Virtual LAN (VLAN)
VLAN (Virtual LAN) – это логическое разделение коммутатора. Основные цели использования: разграничение трафика для безопасности и уменьшения объема трафика в одном сегменте сети. Каждый VLAN можно рассматривать, как широковещательный домен(если вы не знаете, что такое широковещательный домен, обратитесь сюда).
Что же такое VLAN?
Давайте разберем пример на рисунке 4.1. В организации есть несколько отделов, все сотрудники подключены к одному коммутатору – это значит, что каждый компьютер в сети видит все остальные, для бухгалтерии важна безопасность и компьютеры этого отдела надо оградить от всех остальных (эта информация исключительно для примера). Как же тогда построить сеть? Как вариант можно поставить второй коммутатор (рисунок 4.2), но покупать новый коммутатор ради трех компьютеров не очень разумно. На помощь приходят VLAN-ы позволяющие логически разделять коммутатор так, что компьютеры в одном VLAN не могут общаться с компьютерами в другом VLAN, хотя будут подключены к одному коммутатору, рисунок 4.3.
Разграничение по VLAN возможно за счет указания принадлежности порта к определенному VLAN. В cisco коммутаторах все порты по умолчанию принадлежат VLAN 1.
Что же такое Trunk?
В некоторых источниках Trunk (транк) – это провод соединяющий коммутаторы, но мы будем рассматривать это как канал связи между коммутаторами, который пропускает фреймы, принадлежащие разным VLAN. Чтобы лучше понять, предлагаю разобрать пример на рисунке 4.4.
В нашем примере имеется только два VLAN. Порты коммутаторов, к которым подключены ПК3, ПК4 и ПК5, принадлежат Vlan10. Соответственно остальные компьютеры подключены к портам, принадлежащим vlan13. Как же второй коммутатор понимает из какого VLAN к нему пришел фрейм? За счет тегированных фреймов. Давайте пошагово разберем пересылку данных от ПК4 к ПК5:
- ПК4 формирует и отправляет фрейм адресованный ПК5, оба компьютера не знают о существовании VLAN.
- Коммутатор (sw_1) принимает фрейм и сразу отмечает, что пришедший фрейм принадлежит Vlan10 и надо отправить его в сторону второго коммутатора (sw_2). Между коммутаторами настроен trunk, и по нему проходят тегированные фреймы.Таким образом коммутатор (sw_1) изменяет фрейм, добавляя к нему тег (рисунок 4.5), в котором сообщается к какому vlan относится этот фрейм, и отправляет его.
Рисунок 4.5 Тегированный фрейм - Второй коммутатор (sw_2) принимает фрейм и видит, что он принадлежит vlan10, смотрит на каком порту находится MAC-адрес получателя в vlan10. Коммутатор принимает решение отправить фрейм компьютеру ПК5, предварительно сняв тег (метку).
- ПК5 получает фрейм и даже не догадывается о существовании VLAN, транков и прочих сложностей, для него все это прозрачно.
IEEE 802.1Q – стандарт, описывающий поддержку VLAN.
Cisco использует слово trunk порт для указания порта, из которого могут выходить тегированный фреймы. Access порт – порт, принадлежащий одному Vlan. Многие производители называют такие порты tagged (тегированый) и untagged (нетегированный), например коммутаторы фирмы d-link.
Native VLAN – vlan внутри trunk, фреймы которого не тегируются.
В cisco-коммутаторах существует несколько разновидностей vlan:
- vlan 1 – административный vlan, создан по умолчанию, по умолчанию каждый порт принадлежит этому vlan;
- vlan-ны с 2 по 1001 – нормальные vlan-ы. Чаще всего, из этого диапазона vlan-ов можно создавать на коммутаторе новые vlan (включая первый vlan);
- c 1002 по 1005 зарезервированы под будущие цели (лучше помнить, что они просто зарезервированы и не могут быть использованы при добавлении новых vlan);
- c 1006 по 4094 “расширенные” vlan. Из этого диапазона можно создавать новые vlan, если позволяет прошивка и соблюдены некоторые нюансы.
Для связи устройств из одного VLAN с устройствами в другом VLAN надо использовать роутер.
