VLAN
Что же такое VLAN?
Давайте разберем пример на рисунке 4.1. В организации есть несколько отделов, все сотрудники подключены к одному коммутатору - это значит, что каждый компьютер в сети видит все остальные, для бухгалтерии важна безопасность и компьютеры этого отдела надо оградить от всех остальных (эта информация исключительно для примера). Как же тогда построить сеть? Как вариант можно поставить второй коммутатор (рисунок 4.2), но покупать новый коммутатор ради двух компьютеров не очень разумно. На помощь приходят VLAN-ы позволяющие логически разделять коммутатор так, что компьютеры в одном VLAN не могут общаться с компьютерами в другом VLAN, хотя будут подключены к одному коммутатору, рисунок 4.3.
Разграничение по VLAN возможно за счет указания принадлежности порта к определенному VLAN. В cisco коммутаторах все порты по умолчанию принадлежат VLAN 1.
Что же такое Trunk?
В некоторых источниках Trunk (транк) - это провод соединяющий коммутаторы, но мы будем рассматривать это как канал связи между коммутаторами, который пропускает фреймы, принадлежащие разным VLAN. Чтобы лучше понять, предлагаю разобрать пример на рисунке 4.4.
В нашем примере имеется только два VLAN. Порты коммутаторов, к которым подключены ПК4 и ПК2, принадлежат Vlan10. Соответственно остальные компьютеры подключены к портам, принадлежащим vlan12. Как же второй коммутатор понимает из какого VLAN к нему пришел фрейм? За счет тегированных фреймов. Давайте пошагово разберем пересылку данных от ПК4 к ПК2:
- ПК4 формирует и отправляет фрейм адресованный ПК2, оба компьютера не знают о существовании VLAN.
-
Коммутатор (switch0) принимает фрейм и сразу отмечает, что пришедший фрейм принадлежит Vlan10 и надо отправить его
в сторону второго коммутатора (switch2). Между коммутаторами настроен trunk, и по нему проходят тегированные фреймы.
Таким образом коммутатор (switch0) изменяет фрейм, добавляя к нему тег (рисунок 4.5), в котором сообщается к какому
vlan относится этот фрейм, и отправляет его.
Рисунок 4.5 Тегированный фрейм - Второй коммутатор (switch2) принимает фрейм и видит, что он принадлежит vlan10, смотрит на каком порту находится MAC-адрес получателя в vlan10. Коммутатор принимает решение отправить фрейм компьютеру ПК2, предварительно сняв тег (метку).
- ПК2 получает фрейм и даже не догадывается о существовании VLAN, транков и прочих сложностей, для него все это прозрачно.
Наш Спонсор
Наш Спонсор
Практика
Начальные данные
В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.
- В подготовленной сети все компьютеры находятся в подсети 10.21.11.0/24.
-
Коммутаторы находятся в сети 10.23.11.0/24, так же как и ПК13, их адреса и пароли:
- SW0 - адрес: 10.23.11.4, пароль: gurkin33.ru
- SW1 - адрес: 10.23.11.5, пароль: gurkin33.ru
- SW2 - адрес: 10.23.11.6, пароль: gurkin33.ru
- SW3 - адрес: 10.23.11.7, пароль: gurkin33.ru
-
В каждом vlan будет своя подсеть:
- vlan1 - 10.23.11.0/24
- vlan10 - 172.16.27.64/26
- vlan99 - 192.168.27.96/27
- vlan120 - 10.3.3.16/29
- Все коммутаторы управляются с ПК13
Цели
- Научиться создавать VLAN.
- Научиться указывать принадлежность порта к определенному Vlan.
- Распределить адресацию, проверить коннективность.
- Научиться настраивать trunk порт.
Выполнение
Ваш основной инструмент при выполнении практического задания - ПК13, доступ к другим ПК так же имеется.
-
Научиться создавать VLAN.
Vlan создаются в конфигурационном моде, при помощи команды
vlan <номер>. После создания, вы попадаете в режим настройки этого vlan. Дадим первым двум vlan имена (по умолчанию каждому vlan дается имя VLANxxxx, где хххх - номер vlan, устанавливая свое имя, вы даете краткое описание).SW0(config)#vlan 10 ###создаем vlan 10 SW0(config-vlan)#? VLAN configuration commands: exit Apply changes, bump revision number, and exit mode name Ascii name of the VLAN no Negate a command or set its defaults SW0(config-vlan)#name sale-staff ###задаем имя vlan SW0(config-vlan)#exit ###выходим из режима настройки vlan 10 SW0(config)#vlan 99 SW0(config-vlan)#name it-dep SW0(config-vlan)#exit SW0(config)#vlan 120 SW0(config-vlan)#exit SW0(config)#exit
SW0#sh vlan ###просмотреть все vlan на коммутаторе VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 10 sale-staff active 99 it-dep active 120 VLAN0120 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup ...С созданием vlan проблем возникнуть не должно, а с выводом команды
show vlan, могут возникнуть вопросы, поэтому разберем более подробно (вывод представлен не полностью, остальная информация нам пока не нужна). Первая колонка - это номер vlan, далее - название, статус и порты к которым относится этот vlan. Vlan 1 по умолчанию создан и имеет имя default (что в переводе на русский "по умолчанию"), все порты на коммутаторе находятся в vlan 1. Vlan-ы 1002-1005 зарезервированы и не могут быть удалены или переименованы.Для дальнейшего выполнения этого практического задания, надо создать vlan-ы на всех четырех коммутаторах, чтобы каждый раз заново не вбивать одну и туже информацию, можно просто копировать и вставлять текст ниже.
