit, jak nastavit VLAN – kromě toho, že budete chodit na síťovou školu – je skutečně to udělat v praktickém cvičení. A protože ne všichni máme routery a přepínače, bylo by rozumné vytvořit naši VLAN v simulovaném prostředí.
V tomto příkladu budeme používatCisco Packet Tracerukázat, jak nastavit naši VLAN. Je to jeden z nejjednodušších a nejrealističtějších nástrojů k použití a umožňuje rozhraní GUI i CLI. Tímto způsobem můžete vidět příkazy, které se provádějí v reálném čase, i když při konfiguraci jednoduše kliknete a přetáhnete.
Nástroj lze stáhnout, nastavit a ověřit (otevřením výukového účtu na adrese Cisco Networking Academy ). Nebojte se; můžete se jednoduše ZDARMA zaregistrovat Kurz Cisco Packet Tracer v následujících situacíchzískat plný přístup k návrhovému nástroji.
Kromě snadného použití, kdy je společnost Cisco lídrem na trhu, si myslíme, že je to vhodná volba, jak předvést, jak nastavit VLAN.
Samozřejmě můžete použít jakýkoli jiný podobný nástroj – protože koncept zůstává stejný. Rychlé online vyhledávání vám ukáže, že existují aplikace – stolní i založené na prohlížeči – pro každou značku zařízení se síťovým rozhraním. Najděte a pracujte s tím, který vám nejvíce vyhovuje.
Router-on-a-Stick – vysvětlení
I když existuje mnoho způsobů, jak nastavit VLAN nebo inter-VLAN,architektura, kterou budeme vytvářet, bude využívat to, co je známo jako konfigurace Cisco Router on a Stick.
V této konfiguraci sítě bude mít náš router jediné fyzické nebo logické připojení k naší síti. Tento router pomůže přemostit dvě VLAN – které spolu nemohou komunikovat – připojením k našemu přepínači pomocí jediného kabelu.
Funguje to takto: datové pakety, které jsou odeslány z počítače v Accounting VLAN – a jsou určeny pro počítač v Logistics VLAN – budou putovat do switche. Přepínač, když rozpozná, že pakety potřebují přejít do jiné VLAN, předá provoz do routeru.
Router mezitím bude mítjedno fyzické rozhraní (v našem příkladu síťový kabel), které bylo rozděleno do dvou logických dílčích rozhraní. Každé dílčí rozhraní bude mít oprávnění pro přístup k jedné VLAN.
Když datové pakety dorazí do routeru, budou přesměrovány do správné VLAN přes autorizované dílčí rozhraní a poté dorazí na zamýšlené místo určení.
Naše nastavení routeru na Stick VLAN s možností inter-VLAN bude vypadat takto:
Plánování vašich úkolů
Celý úkol vytvoření naší síťové architektury bude rozdělen do čtyř hlavních kategorií, kde budete:
- Připojte všechna zařízenívytvořit správnou architekturu
- Konfigurace rozhranítakže všechna zařízení spolu mohou „mluvit“.
- Vytvářejte sítě VLAN a přiřazujte počítačedo jejich příslušných VLAN
- Potvrďte správnou konfiguraciprokázáním, že počítače nemohou komunikovat mimo svou VLAN
Takže bez dalších okolků začněme vytvářet naši VLAN. Pamatujte, že zpočátku bude mít přepínač a k němu připojené čtyři počítače. Pokud se tak rozhodnete, můžete router do návrhu přenést později.
Připojte všechna zařízení
Přetáhněte přepínač, router a čtyři počítače na hlavní návrhovou desku. Pro naše demo budeme používat apřepínač 2960a arouter 2911.Přepínač se připojí kčtyři počítače(PC0,PC1,PCdva, aPC3) použitímměděné přímé drátové spoje(popis hardwaru a typů připojení uvidíte úplně dole v okně Tracer).
Další,připojte přepínač ke každému počítači pomocí portů FastEthernet.
Jakmile jsou všechna zařízení připojena, měli byste mít mezi zařízeními zcela zelený provoz. Tak jakonástroj se snaží napodobit zavádění a připojování zařízení v reálném světě, může to trvat minutu nebo dvě.Pokud indikátory datového toku zůstanou oranžové, nebojte sena několik sekund. Pokud jsou vaše připojení a konfigurace správné, vše se brzy změní na zelenou.
Abychom usnadnili uchopení, pojďmeoznačte dva počítače vlevo jako patřící do účetního oddělení (modrá)a další dva jakopatřící k oddělením logistiky (červená).
