在深入了解VLAN基础知识之前,我想请大家暂停播放此视频,单击左下角的图标,该图标显示网络顾问,然后转到我们的Facebook页面并喜欢。 然后返回视频,然后单击右下角的King图标订阅我们的官方YouTube频道。 我们不断增加新的系列,现在涉及CCNA课程,然后我们计划开始CCNA Security,Network +,PMP,ITIL,Prince2视频课程,并将这些精彩的系列发布在我们的频道上。
因此,今天我们将讨论VLAN的基本知识,并回答3个问题:什么是VLAN,为什么需要VLAN以及如何配置VLAN。 我希望看完该视频教程后,您可以回答所有三个问题。
什么是VLAN? VLAN是名称“虚拟局域网”的缩写。 在本课程的稍后部分,我们将检查为什么该网络是虚拟的,但是在进入VLAN之前,我们需要了解交换机的工作方式。 我们将再次重复先前课程中讨论的一些问题。
首先,让我们讨论什么是多重冲突域或冲突域。 我们知道此48端口交换机具有48个冲突域。 这意味着这些端口中的每个端口或连接到这些端口的设备都可以独立地与另一个端口上的另一个设备交互,而不会互相影响。
该交换机的所有48个端口都属于同一广播域。 这意味着,如果将多个设备连接到多个端口,并且其中一个进行广播,则它将出现在连接其他设备的所有端口上。 这就是开关的工作方式。
就像人们坐在彼此靠近的一个房间里一样,当其中一个人大声说些什么时,其他所有人都听到了。 但是,这是完全无效的-出现在房间中的人越多,它就会变得嘈杂,而在场的人将不再听到对方的声音。 计算机也会发生类似的情况-越多的设备连接到同一网络,广播的“音量”就越大,从而无法建立有效的连接。
我们知道,如果这些设备之一连接到网络192.168.1.0/24,则所有其他设备都属于同一网络。 交换机还必须使用相同的IP地址连接到网络。 但是在这里,作为OSI 2级设备,交换机可能会有问题。 如果两个设备连接到同一网络,则它们可以轻松地与彼此的计算机通信。 假设我们公司有一个“坏人”,就是我要吸引的黑客。 我下面是我的电脑。 因此,该黑客很容易渗透到我的计算机,因为我们的计算机是同一网络的一部分。 那就是问题所在。
如果我属于行政领导,并且这个新手将能够访问我计算机上的文件,那将根本不好。 当然,在我的计算机上有一个可以抵御多种威胁的防火墙,但是黑客绕过它并不难。
属于此广播域的每个人所面临的第二个危险是,如果某人在广播方面遇到问题,则这种干扰将影响网络上的其他设备。 尽管所有48个端口都可以连接到不同的主机,但是一台主机发生故障将影响其余47个端口,这对我们来说完全没有必要。
为了解决此问题,我们使用VLAN或虚拟局域网的概念。 它的工作非常简单,将一个大型48端口交换机分成几个较小的交换机。
我们知道子网将一个大型网络划分为几个小型网络,并且VLAN以类似的方式工作。 例如,它将48端口交换机划分为12个端口的4个交换机,每个交换机都是新连接的网络的一部分。 同时,我们可以使用12个端口进行管理,使用12个端口进行IP电话,依此类推,即在物理上而非逻辑上对交换机进行划分。
我为“蓝色” VLAN10网络分配了上层交换机的三个端口(用蓝色标记),并为VLAN20分配了三个橙色端口。 因此,来自这些蓝色端口之一的任何流量将仅流向其他蓝色端口,而不会影响此交换机的其他端口。 同样,来自橙色端口的流量将被分配,也就是说,我们应该使用两个不同的物理交换机。 因此,VLAN是一种将交换机划分为多个用于不同网络的交换机的方法。
我在顶部画了两个交换机,在这种情况下,左侧交换机只涉及一个网络的蓝色端口,右侧交换机上只涉及另一个网络的橙色端口,而这些交换机没有相互连接。