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Теория и практика
Версия файла: 2.0
Уже получили: 170 пользователей
Получить достижение
Код активации можно получить выполнив практическое задание
Уже получили 159 пользователей
Начальные данные
В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.
- В подготовленной сети все компьютеры находятся в подсети 10.0.0.0/24.
- Коммутаторы находятся в сети 10.131.0.32/28, так же как и ПК0, их адреса и пароли:
- SW_1 – адрес: 10.131.0.33, пароль: cisco123
- SW_2 – адрес: 10.131.0.34, пароль: cisco123
- SW_3 – адрес: 10.131.0.35, пароль: cisco123
- SW_4 – адрес: 10.131.0.36, пароль: cisco123
- В каждом vlan будет своя подсеть:
- vlan1 – 10.131.0.32/28
- vlan10 – 172.16.27.64/26
- vlan99 – 192.168.27.96/27
- vlan120 – 10.3.3.128/29
- Все коммутаторы управляются с ПК0
Цели
- Научиться создавать VLAN.
- Научиться указывать принадлежность порта к определенному Vlan.
- Распределить адресацию, проверить коннективность.
- Научиться настраивать trunk порт.
Выполнение
Ваш основной инструмент при выполнении практического задания – ПК0, доступ к другим ПК так же имеется.
-
Научиться создавать VLAN.
Vlan создаются в конфигурационном моде, при помощи команды
vlan <номер>. После создания, вы попадаете в режим настройки этого vlan. Дадим первым двум vlan имена (по умолчанию каждому vlan дается имя VLANxxxx, где хххх – номер vlan, устанавливая свое имя, вы даете краткое описание).SW_1(config)# vlan 10 //создаем vlan 10 SW_1(config-vlan)# ? //смотрим что есть интересного в этом подрежиме VLAN configuration commands: exit Apply changes, bump revision number, and exit mode name Ascii name of the VLAN no Negate a command or set its defaults SW_1(config-vlan)# name sale-staff //обзываем vlan 10 SW_1(config-vlan)# exit //выходим из подрежима, это не обязательно SW_1(config)# vlan 99 SW_1(config-vlan)# name it-dep SW_1(config-vlan)# vlan 120 //не обязательно выходить из подрежима SW_1(config-vlan)# name guest-vlan SW_1# sh vlan //посмотреть на все vlan, настроенные на коммутаторе VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 10 sale-staff active 99 it-dep active 120 guest-vlan active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup ... С созданием vlan проблем возникнуть не должно, а с выводом команды
show vlan, могут возникнуть вопросы, поэтому разберем более подробно (вывод представлен не полностью, остальная информация нам пока не нужна). Первая колонка – это номер vlan, далее – название, статус и порты, которые относится к данному vlan. Vlan 1 по умолчанию создан и имеет имя default (что в переводе на русский “по умолчанию”), все порты на коммутаторе находятся в vlan 1. Vlan-ы 1002-1005 зарезервированы и не могут быть удалены или переименованы, здесь рассматриваться не будут.Для дальнейшего выполнения этого практического задания, надо создать vlan-ы на всех четырех коммутаторах, чтобы каждый раз заново не вбивать одну и туже информацию, можно просто копировать и вставлять текст ниже.
conf t vlan 10 name sale-staff exit vlan 99 name it-dep vlan 120 name guest-vlan exit 
Рисунок 4.6 Commands Copy/Past
Информация о vlan-ах хранится не в файле конфигурации, а в отдельном файле vlan.dat (после создания vlan-ов, вызовите командуshow flash). Что бы удалить все упоминания о vlan, надо удалить этот файл и перезагрузить устройство. -
Научиться указывать принадлежность порта к определенному Vlan.
Отметим, что порт бывает только в двух состояниях (относящихся к vlan):- Может принадлежать одному из vlan (access port или untagged port).
- Может быть транковым портом (trunk port или tagged port).
- Может находиться в динамическом состоянии (благодаря Dynamic Trunk Protocol, используется только на cisco устройствах). Коммутатор сам определяет в какой режим перейти, этот режим используется по умолчанию (здесь рассматриваться не будет).
Установим ПК1 в vlan 10. Прежде всего, надо узнать на каком порту он находится, а это мы можем сделать узнав его MAC-адрес (доступ есть ко всем компьютерам, если в командной строке компьютера набрать
ipconfig /all, то “Physical Address” и есть MAC-адрес).Для удобства я распишу куда подключены все компьютеры в сети (но советую вам не лениться и попрактиковаться работать с таблицей коммутации).