Konfigurace rozhraní
Teď pojďmezačněte přidělovat IP adresy, aby naše počítače mohly začít komunikovatnavzájem. Přiřazení IP bude vypadat takto:
- PC ACCT0= 192.168.1.10/255.255.255.0
- PC ACCT1= 192.168.1.20/255.255.255.0
- LOGS PCdva= 192.168.2.10/255.255.255.0
- LOGS PC3= 192.168.2.20/255.255.255.0
Výchozí brána pro počítače je 192.168.1.1 pro první dva v Účetnictví, a192.168.2.1 pro poslední dva počítače v Logistice. Ke konfiguraci se dostanete tak, že přejdete naNabídka na plošea poté kliknutím naKonfigurace IPokno.
Jakmile tam budete, začněte vyplňovat konfigurace pro všechny počítače:
Až budete hotovi, můžeme nyní přejít k přepínači. Nejprve však musímenezapomeňte, že budou dva typy portůna našem vypínači:
- Přístupové porty:toto jsou porty, které budou použity k tomu, aby se k nim mohla připojit běžná zařízení, jako jsou počítače a servery; v našem příkladu to jsouFastEthernet 0/1,FastEthernet 1/1,FastEthernet 2/1, aFastEthernet 3/1– jeden pro každý počítač.
- Porty kufru:to jsou porty, které umožňují switchi komunikovat s jiným switchem – nebo v našem příkladu komunikaci VLAN-to-VLAN na stejném switchi (přes router) – za účelem rozšíření sítě; budeme používatGigaEthernet0/0porty na obou propojovacích zařízeních.
S ohledem na to přejděme k zábavnější části – konfiguraci přepínače pro provoz našich VLAN.
Vytvářejte sítě VLAN a přiřazujte počítače
Nejprve tedy vytvořte sítě VLAN – budou pojmenoványACCT (VLAN 10)aLOGY (VLAN 20).
Přejděte do CLI přepínače a zadejte příkazy:
|_+_|Příkazy ve vašem CLI by měly vypadat takto:
Nebo, pokud na to nemáte, můžete jednodušepoužijte GUI k vytvoření VLAN(a stále vidíte, jak se příkazy spouštějí níže). Přejít naDatabáze Config-VLANmenu aPŘIDEJTE VLAN zadáním jejich čísel (10,20) a jmen (ACCT, LOGS).
Dále musímepřiřaďte každý port, který přepínač používá k připojení počítačů, k jejich příslušným VLAN.
Můžete jednoduševyberte rozhraní a poté zaškrtněte políčko odpovídající VLAN z konfiguračního menu vpravo:
Jak můžete vidět z obrázku výše, můžete alternativně přejít do rozhraní CLI každého portu a použít příkaz:přístup k přepínači vlan 10k provedení stejného úkolu.
Nebojte se; existuje kratší způsob, jak to udělat v případě, že je potřeba přiřadit velký počet portů. Pokud byste například měli 14 portů, příkaz by byl:
|_+_|Druhý příkaz zajišťuje, že přepínač chápe, že porty mají být ACCESS porty a ne TRUNK porty.
Potvrďte správnou konfiguraci
A to je vše; vytvořili jsme dvě VLAN na stejném přepínači. Můžeme to otestovat a potvrdit, že naše konfigurace je správnázkus pingnout P1a P3od P0. První ping by měl být v pořádku, zatímco druhý by měl vypršet a ztratit všechny pakety:
Jak nastavit inter-VLAN
Nyní, ačkoliv jsme rozdělili počítače do dvou VLAN – jak bylo požadováno – dává větší smysl, že by spolu musela komunikovat dvě oddělení (účetnictví a logistika). To by bylo normou v jakémkoli reálném podnikatelském prostředí. Koneckonců, logistiku nelze koupit nebo dodat bez finanční podpory, že?
Musíme se tedy ujistit, že ACCT a LOGS jsou schopny komunikovat – i když jsou na samostatných VLAN. To znamenápotřebujeme vytvořit komunikaci mezi VLAN.
Zde je návod, jak na to
Budeme potřebovat pomoc našeho routeru; bude fungovat jako most mezi dvěma VLAN – takže pokračujte a přidejte router do svého návrhu, pokud jste tak ještě neučinili.
Při skoku do konfigurace musíme pochopit, že ji použijemejeden port na routeru pro obaKomunikace VLAN prostřednictvím „štěpení“ do dvou portů. Mezitím,přepínač bude používat pouze jeden TRUNK port pro odesílání a přijímání veškeré komunikacedo az routeru.