假设您要使用更多端口。 假设我们有2座建筑物,每座建筑物都有自己的管理人员,并且下部交换机的两个橙色端口用于管理。 因此,我们需要将这些端口连接到其他交换机的所有橙色端口。 蓝色端口的情况类似-上部交换机的所有蓝色端口应与相同颜色的其他端口连接。 为此,我们需要使用单独的通信线路将这两个交换机物理连接到不同建筑物中,在图中,这是两个绿色端口之间的线路。 众所周知,如果物理上连接了两个交换机,我们将形成一个中继线。
常规交换机和VLAN交换机有什么区别? 这没有太大的区别。 购买新交换机时,默认情况下,所有端口都配置为VLAN模式,并且属于同一网络,称为VLAN1。 这就是为什么当我们将某个设备连接到一个端口时,它竟然连接到所有其他端口,因为所有48个端口都属于同一虚拟网络VLAN1。 但是,如果我们将蓝色端口配置为在VLAN10网络中工作,橙色端口在VLAN20网络中工作,而绿色端口为VLAN1,那么我们将获得3个不同的交换机。 因此,使用虚拟网络模式可以使我们对特定网络的端口进行逻辑分组,将广播划分为多个部分并创建子网。 而且,特定颜色的每个端口都属于一个单独的网络。 如果蓝色端口将在192.168.1.0网络上工作,而橙色端口将在192.168.1.0网络上工作,则尽管IP地址相同,但它们不会相互连接,因为从逻辑上讲,它们将属于不同的交换机。 并且我们知道,如果不同的物理交换机未通过公共通信线路连接,则它们不会相互通信。 因此,我们为不同的VLAN创建了不同的子网。
我想提请您注意VLAN概念仅适用于交换机这一事实。 任何熟悉诸如.1Q或ISL之类的封装协议的人都知道,路由器和计算机都没有任何VLAN。 例如,将计算机连接到蓝色端口之一时,您无需更改计算机中的任何内容,所有更改仅发生在第二OSI级别(交换机级别)上。 当我们配置端口以使用特定的VLAN10或VLAN20网络时,交换机将创建一个VLAN数据库。 他向内存“写入”端口1,3和5属于VLAN10,端口14,15和18是VLAN20的一部分,其他涉及的端口是VLAN1的一部分。 因此,如果某些流量来自蓝色端口1,则仅到达同一VLAN10网络的端口3和5。 交换机“查看”其数据库,并发现如果流量来自橙色端口之一,则它应仅流向VLAN20网络的橙色端口。
但是,计算机对这些VLAN一无所知。 当我们连接2台交换机时,绿色端口之间会形成一条中继线。 术语“中继”仅与Cisco设备相关,而其他网络设备制造商(例如Juniper)则使用术语“标记端口”或“标记端口”。 我发现名称标签端口更合适。 当流量来自该网络时,中继会将其发送到下一个交换机的所有端口,即,我们连接两个48端口交换机,并获得一个96端口交换机。 同时,当我们从VLAN10发送流量时,该流量会被标记,即带有一个标签,表明该流量仅用于VLAN10网络的端口。 接收到此流量的第二个交换机读取了标签,并了解到这是VLAN10网络的流量,应该只进入蓝色端口。 类似地,VLAN20的“橙色”流量使用标记标记,该标记指示它以第二台交换机的VLAN20端口为目标。
我们还提到了封装,并且有两种封装方法。 第一个是.1Q,也就是说,当我们组织中继线时,我们需要提供封装。 封装协议.1Q是一个开放标准,描述了标记流量的过程。 还有另一种称为ISL的协议,这是由Cisco开发的交换机间链路,它指示流量属于特定的VLAN。 所有现代交换机均使用.1Q协议,因此,当您开箱即用时,无需使用任何封装命令,因为默认情况下,它是由.1Q协议实现的。 因此,在创建中继之后,流量封装会自动发生,这使您可以读取标签。
现在让我们开始设置VLAN。 让我们创建一个网络,其中将有2个交换机和两个终端设备-PC1和PC2,我们将使用电缆将它们连接到交换机#0。 让我们从“基本配置”开关的基本设置开始。
为此,请单击该开关并转到命令行界面,然后设置主机名,命名该开关为sw1。 现在,我们继续进行第一台计算机的设置,并设置静态IP地址192.168.1.1和子网掩码255.255。 255.0。 不需要默认网关地址,因为我们所有的设备都在同一网络上。 接下来,我们将对第二台计算机执行相同的操作,为其分配IP地址192.168.1.2。