Показать физические подключения
SW_1(config)# interf fa 0/2 //на этом интерфейсе "сидит" ПК1 SW_1(config-if)# switchport mode access //жестко указываем состояние интерфейса - будет относиться только к одному vlan SW_1(config-if)# switchport access vlan 10 //это интерфейс относится к vlan10 Проделайте такую операцию с другими компьютерами подключенными (имеется ввиду, добавьте их в определенный vlan) к SW_1 и вы получите вот такую таблицу vlan:
SW_1# sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 10 sale-staff active Fa0/2 99 it-dep active Fa0/1 120 guest-vlan active ... SW_1# sh runn Building configuration... Current configuration : 1249 bytes ! version 12.1 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname SW_1 ! ! ! spanning-tree mode pvst spanning-tree portfast default ! interface FastEthernet0/1 switchport access vlan 99 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 ... Перед тем как переходить к следующему шагу, настройте vlan-ы на всех коммутаторах. Что бы облегчить ваш труд я подготовил “копипасты” для всех коммутаторов (надо вставлять в конфигурационном режиме).
-
Распределить адресацию, проверить коннективность.
Пришло время всем компьютерам назначить новые ip-адреса, согласно начальным данным. Я предоставлю список ip-адресов и масок, но если вы сами распределите адреса, то огромный вам “респект и уважуха”. Обратите внимание, что в этом списке я
выделил адреса , которые обязательно должны быть такими,чтобы получить достижение . Как установить адрес показано на рисунке 4.7.
Рисунок 4.7 Как установить ip адрес на ПК -
Научиться настраивать trunk порт.
Что бы сделать порт транковым, достаточно ввести команду
switchport mode trunk, в режиме настройки этого интерфейса. Дополнительно можно указать список vlan, которые могут проходить по этому транку (которые будут тегироваться), по умолчанию разрешено всем созданным vlan. Так же можно указать native-vlan, vlan, который будет ходить по транку без тега, по умолчанию это vlan 1.Настроим транк между SW_4(Fa0/1) и SW_3(Fa0/2). Начинайте настройку с SW_4, потому что в процессе переключения режимов интерфейс перезагружается. Если по какой-либо причине доступ не восстановился, цепляйтесь консольным портом и разбирайтесь, почему “не встало”.
###конфигурация SW_4### SW_4(config)# interf fa 0/1 SW_4(config-if)# switchport mode trunk //если после ввода этой команды вас выкинет из консоли, не бойтесь. вы просто отпилили сук на котором сидели, перейдите к настройки следующего коммутатора ###конфигурация SW_3### SW_3(config)# interf fa 0/2 SW_3(config-if)# switchport mode trunk SW_4# sh interf trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-1005 //разрешенные vlan Port Vlans allowed and active in management domain Fa0/1 1,10,99,120 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,99,120Настроим транк между SW_3(Fa0/1) и SW_2(Fa0/1), при этом жестко указав vlan-ы на этом транке.
###конфигурация SW_3### SW_3(config)# interf fa 0/1 SW_3(config-if)# switchport mode trunk //если после ввода этой команды вас выкинет из консоли, не бойтесь. вы просто отпилили сук на котором сидели, перейдите к настройки следующего коммутатора SW_3(config-if)# switchport trunk allowed vlan 1,10,99,120 ###конфигурация SW_2### SW_2(config)# interf fa 0/1 SW_2(config-if)# switchport mode trunk SW_2(config-if)# switchport trunk allowed vlan 1,10,99,120 SW_3# sh interf trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Fa0/2 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1,10,99,120 Fa0/2 1-1005 Port Vlans allowed and active in management domain Fa0/1 1,10,99,120 Fa0/2 1,10,99,120 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,99,120 Fa0/2 1,10,99,120 Настроим транк между SW_2(Fa0/2) и SW_1(Fa0/5), при этом указав только vlan-ы 1 и 10 на этом транке (vlan 1 используется для удаленного администрирования, именно с помощью этого vlan ПК0 может подключаться ко всем коммутаторам в сети).