Takže se vrátíme k našemu routerurozdělit GigabitEthernet0/0rozhraní doGigabitEthernet0/0.10(pro VLAN10) aGigabitEthernet 0/0,20(pro VLAN20). Pak budemepoužijte standardní protokol IEEE 802.1Qpro propojování přepínačů, směrovačů a pro definování topologií VLAN.
jednou hotovotato 'podrozhraní'– jak říkali –jsou pak přiřazeny ke každé VLAN, kterou chceme připojitnebo most.
Konečně,pamatovat si brány – 192.168.1.1 a 192.168.2.1 – jsme přidali do konfigurací počítačůdříve? No, tyhle budounové IP adresy rozdělených portů nebo dílčích rozhranína routeru.
CLI příkazy k vytvoření dílčích rozhraní podGigabit Ethernet0/0rozhraní by bylo:
|_+_|Zopakováním toho všeho pro druhé dílčí rozhraní a VLAN, které dostaneme
|_+_|Jakmile zavřete CLI, můžete potvrdit, že je vaše konfigurace správná, pouhým najetím myši na router, abyste viděli svou práci, která by měla vypadat asi takto:
Teď to vímenaše dílčí rozhraní (na routeru) můžeme připojit pouze k našemu přepínači přes jeho trunk port– a tak jej budeme muset vytvořit nyní.
Vše, co musíte udělat, jepřejděte do konfigurace přepínače GigabitEthernet0/0a spustit:přepínač režimu trunk.
A tady to máte;právě jste vytvořili dvě VLAN, z nichž každá obsahuje dva počítače a které spolu mohou stále komunikovat. Můžešdokažte to pingem na první počítač Logistics (PCdva) s IP adresou 192.168.2.10 z prvního účetního počítače (PC0) s IP adresou 192.168.1.10:
Velký úspěch!
Proč nastavit VLAN nebo inter-VLAN
V tuto chvíli si možná někteří z vás kladou otázku, proč bychom měli absolvovat toto cvičení a vůbec se trápit s VLAN nebo inter-VLAN. No, existuje mnoho důvodů, některé z nich jsou:
- BezpečnostníRozdělení sítě na komponenty zajišťuje, že k podsíti mají přístup pouze oprávnění uživatelé a zařízení. Nechtěli byste, aby vaši účetní zasahovali do práce vašeho logistického oddělení nebo naopak.
- BezpečnostV případě propuknutí viru by byla zasažena pouze jedna podsíť, protože zařízení v jedné podsíti by nemohla komunikovat – a tedy přenášet – virus do jiné. Tímto způsobem by se postupy čištění zaměřily na tuto jednu podsíť, což také mnohem rychleji usnadňuje identifikaci viníka.
- Zajišťuje soukromí izolacíPokud by někdo chtěl zjistit architekturu vaší sítě (s úmyslem na ni zaútočit), použil by a paketový čichač pro zmapování vašeho rozvržení. S izolovanými podsítěmi by viníci mohli získat pouze částečný obrázek o vaší síti, čímž by jim například odepřeli kritické informace o vašich zranitelnostech.
- Usnadňuje provoz v sítiIzolované podsítě mohou snížit využití provozu tím, že udrží procesy náročné na zdroje omezené na jejich vlastní rozsah a nezahltí celou síť. To znamená, že to, že IT prosazuje kritické aktualizace do účetních strojů, neznamená, že i logistické oddělení musí čelit zpomalení sítě.
- Priorita provozuU podniků, které mají různé typy datového provozu, lze citlivé pakety nebo pakety, které zatěžují zdroje (například VoIP, média a přenosy velkých dat), přiřadit k VLAN s větším širokopásmovým připojením, zatímco ty, které potřebují síť pouze k odesílání e-mailů, mohou být přiřazen k VLAN s menší šířkou pásma.
- ŠkálovatelnostKdyž podnik potřebuje rozšířit zdroje dostupné pro své počítače, může je znovu přiřadit k novým sítím VLAN. Jejich správci jednoduše vytvoří novou VLAN a pak do ní snadno přesunou počítače.
Jak můžeme vidět,VLAN pomáhají chránit síť a zároveň zlepšují výkon datových paketůkteré kolem něj cestují.
