Avant de passer aux bases du VLAN, je vous demanderais à tous de mettre cette vidéo en pause, de cliquer sur l'icône dans le coin inférieur gauche, où il est dit Consultant en réseau, allez sur notre page Facebook et aimez-le. Revenez ensuite à la vidéo et cliquez sur l'icône King dans le coin inférieur droit pour vous abonner à notre chaîne YouTube officielle. Nous ajoutons constamment de nouvelles séries, maintenant cela concerne le cours CCNA, puis nous prévoyons de commencer le cours vidéo CCNA Security, Network +, PMP, ITIL, Prince2 et publier ces merveilleuses séries sur notre chaîne.
Donc, aujourd'hui, nous allons parler des bases du VLAN et répondre à 3 questions: qu'est-ce qu'un VLAN, pourquoi avons-nous besoin d'un VLAN et comment le configurer. J'espère qu'après avoir regardé ce didacticiel vidéo, vous pourrez répondre aux trois questions.
Qu'est-ce qu'un VLAN? VLAN est l'abréviation du nom "réseau local virtuel". Plus tard au cours de notre leçon, nous examinerons pourquoi ce réseau est virtuel, mais avant de passer au VLAN, nous devons comprendre comment fonctionne le commutateur. Nous répéterons une fois de plus certaines des questions discutées dans les leçons précédentes.
Voyons d'abord ce qu'est un domaine de collisions multiples, ou domaine de collisions. Nous savons que ce commutateur à 48 ports possède 48 domaines de collision. Cela signifie que chacun de ces ports ou périphériques connectés à ces ports peut interagir avec un autre périphérique sur l'autre port indépendamment, sans affecter les uns les autres.
Les 48 ports de ce commutateur font partie du même domaine de diffusion. Cela signifie que si plusieurs appareils sont connectés à plusieurs ports et que l'un d'eux diffuse, il apparaîtra sur tous les ports auxquels d'autres appareils sont connectés. Voici comment fonctionne le commutateur.
C'est comme si les gens étaient assis dans une pièce à proximité les uns des autres, et quand l'un d'eux dit quelque chose à haute voix, tout le monde l'entend. Cependant, cela est totalement inefficace - plus il y a de personnes dans la pièce, plus elle devient bruyante et les personnes présentes cessent de s'entendre. Une situation similaire se produit avec les ordinateurs - plus les appareils sont connectés au même réseau, plus le "volume" de diffusion est important, ce qui ne permet pas d'établir une connexion efficace.
Nous savons que si l'un de ces appareils est connecté à un réseau 192.168.1.0/24, tous les autres appareils font partie du même réseau. Le commutateur doit également être connecté au réseau avec la même adresse IP. Mais ici, un commutateur peut avoir un problème en tant que périphérique OSI niveau 2. Si deux appareils sont connectés au même réseau, ils peuvent facilement communiquer avec les ordinateurs de l'autre. Supposons que notre entreprise ait un «méchant», un pirate que je dessinerai par-dessus. En dessous de moi se trouve mon ordinateur. Il est donc très facile pour ce pirate de pénétrer mon ordinateur, car nos ordinateurs font partie du même réseau. Voilà le problème.
Si j'appartiens à la direction administrative, et que ce nouveau gars pourra accéder aux fichiers sur mon ordinateur, ce ne sera pas bon du tout. Bien sûr, sur mon ordinateur, il y a un pare-feu qui protège contre de nombreuses menaces, mais il ne sera pas difficile pour un pirate de le contourner.
Le deuxième danger qui existe pour tous ceux qui sont membres de ce domaine de diffusion est que si quelqu'un a des problèmes de diffusion, cette interférence affectera d'autres appareils sur le réseau. Bien que les 48 ports puissent être connectés à différents hôtes, une défaillance d'un hôte affectera les 47 autres, ce qui est complètement inutile pour nous.
Pour résoudre ce problème, nous utilisons le concept de VLAN, ou réseau local virtuel. Il fonctionne très simplement, divisant ce grand commutateur à 48 ports en plusieurs commutateurs plus petits.