现在回到第一台计算机以ping第二台计算机。 如您所见,由于两台计算机都连接到同一交换机并且属于同一默认网络VLAN1,因此ping操作成功。 如果现在看一下交换机接口,我们将看到在VLAN#1上配置了从1到24的所有FastEthernet端口和两个GigabitEthernet端口。 但是,不需要这种过多的可访问性,因此我们进入交换机设置并输入show vlan命令以查看虚拟网络数据库。
您在此处看到网络VLAN1的名称以及所有交换机端口都属于该网络的事实。 这意味着您可以连接到任何端口,并且它们都可以彼此“通信”,因为它们是同一网络的一部分。
我们将改变这种情况,为此,我们首先创建两个虚拟网络,即添加VLAN10。 为了创建虚拟网络,使用“ vlan网络号”形式的命令。
如您所见,在尝试创建网络时,系统会发出一条消息,其中列出了需要用于此操作的VLAN配置命令:
退出-应用更改并退出设置;
名称-输入VLAN的用户名;
否-取消命令或将其设置为默认值。
这意味着,在输入create VLAN命令之前,需要输入name命令,该命令将打开名称管理模式,然后继续创建新网络。 同时,系统提示VLAN编号可以在1到1005的范围内分配。
因此,现在我们输入命令以在数字20-vlan 20下创建一个VLAN,然后为其命名,以显示用户的网络类型。 在我们的案例中,我们使用“员工团队”这个名称,或者使用公司员工的网络。
现在,我们需要为此VLAN分配一个特定的端口。 我们进入交换机设置模式int f0 / 1,然后使用switchport mode access命令手动将端口切换为Access模式,并指定应将哪个端口切换为该模式-这是VLAN10网络的端口。
我们看到,此后,PC0和交换机的连接点的颜色(端口的颜色)从绿色变为橙色。 设置更改生效后,它将再次变为绿色。 让我们尝试ping第二台计算机。 我们没有对计算机的网络设置进行任何更改;它们的IP地址仍然为192.168.1.1和192.168.1.2。 但是,如果我们尝试从PC0 ping PC1,我们将不会成功,因为现在这些计算机属于不同的网络:第一台属于VLAN10,第二台属于本地VLAN1。
让我们回到交换机接口并配置第二个端口。 为此,我将输入int f0 / 2命令并对VLAN 20重复与设置先前的虚拟网络时相同的步骤。
我们看到,现在连接第二台计算机的交换机的下部端口也将其颜色从绿色更改为橙色-设置更改需要几秒钟才能生效,然后再次变为绿色。 如果再次开始对第二台计算机执行ping操作,则将不会成功,因为这些计算机仍属于不同的网络,因此现在只有PC1是VLAN20的一部分,而不是VLAN1。
因此,您将一台物理交换机分为两个不同的逻辑交换机。 您会看到端口颜色已经从橙色更改为绿色,该端口已经赢得,但仍然没有响应,因为它属于另一个网络。
我们将对方案进行更改-从第一台交换机断开PC1计算机的连接,然后将其连接到第二台交换机,然后通过电缆将交换机本身连接起来。
为了在它们之间建立连接,我将进入第二台交换机的设置并创建VLAN10,为其分配名称Management(即管理网络)。 然后,我打开访问模式,并指示此模式适用于VLAN10。 现在,连接交换机的端口的颜色已从橙色更改为绿色,因为它们均在VLAN10上配置。 现在我们需要在两个交换机之间创建中继。 这两个端口均为Fa0 / 2,因此您需要使用switchport mode trunk命令为第一个交换机的Fa0 / 2端口创建中继。 第二个交换机也需要做同样的事情,然后在这两个端口之间形成中继。
现在,如果我要从第一台计算机ping通计算机PC1,一切都会正常进行,因为PC0与交换机#0之间的连接为VLAN10,在交换机#1与PC1之间也为VLAN10,并且两台交换机都通过中继连接。