Statická VLAN vs Dynamická VLAN
Mysleli jsme si, že by stálo za zmínku, že existují dva typy sítí VLAN, které lze implementovat:
Statická VLAN
Tento návrh VLAN závisí na hardwaru pro vytvoření podsítí. Počítače jsou přiřazeny ke konkrétnímu portu na přepínači a přímo zapojeny. Pokud potřebují přejít na jinou VLAN, počítače se jednoduše odpojí od starého přepínače a připojí se zpět k novému.
Problém je v tom, že kdokoli se může přesunout z jedné VLAN do druhé pouhým přepnutím portů, ke kterým je připojen. To znamená, že správci by vyžadovali fyzické bezpečnostní metody nebo zařízení, která by zabránila takovému neoprávněnému přístupu.
Dynamická VLAN
Toto je VLAN, kterou jsme právě vytvořili ve cvičenídělali jsme dříve. V této architektuře VLAN,máme softwarové sítě VLAN, kde správci jednoduše pomocí logiky přidělují konkrétní IP nebo MAC adresydo jejich příslušných VLAN.
To znamená, že zařízení lze přesunout do jakékoli části podniku, a jakmile se připojí k síti, vrátí se do svých předem přidělených VLAN. Není potřeba dalších konfigurací.
Pokud má tento scénář jednu nevýhodu, může to být pouze to, že podnik bude muset investovat do inteligentního přepínače – přepínače VLAN Management Policy Switch (VMPS) – který může být ve srovnání s tradičním přepínačem používaným ve statickém režimu dražší. VLAN.
I zde lze s jistotou předpokládat, žepodniky s několika počítači a menším rozpočtem na IT si mohou zvolit implementaci statické VLANzatímcopro ty s velkým počtem zařízení a potřebou vyšší efektivity a bezpečnosti by bylo rozumné investovat do dynamické VLAN.
Závěr
Doufáme, že jste našli všechny informace, které jste potřebovali k tomu, abyste se dozvěděli, jak nastavit VLAN. Doufáme také, že cvičení bylo snadné sledovat a že nyní můžete pokračovat a stavět na získaných znalostech. Protože,i když pokračujete ve zvětšování, tyto základní kroky zůstávají stejné– jednoduše pokračujete v přidávání hardwaru a konfigurací k základům.
Časté dotazy k VLAN
Co je to VLAN?
VLAN je metoda, která zefektivňuje sítě tím, že redukuje rozsah vysílání vysílání pouze na část sítě. Vysílání jde do každé části sítě, což může vytvořit velký provoz v celém systému, včetně oblastí, které nikdy nebudou muset toto vysílání přijímat ani na něj reagovat. VLAN efektivně rozděluje síť na části.
Jak se liší VLAN od LAN?
LAN je zkratka pro Local Area Network, což je běžný název pro typickou síť uvnitř kanceláře. Virtuální LAN (VLAN) vytváří části této LAN, které se zdají být samostatnými systémy, i když jsou ve skutečnosti všechny propojeny dohromady. Segmentace LAN do VLAN probíhá na vrstvě Data Link Layer (Layer 2), takže je implementována na přepínačích a mostech.
Směrovače jsou na síťové vrstvě (vrstva 3). Fungují pro celou síť, ale používají softwarové techniky k rozlišení mezi sekcemi VLAN. Router může mezi těmito sekcemi přemostit pomocí inter-VLAN směrování.
Jaké jsou typy VLAN?
Existujípět typůVLAN:
- Výchozí VLAN : Přepínače mají nastavení, která mohou implementovat VLAN, ale všechna jsou zpočátku nastavena na VLAN1. Protože všechny přepínače mají stejnou VLAN, funguje pouze jedna VLAN, což v podstatě znamená, že technologie je deaktivována.
- Datová VLAN: Tato strategie, známá také jako uživatelská VLAN, vytváří dvě skupiny: jednu pro uživatele a jednu pro zařízení. Toto přenáší pouze data.
- Hlasová VLAN: Tato VLAN, určená pro kancelářskou telefonní síť a implementovaná pomocí VoIP, přenáší hlasový provoz. Tento provoz má přednost před datovým provozem, aby byla zajištěna vysoká kvalita služeb.
- Správa VLAN: Přistupuje k funkcím správy přepínače pro úlohy, jako je protokolování a získávání dat o aktivitě a stavu pro monitorování systému. Když jsou nastaveny další VLAN, měla by být správa VLAN ponechána jako VLAN1.
- Nativní VLAN: Používá se pro trunk porty, které zpracovávají provoz ze všech VLAN, čímž se vytváří společný přenosový kanál, ze kterého lze provoz rozdělit pro jednotlivé VLAN.