Nous savons que les sous-réseaux divisent un grand réseau en plusieurs petits réseaux, et le VLAN fonctionne de la même manière. Il divise le commutateur à 48 ports, par exemple, en 4 commutateurs de 12 ports, chacun faisant partie d'un nouveau réseau connecté. Dans le même temps, nous pouvons utiliser 12 ports pour la gestion, 12 ports pour la téléphonie IP et ainsi de suite, c'est-à -dire pour diviser le commutateur non pas physiquement, mais logiquement, virtuellement.
J'ai alloué trois ports du commutateur supérieur, marqués en bleu, pour le réseau «bleu» VLAN10, et assigné trois ports orange pour VLAN20. Ainsi, tout trafic provenant de l'un de ces ports bleus ira uniquement vers les autres ports bleus, sans affecter les autres ports de ce commutateur. De même, le trafic provenant des ports orange sera distribué, c'est-à -dire que nous utilisons censément deux commutateurs physiques différents. Ainsi, le VLAN est un moyen de diviser un commutateur en plusieurs commutateurs pour différents réseaux.
J'ai dessiné deux commutateurs sur le dessus, nous avons ici une situation où seuls les ports bleus pour un réseau sont impliqués dans le commutateur gauche, et uniquement les ports orange pour l'autre réseau sur le commutateur droit, et ces commutateurs ne sont pas connectés les uns aux autres.
Disons que vous allez utiliser plus de ports. Imaginez que nous avons 2 bâtiments, chacun ayant son propre personnel de gestion, et deux ports orange du commutateur inférieur sont utilisés pour la gestion. Par conséquent, nous avons besoin que ces ports soient connectés à tous les ports orange des autres commutateurs. Une situation similaire avec les ports bleus - tous les ports bleus du commutateur supérieur doivent être connectés à d'autres ports de la même couleur. Pour ce faire, nous devons connecter physiquement ces deux commutateurs dans des bâtiments différents avec une ligne de communication distincte, sur la figure, il s'agit de la ligne entre les deux ports verts. Comme nous le savons, si deux commutateurs sont physiquement connectés, nous formons un tronc, ou tronc.
Quelle est la différence entre un commutateur standard et un commutateur VLAN? Ce n'est pas une grande différence. Lorsque vous achetez un nouveau commutateur, par défaut, tous les ports sont configurés pour le mode VLAN et font partie du même réseau, appelé VLAN1. C'est pourquoi, lorsque nous connectons un appareil à un port, il s'avère qu'il est connecté à tous les autres ports, car les 48 ports appartiennent au même réseau virtuel VLAN1. Mais si nous configurons les ports bleus pour qu'ils fonctionnent dans le réseau VLAN10, les oranges dans le réseau VLAN20 et les verts - VLAN1, alors nous obtenons 3 commutateurs différents. Ainsi, l'utilisation du mode réseau virtuel nous permet de grouper logiquement les ports pour des réseaux spécifiques, de diviser la diffusion en parties et de créer des sous-réseaux. De plus, chacun des ports d'une couleur particulière appartient à un réseau distinct. Si les ports bleus fonctionneront sur le réseau 192.168.1.0 et les ports orange fonctionneront sur le réseau 192.168.1.0, alors malgré la même adresse IP, ils ne seront pas connectés les uns aux autres, car ils appartiendront logiquement à différents commutateurs. Et comme nous le savons, différents commutateurs physiques ne communiquent pas entre eux s'ils ne sont pas connectés par une ligne de communication commune. Ainsi, nous créons différents sous-réseaux pour différents VLAN.
Je veux attirer votre attention sur le fait que le concept de VLAN ne s'applique qu'aux commutateurs. Quiconque connaît les protocoles d'encapsulation tels que .1Q ou ISL sait que ni les routeurs ni les ordinateurs n'ont de VLAN. Lorsque vous connectez votre ordinateur, par exemple, à l'un des ports bleus, vous ne changez rien dans l'ordinateur, toutes les modifications se produisent uniquement au deuxième niveau OSI, le niveau du commutateur. Lorsque nous configurons des ports pour fonctionner avec un réseau VLAN10 ou VLAN20 spécifique, le commutateur crée une base de données VLAN. Il «écrit» dans sa mémoire que les ports 1,3 et 5 appartiennent au VLAN10, les ports 14,15 et 18 font partie du VLAN20 et que les autres ports impliqués font partie du VLAN1. Par conséquent, si du trafic provient du port bleu 1, il ne parvient qu'aux ports 3 et 5 du même réseau VLAN10. Le commutateur «regarde» dans sa base de données et voit que si le trafic provient de l'un des ports orange, il ne doit aller qu'aux ports orange du réseau VLAN20.