conf t vlan 10 name sale-staff exit vlan 99 name it-dep exit vlan 120 exit
Рисунок 4.6 Commands Copy/Past Информация о vlan-ах храниться не в файле конфигурации, а в отдельном файле vlan.dat (после создания vlan-ов, вызовите командуshow flash). Что бы удалить все упоминания о vlan, надо удалить этот файл и перезагрузить устройство.
-
Научиться указывать принадлежность порта к определенному Vlan.
Отметим, что порт бывает только в двух состояниях (относящихся к vlan):- Может принадлежать одному из vlan (access port или untagged port).
- Может быть транковым портом (trunk port или tagged port).
- Может находиться в динамическом состоянии (благодаря Dynamic Trunk Protocol, используется только на cisco устройствах). Коммутатор сам определяет в какой режим перейти (здесь рассматриваться не будет).
Установим ПК1 в vlan 10. Прежде всего, надо узнать на каком порту он находится, а это мы можем сделать узнав его MAC-адрес (доступ есть ко всем компьютерам, если в командной строке компьютера набрать
ipconfig /all, то "Physical Address" и есть MAC-адрес).Для удобства я распишу куда подключены все компьютеры в сети (но советую вам не лениться и попрактиковаться работать с таблицей коммутации).
Показать физические подключенияSW0(config)#interf fa 0/1 ###на этом интерфейсе "сидит" ПК1 SW0(config-if)#switchport mode access ###жестко указываем состояние интерфейса SW0(config-if)#switchport access vlan 10 ###это интерфейс относится к vlan10
Проделайте такую операцию с другими компьютерами подключенными (имеется ввиду, добавьте их в определенный vlan) к SW0 и вы получите вот такую таблицу vlan:
SW0#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/2, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24 10 sale-staff active Fa0/1, Fa0/4, Fa0/5 ###3 интерфейса в vlan10 99 it-dep active Fa0/3, Fa0/6 ###2 интерфейса в vlan99 120 VLAN0120 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup ... SW0#sh runn ###просмотр всей конфигурации Building configuration... Current configuration : 1949 bytes ! version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname SW0 ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access spanning-tree portfast ###команда относится к протоколу STP, об этом в соответствующем разделе ! ... ! interface FastEthernet0/3 switchport access vlan 99 switchport mode access spanning-tree portfast ###команда относится к протоколу STP ! interface FastEthernet0/4 switchport access vlan 10 switchport mode access spanning-tree portfast ###команда относится к протоколу STP ! interface FastEthernet0/5 switchport access vlan 10 switchport mode access spanning-tree portfast ###команда относится к протоколу STP ! interface FastEthernet0/6 switchport access vlan 99 switchport mode access spanning-tree portfast ###команда относится к протоколу STP ! ...Перед тем как переходить к следующему шагу, настройте vlan-ы на всех коммутаторах. Что бы облегчить ваш труд я подготовил "копипасты" для всех коммутаторов (надо вставлять в конфигурационном режиме).
Показать "копипасты" -
Распределить адресацию, проверить коннективность.
Пришло время всем компьютерам назначить новые ip-адреса, согласно начальным данным. Я предоставлю список ip-адресов и масок, но если вы сами распределите адреса, то огромный вам "респект и уважуха". Как установить адрес показано на рисунке 4.7.
Показать ip-адреса и маски
Рисунок 4.7 Как установить ip адрес на ПК После распределения ip-адресов надо убедиться, что все компьютеры в определенном vlan (!и подключенные к одному и тому же коммутатору!) могут обмениваться данными (!связь между компьютерами в одинаковом vlan, но подключенных к разным коммутаторам, мы будем проверять после настройки trunk портов!). Для этого мы будем использовать команду
ping. На рисунке 4.8 показан пример проверки соединения с ПК11 до Server2(10.3.3.21).
Рисунок 4.8 Использование команды ping на ПК11 Дополнительно надо изучить таблицу коммутацииshow mac-address-table(предварительно пропустив сетевой трафик, например, при помощи командыping).
-
Научиться настраивать trunk порт.
Что бы сделать порт транковым, достаточно ввести команду
switchport mode trunk, в режиме настройки этого интерфейса. Дополнительно можно указать список vlan, которые могут проходить по этому транку (которые будут тегироваться), по умолчанию разрешено всем vlan. Так же можно указать native-vlan, vlan, который будет ходить по транку без тега, по умолчанию это vlan 1.Настроим транк между SW3(Fa0/24) и SW2(Fa0/24).