###конфигурация SW_2### SW_2(config)# interf fa 0/2 SW_2(config-if)# switchport mode trunk //если после ввода этой команды вас выкинет из консоли, не бойтесь. вы просто отпилили сук на котором сидели, перейдите к настройки следующего коммутатора SW_2(config-if)# switchport trunk allowed vlan 1,10 ###конфигурация SW_1### SW_1(config)# interf fa 0/5 SW_1(config-if)# switchport mode trunk SW_1(config-if)# switchport trunk allowed vlan 1,10 SW_2# sh interf trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Fa0/2 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1,10,99,120 Fa0/2 1,10 Port Vlans allowed and active in management domain Fa0/1 1,10,99,120 Fa0/2 1,10 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,99,120 Fa0/2 none После настройки проверим доступность ПК3 <-> S1 и ПК3 <-> ПК5, при помощи команды
ping. Как мы видим из рисунка 4.9, между ПК3 и S1 есть связь, а между ПК3 и ПК5 связи нет. Все потому что по транку, между SW_1 и SW_2, трафик из vlan 99 не проходит. Давайте добавим это vlan и попробуем еще раз (рисунок 4.10).
Рисунок 4.9 Доступность ПК3 <-> S1 и ПК3 <-> ПК5 ###конфигурация SW_2### SW_2(config)# interf fa 0/2 SW_2(config-if)# switchport mode trunk SW_2(config-if)# switchport trunk allowed vlan add 99 //команда добавляет vlan 99 к разрешенным vlan ###конфигурация SW_1### SW_1(config)# interf fa 0/5 SW_1(config-if)# switchport mode trunk SW_1(config-if)# switchport trunk allowed vlan add 99 
Рисунок 4.10 Доступность ПК3 <-> ПК5 после добавления vlan99
Дополнительно надо изучить таблицу коммутацииshow mac-address-table.
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Самостоятельная работа
Версия файла: 2.0
Уже получили: 170 пользователей
Получить достижение
Код активации можно получить выполнив практическое задание
Уже получили 170 пользователей
Начальные данные
В данной лабораторной работе будет использоваться схема сети, которая представлена на рисунке ниже.
В данной лабораторке имеется сеть с уже настроенным коммутаторами, подключенные к ним пользователи, тоже настроены. Сеть расширили, добавив новый коммутатор NEW_SW. К нему имеется консольное подключение. Нужно настроить коммутатор NEW_SW. Пользователи, подключенные к новому коммутатору уже настроены. Все настройки следует выполнять с компьютера PC0. Адресация в каждом vlan:
- vlan 1 – 10.77.0.168/29
- vlan 30 – 172.30.82.0/23
- vlan 77 – 10.7.7.224/27
Коммутатор Office_SW, адрес – 10.77.0.169, пароль – cisco123.
Коммутатор Branch_SW, адрес – 10.77.0.173, пароль – cisco123.
Задания
- Настройть коммутатор NEW_SW:
- Установить локальное имя small-branch-sw.
- enable пароль cisco123 (просто пароль, не secret).
- Установить ip адрес 10.77.0.170/29 на интерфейс vlan1 (не забывайте про no shut!).
- Настроить удаленное подключение по telnet, с использованием пароля cisco123
- Создать vlan 77 и 30, с именами it-dep и work-vlan соответственно.
- Предоставить доступ компьютерам в определенный vlan, как указано на схеме.
Подсказка. Наведите курсор мыши на провод между коммутатором и компьютером, интерфейсы подсветятся.
- Настроить trunk между коммутаторами Office_SW (Fa0/24) и Small-Branch-SW (NEW_SW, Fa0/24). В транке разрешить только vlan-ы 1,30 и 77 (обязательно с обоих сторон).
- Проверить доступность Small-Branch-SW (NEW_SW) с компьютера PC0.
- Настроить trunk между коммутаторами Branch_SW (Fa0/23) и Small-Branch-SW (NEW_SW, Fa0/23). В транке разрешить только vlan-ы 1 и 77 (обязательно). PC5 не должен суметь подключиться к S1.
Подсказка. Вы можете ничего не менять на коммутаторе Branch_SW, достаточно произвести правильную настройку Small-Branch-SW.
ID: 134 Created: Oct 19, 2016 Modified Oct 03, 2018