Cependant, l'ordinateur ne sait rien de ces VLAN. Lorsque nous connectons 2 commutateurs, un tronc se forme entre les ports verts. Le terme «joncteur réseau» n'est pertinent que pour les appareils Cisco, tandis que d'autres fabricants d'appareils réseau, tels que Juniper, utilisent le terme port d'étiquette ou «port étiqueté». Je trouve que le nom Tag port est plus approprié. Lorsque le trafic provient de ce réseau, la jonction l'envoie à tous les ports du commutateur suivant, c'est-à -dire que nous connectons deux commutateurs à 48 ports et obtenons un commutateur à 96 ports. Dans le même temps, lorsque nous envoyons du trafic à partir de VLAN10, il devient étiqueté, c'est-à -dire qu'il est fourni avec une étiquette qui indique qu'il est destiné uniquement aux ports du réseau VLAN10. Le deuxième commutateur, après avoir reçu ce trafic, lit la balise et comprend qu'il s'agit du trafic pour le réseau VLAN10 et ne doit aller qu'aux ports bleus. De même, le trafic «orange» pour le VLAN20 est étiqueté avec une étiquette qui indique qu'il cible les ports VLAN20 du deuxième commutateur.
Nous avons également mentionné l'encapsulation, et il existe deux méthodes d'encapsulation. Le premier est .1Q, c'est-à -dire que lorsque nous organisons le tronc, nous devons fournir une encapsulation. Le protocole d'encapsulation .1Q est une norme ouverte qui décrit la procédure de balisage du trafic. Il existe un autre protocole appelé ISL, une liaison Inter-Switch développée par Cisco, qui indique que le trafic appartient à un VLAN spécifique. Tous les commutateurs modernes fonctionnent avec le protocole .1Q, donc lorsque vous obtenez un nouveau commutateur prêt à l'emploi, vous n'avez pas besoin d'utiliser de commandes d'encapsulation, car par défaut, il est implémenté par le protocole .1Q. Ainsi, après avoir créé le tronc, l'encapsulation du trafic se produit automatiquement, ce qui vous permet de lire les balises.
Maintenant, commençons à configurer un VLAN. Créons un réseau dans lequel il y aura 2 commutateurs et deux périphériques terminaux - les ordinateurs PC1 et PC2, que nous connecterons avec le câble pour commuter # 0. Commençons par les paramètres de base du commutateur de configuration de base.
Pour ce faire, cliquez sur le commutateur et accédez à l'interface de ligne de commande, puis définissez le nom d'hôte, en nommant ce commutateur sw1. Passons maintenant aux paramètres du premier ordinateur et définissons l'adresse IP statique 192.168.1.1 et le masque de sous-réseau 255.255. 255.0. L'adresse de passerelle par défaut n'est pas nécessaire, car tous nos appareils sont sur le même réseau. Ensuite, nous ferons de même pour le deuxième ordinateur, en lui attribuant l'adresse IP 192.168.1.2.
Revenons maintenant au premier ordinateur pour envoyer une requête ping au deuxième ordinateur. Comme vous pouvez le voir, le ping a réussi car ces deux ordinateurs sont connectés au même commutateur et font partie du même réseau par défaut VLAN1. Si nous regardons maintenant les interfaces de commutation, nous verrons que tous les ports FastEthernet de 1 à 24 et deux ports GigabitEthernet sont configurés sur le VLAN # 1. Cependant, une telle accessibilité excessive n'est pas nécessaire, nous allons donc dans les paramètres du commutateur et entrez la commande show vlan pour consulter la base de données des réseaux virtuels.
Vous voyez ici le nom du réseau VLAN1 et le fait que tous les ports de commutation appartiennent à ce réseau. Cela signifie que vous pouvez vous connecter à n'importe quel port et qu'ils pourront tous "communiquer" les uns avec les autres, car ils font partie du même réseau.
Nous allons changer cette situation, pour cela, nous créons d'abord deux réseaux virtuels, c'est-à -dire, ajouter VLAN10. Pour créer un réseau virtuel, une commande de la forme «numéro de réseau vlan» est utilisée.