因此,如果设备位于不同的VLAN中,则它们不会相互连接,但是如果它们位于同一网络中,则可以在它们之间自由交换流量。 让我们尝试为每台交换机再添加一个设备。
在添加的PC2计算机的网络设置中,我将设置IP地址192.168.2.1,在PC3设置中,我将设置地址192.168.2.2。 在这种情况下,这两台PC所连接的端口将标为Fa0 / 3。 在交换机0的设置中,我们将设置访问模式,并指示此端口用于VLAN20,对于交换机1将执行相同的操作。
如果我使用switchport access vlan 20命令并且尚未创建VLAN20网络,则系统将生成诸如“访问VLAN不存在”之类的错误,因为交换机被配置为仅适用于VLAN10。
让我们创建一个VLAN20。 我使用show VLAN命令查看虚拟网络数据库。
您可以看到默认网络为VLAN1,端口Fa0 / 4至Fa0 / 24和Gig0 / 1,Gig0 / 2连接到该网络。 具有名称“管理”的虚拟网络号10连接到端口Fa0 / 1,具有缺省名称VLAN0020的VLAN编号20连接到端口Fa0 / 3。
原则上,网络的名称无关紧要,最主要的是它不会在不同的网络上重复。 如果要替换系统默认分配的网络名称,请使用vlan 20命令并将其命名为“ Employees”。 我可以将此名称更改为另一个名称,例如IPphone,如果我们ping IP地址192.168.2.2,我们将看到VLAN名称没有关系。
我最后要提到的是任命管理IP,这是我们在上一课中谈到的。 为此,我们使用int vlan1命令并输入IP地址10.1.1.1和子网掩码255.255.255.0,然后添加no shutdown命令。 我们没有为整个交换机分配管理IP,而是仅为VLAN1端口分配了IP,也就是说,我们分配了管理VLAN1的IP地址。 如果要管理VLAN2,则需要为VLAN2创建适当的接口。 在我们的例子中,有蓝色的VLAN10端口和橙色的VLAN20端口,分别对应于地址192.168.1.0和192.168.2.0。
VLAN10必须具有位于相同范围内的地址,以便适当的设备可以连接到它。 应该对VLAN20进行类似的配置。
此switch命令窗口显示VLAN1的接口设置,即本地VLAN。
为了为VLAN10配置管理IP,我们需要创建一个int vlan 10接口,然后添加IP地址192.168.1.10和子网掩码255.255.255.0。
要配置VLAN20,我们需要创建一个int vlan 20接口,然后添加IP地址192.168.2.10和子网掩码255.255.255.0。
为什么需要这个? 如果PC0计算机和交换机#0的左上端口属于192.168.1.0网络,PC2属于192.168.2.0网络并连接到属于10.1.1.1网络的本地VLAN1端口,则PC0无法使用协议与该交换机通信SSH,因为它们属于不同的网络。 因此,为了使PC0通过SSH或Telnet与交换机通信,我们必须为其授予Access访问权限。 这就是为什么我们需要网络管理。
PC0 SSH Telnet IP- VLAN20 SSH. , Management IP VLAN, .
: , VLAN, VLAN, Management IP VLAN . , - , , VLAN , . , «» VLAN, , 3 : VLAN, .
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,
为我们为您发明的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 仅
在荷兰,我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何建立基础架构的信息 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?