###конфигурация SW3### SW3(config)#interf fa 0/24 SW3(config-if)#switchport mode trunk ###конфигурация SW2### SW2(config)#interf fa 0/24 SW2(config-if)#switchport mode trunk
SW2#sh interf trunk Port Mode Encapsulation Status Native vlan Fa0/24 on 802.1q trunking 1 Port Vlans allowed on trunk ###разрешенные vlan Fa0/24 1-1005 Port Vlans allowed and active in management domain Fa0/24 1,10,99,120 Port Vlans in spanning tree forwarding state and not pruned Fa0/24 1,10,99,120
Настроим транк между SW2(Fa0/23) и SW1(Fa0/23), при этом жестко указав vlan-ы на этом транке.
###конфигурация SW1### SW1(config)#interf fa 0/23 SW1(config-if)#switchport mode trunk SW1(config-if)#switchport trunk allowed vlan 1,10,99,120 ###конфигурация SW2### SW2(config)#interf fa 0/23 SW2(config-if)#switchport mode trunk SW2(config-if)#switchport trunk allowed vlan 1,10,99,120
SW2#sh interf trunk Port Mode Encapsulation Status Native vlan Fa0/23 on 802.1q trunking 1 Fa0/24 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/23 1,10,99,120 Fa0/24 1-1005 Port Vlans allowed and active in management domain Fa0/23 1,10,99,120 Fa0/24 1,10,99,120 Port Vlans in spanning tree forwarding state and not pruned Fa0/23 1,10,99,120 Fa0/24 1,10,99,120
Настроим транк между SW1(Fa0/24) и SW0(Fa0/24), при этом указав только vlan-ы 1 и 10 на этом транке (vlan 1 используется для удаленного администрирования, именно с помощью этого vlan ПК13 может подключаться ко всем коммутаторам в сети).
###конфигурация SW0### SW1(config)#interf fa 0/24 SW1(config-if)#switchport mode trunk SW1(config-if)#switchport trunk allowed vlan 1,10 ###конфигурация SW1### SW0(config)#interf fa 0/24 SW0(config-if)#switchport mode trunk SW0(config-if)#switchport trunk allowed vlan 1,10
SW2#sh interf trunk Port Mode Encapsulation Status Native vlan Fa0/23 on 802.1q trunking 1 Fa0/24 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/23 1,10,99,120 Fa0/24 1-1005 Port Vlans allowed and active in management domain Fa0/23 1,10,99,120 Fa0/24 1,10,99,120 Port Vlans in spanning tree forwarding state and not pruned Fa0/23 1,10,99,120 Fa0/24 1,10,99,120
После настройки проверим доступность ПК3 <-> ПК6 и ПК3 <-> ПК2, при помощи команды
ping. Как мы видим из рисунка 4.9, между ПК3 и ПК6 есть связь, а между ПК3 и ПК2 связи нет. Все потому что по транку, между SW0 и SW1, трафик из vlan 99 не проходит. Давайте добавим это vlan и попробуем еще раз (рисунок 4.10).
Рисунок 4.9 Доступность ПК3 <-> ПК6 и ПК3 <-> ПК2 ###конфигурация SW0### SW1(config)#interf fa 0/24 SW1(config-if)#switchport trunk allowed vlan add 99 ###команда добавляет vlan 99 к разрешенным vlan ###конфигурация SW1### SW0(config)#interf fa 0/24 SW0(config-if)#switchport trunk allowed vlan add 99
Рисунок 4.10 Доступность ПК3 <-> ПК2 после добавления vlan99
Наш Спонсор
Наш Спонсор
Лабораторка
Начальные данные
В данной лабораторной работе будет использоваться схема сети, которая представлена на рисунке ниже.
В данной лабораторке имеется сеть с уже настроеным коммутатором SW0 (10.15.1.10), подключенные к нему пользователи, тоже настроены. Сеть расширили, добавив новый коммутатор NEW-SW. К нему имеется консольное подключение. Нужно настроить коммутатор NEW-SW и новых пользователей, согласно заданию. Адресация в каждом vlan:
- vlan 1 - 10.15.1.0/24
- vlan 77 - 172.16.7.0/24
- vlan 133 - 172.16.9.0/24
Коммутатор SW0, адрес - 10.15.1.10, пароль - gurkin33.ru.
Задания
-
Настройть коммутатор NEW-SW:
- Установить локальное имя SW1.
- enable пароль cisco123.
- Установить ip адрес 10.15.1.15 на интерфейс vlan1.
- Настроить удаленное подключение по telnet.
- Создать vlan 77 и 133.
- Предоставить доступ компьютерам в определенный vlan.
- Настроить trunk между коммутаторами SW0 и SW1 (NEW-SW).
- Проверить доступность SW1 (NEW-SW) с компьютера ADMIN.
- Назначить ip адреса и маски новым компьютерам.
- Проверить доступность всех компьютеров.
Если вы нашли в тексте ошибку, выделите текст и нажмите Ctrl + Enter.