Comme vous pouvez le voir, lors de la tentative de création d'un réseau, le système a émis un message avec une liste de commandes de configuration VLAN qui doivent être utilisées pour cette action:
quitter - appliquer les modifications et quitter les paramètres;
nom - entrez le nom d'utilisateur du VLAN;
no - annule la commande ou la définit par défaut.
Cela signifie qu'avant de saisir la commande create VLAN, vous devez entrer la commande name, qui active le mode de gestion des noms, puis procédez à la création d'un nouveau réseau. Dans le même temps, le système donne une indication que le numéro de VLAN peut être attribué dans la plage de 1 à 1005.
Donc, maintenant, nous entrons la commande pour créer un VLAN sous le numéro 20 - vlan 20, puis lui donnons un nom pour l'utilisateur, qui montre de quel type de réseau il s'agit. Dans notre cas, nous utilisons le nom Équipe Employés, ou un réseau pour les employés de l'entreprise.
Maintenant, nous devons attribuer un port spécifique à ce VLAN. Nous entrons dans le mode de configuration des commutateurs int f0 / 1, puis basculons manuellement le port en mode d'accès avec la commande d'accès en mode de commutation et spécifions le port qui doit être commuté dans ce mode - c'est le port du réseau VLAN10.
Nous voyons qu'après cela, la couleur du point de connexion de PC0 et du commutateur, la couleur du port, est passée du vert à l'orange. Il redeviendra vert dès que les changements de paramètres prendront effet. Essayons de cingler un deuxième ordinateur. Nous n'avons apporté aucune modification aux paramètres réseau des ordinateurs; ils ont toujours les adresses IP 192.168.1.1 et 192.168.1.2. Mais si nous essayons d'envoyer une requête ping à PC1 à partir de PC0, nous ne réussirons pas, car maintenant ces ordinateurs appartiennent à des réseaux différents: le premier à VLAN10, le second à VLAN1 natif.
Revenons à l'interface du commutateur et configurons le deuxième port. Pour ce faire, je vais entrer la commande int f0 / 2 et répéter les mêmes étapes pour VLAN 20 que lors de la configuration du réseau virtuel précédent.
Nous voyons que maintenant le port inférieur du commutateur, auquel le deuxième ordinateur est connecté, a également changé sa couleur du vert à l'orange - cela devrait prendre plusieurs secondes avant que les modifications des paramètres prennent effet et il redevient vert. Si nous recommençons à cingler le deuxième ordinateur, nous ne réussirons pas, car les ordinateurs appartiennent toujours à des réseaux différents, seul PC1 fait désormais partie de VLAN20 plutôt que VLAN1.
Ainsi, vous avez divisé un commutateur physique en deux commutateurs logiques différents. Vous voyez que maintenant la couleur du port est passée de l'orange au vert, le port a gagné, mais ne répond toujours pas, car il appartient à un autre réseau.
Nous apporterons des modifications à notre schéma - déconnectez l'ordinateur PC1 du premier commutateur et connectez-le au deuxième commutateur, puis connectez les commutateurs eux-mêmes par câble.
Afin d'établir une connexion entre eux, je vais entrer dans les paramètres du deuxième commutateur et créer VLAN10, en lui attribuant le nom Management, c'est-à -dire le réseau de gestion. Ensuite, j'active le mode d'accès et indique que ce mode est pour VLAN10. Maintenant, la couleur des ports par lesquels les commutateurs sont connectés est passée de l'orange au vert, car ils sont tous deux configurés sur VLAN10. Maintenant, nous devons créer un tronc entre les deux commutateurs. Ces deux ports sont Fa0 / 2, vous devez donc créer une jonction pour le port Fa0 / 2 du premier commutateur à l'aide de la commande switchport mode trunk. La même chose doit être faite pour le deuxième commutateur, après quoi un tronc est formé entre ces deux ports.
Maintenant, si je veux envoyer une requête ping à l'ordinateur PC1 à partir du premier ordinateur, tout fonctionnera, car la connexion entre PC0 et le commutateur # 0 est VLAN10, entre le commutateur # 1 et PC1, c'est également VLAN10, et les deux commutateurs sont connectés par jonction.
Donc, si les appareils sont situés dans différents VLAN, ils ne sont pas connectés les uns aux autres, mais s'ils se trouvent sur le même réseau, vous pouvez librement échanger du trafic entre eux. Essayons d'ajouter un appareil supplémentaire à chaque commutateur.
Dans les paramètres réseau de l'ordinateur PC2 ajouté, je définirai l'adresse IP 192.168.2.1 et dans les paramètres PC3, je définirai l'adresse 192.168.2.2. Dans ce cas, les ports auxquels ces deux PC sont connectés recevront la désignation Fa0 / 3. Dans les paramètres du commutateur # 0, nous définirons le mode d'accès et indiquerons que ce port est pour le VLAN20, et nous ferons de même pour le commutateur # 1.
Si j'utilise la commande switchport access vlan 20 et que le réseau VLAN20 n'a pas encore été créé, le système générera une erreur comme «Access VLAN n'existe pas», car les commutateurs sont configurés pour fonctionner uniquement avec VLAN10.
Créons un VLAN20. J'utilise la commande show VLAN pour afficher la base de données du réseau virtuel.
Vous pouvez voir que le réseau par défaut est VLAN1, auquel les ports Fa0 / 4 à Fa0 / 24 et Gig0 / 1, Gig0 / 2 sont connectés. Le numéro de réseau virtuel 10 avec le nom Management est connecté au port Fa0 / 1, et le numéro de VLAN 20 avec le nom par défaut VLAN0020 est connecté au port Fa0 / 3.
En principe, le nom du réseau n'a pas d'importance, l'essentiel est qu'il ne se répète pas pour différents réseaux. Si je veux remplacer le nom de réseau que le système attribue par défaut, j'utilise la commande vlan 20 et nomme Employés. Je peux changer ce nom en un autre, par exemple, IPphones, et si nous cinglons l'adresse IP 192.168.2.2, nous verrons que le nom VLAN n'a pas d'importance.
La dernière chose que je veux mentionner est la nomination de Management IP, dont nous avons parlé dans la dernière leçon. Pour ce faire, nous utilisons la commande int vlan1 et saisissons l'adresse IP 10.1.1.1 et le masque de sous-réseau 255.255.255.0, puis ajoutons la commande no shutdown. Nous n'avons pas attribué IP de gestion pour l'ensemble du commutateur, mais uniquement pour les ports VLAN1, c'est-à -dire que nous avons attribué l'adresse IP à partir de laquelle VLAN1 est géré. Si nous voulons gérer VLAN2, nous devons créer une interface appropriée pour VLAN2. Dans notre cas, il existe des ports VLAN10 bleus et des ports VLAN20 orange, qui correspondent aux adresses 192.168.1.0 et 192.168.2.0.
Le VLAN10 doit avoir des adresses situées dans la même plage afin que les appareils appropriés puissent s'y connecter. Une configuration similaire doit être effectuée pour le VLAN20.
Cette fenêtre de commande de commutateur affiche les paramètres d'interface pour VLAN1, c'est-à -dire le VLAN natif.
Afin de configurer la gestion IP pour VLAN10, nous devons créer une interface int vlan 10, puis ajouter l'adresse IP 192.168.1.10 et le masque de sous-réseau 255.255.255.0.
Pour configurer VLAN20, nous devons créer une interface int vlan 20, puis ajouter l'adresse IP 192.168.2.10 et le masque de sous-réseau 255.255.255.0.
Pourquoi est-ce nécessaire? Si l'ordinateur PC0 et le port supérieur gauche du commutateur # 0 appartiennent au réseau 192.168.1.0, PC2 appartient au réseau 192.168.2.0 et est connecté au port VLAN1 natif, qui appartient au réseau 10.1.1.1, alors PC0 ne peut pas communiquer avec ce commutateur à l'aide du protocole. SSH car ils appartiennent à différents réseaux. Par conséquent, pour que PC0 communique avec le commutateur via SSH ou Telnet, nous devons lui donner un accès Access. C'est pourquoi nous avons besoin d'une gestion de réseau.
PC0 SSH Telnet IP- VLAN20 SSH. , Management IP VLAN, .
: , VLAN, VLAN, Management IP VLAN . , - , , VLAN , . , «» VLAN, , 3 : VLAN, .
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
réduction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbps à partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV Ă partir de 199 $ aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - Ă partir de 99 $! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?