virtuální lokální síť nebo VLAN je způsob rozdělení počítačů v síti do skupin klastrů, které slouží společnému obchodnímu účelu. Část LAN označuje, že rozdělujeme fyzický hardware, zatímco virtuální část naznačuje, že k jeho dosažení používáme logiku. V tomto článku uvidíme, jak můžete vytvořit VLAN a poté jej nakonfigurovat tak, aby do něj mohly přecházet datové pakety z jiné VLAN.

Poznámka: i když jsme se snažili, aby bylo celé cvičení nastavení VLAN co nejjednodušší, předpokládá se, že vy, čtenář, máte základní přehled o konfiguraci sítě. Předpokládáme také, že máte pracovní znalosti o koncepcích a účelech IP adres, bran, přepínačů a směrovačů. Kromě toho musíte také vědět o navigaci v postupech konfigurace rozhraní a sub-rozhraní v počítačích a síťových zařízeních.

krok za krokem-jak nastavit VLAN

nejlepší způsob, jak se naučit, jak nastavit VLAN-kromě toho, že chodíte do síťové školy-je to skutečně udělat v praktickém cvičení. A protože všichni nemáme směrovače a přepínače, bylo by rozumné vytvořit naši VLAN v simulovaném prostředí.

v tomto příkladu budeme používat Cisco Packet Tracer, abychom ukázali, jak nastavit naši VLAN. Je to jeden z nejjednodušších a nejrealističtějších nástrojů k použití a umožňuje rozhraní GUI i CLI. Tímto způsobem můžete vidět příkazy, které jsou prováděny v reálném čase, i když jednoduše klikáte a přetahujete, když jdete o konfiguraci.

nástroj lze stáhnout, nastavit a ověřit (otevřením vzdělávacího účtu na Cisco Networking Academy). Nebojte se; můžete se jednoduše zaregistrovat na bezplatný kurz Cisco Packet Tracer, abyste získali plný přístup k návrhovému nástroji.

kromě snadnosti použití, kdy je Cisco lídrem na trhu, si myslíme, že je to vhodná volba, jak ukázat, jak nastavit VLAN.

samozřejmě můžete použít jakýkoli jiný podobný nástroj-protože koncept zůstává stejný. Rychlé online vyhledávání vám ukáže, že existují aplikace-desktop i prohlížeč-pro každou značku zařízení síťového rozhraní. Najděte a pracujte s tím, se kterým jste nejpohodlnější.

Router-on-a-Stick-vysvětlení

i když existuje mnoho způsobů, jak nastavit VLAN nebo inter-VLAN, architektura, kterou vytvoříme, bude využívat to, co je známé jako Cisco Router v konfiguraci Stick.

v této konfiguraci sítě bude mít náš router jediné fyzické nebo logické připojení k naší síti. Tento router pomůže překlenout dvě VLAN – které spolu nemohou komunikovat-připojením k našemu přepínači pomocí jediného kabelu.

funguje to takto: datové pakety, které jsou odesílány z počítače v účetní VLAN-a určené pro počítač v logistické VLAN-budou cestovat do přepínače. Přepínač, po rozpoznání paketů, které je třeba přejít na jinou VLAN, předá provoz routeru.

router bude mít mezitím jedno fyzické rozhraní (síťový kabel, v našem příkladu), které bylo rozděleno do dvou logických dílčích rozhraní. Dílčí rozhraní budou mít oprávnění k přístupu k jedné VLAN.

když datové pakety dorazí do routeru, budou přes autorizované dílčí rozhraní přesměrovány na správnou VLAN a poté dorazí na zamýšlené místo určení.

náš Router na Nastavení Stick VLAN s funkcemi inter-VLAN bude vypadat takto:

plánování vašich úkolů

celý úkol vytváření naší síťové architektury bude rozdělen do čtyř hlavních kategorií, kde budete:

• připojte všechna zařízení a vytvořte správnou architekturu
• nakonfigurujte rozhraní tak, aby všechna zařízení mohla „mluvit“ mezi sebou
• Vytvořte VLAN a přiřaďte počítače příslušným VLAN
• potvrďte správnou konfiguraci tím, že prokážete, že počítače nemohou komunikovat za jejich VLAN

takže bez dalších okolků začneme vytvářet naši VLAN. Nezapomeňte, že bude mít zpočátku přepínač a čtyři počítače připojené k němu. Pokud se rozhodnete, můžete router přenést do návrhu později.

připojte všechna zařízení

přetáhněte přepínač, router a čtyři počítače do hlavní konstrukční desky. Pro naše demo budeme používat přepínač 2960 a směrovač 2911. Přepínač se připojí ke čtyřem počítačům (PC0, PC1, PC2 a PC3) pomocí měděných přímých drátových připojení (popis hardwaru a typů připojení uvidíte v dolní části okna sledovače).

dále připojte přepínač ke každému počítači pomocí portů FastEthernet.

jakmile jsou všechna zařízení připojena, měli byste mezi zařízeními proudit zelený provoz. Jak se nástroj snaží napodobit spouštění a připojení zařízení v reálném světě, může to trvat minutu nebo dvě. Takže se nebojte, pokud indikátory toku dat zůstanou na několik sekund oranžové. Pokud jsou vaše připojení a konfigurace správné,vše se brzy změní na zelenou.

abychom to usnadnili, označme dva počítače vlevo jako patřící účetnímu oddělení (modrá) a další dva jako patřící logistickým oddělením (červená).

konfigurace rozhraní

nyní začneme přiřazovat IP adresy, aby naše počítače mohly začít komunikovat mezi sebou. Přiřazení IP bude vypadat takto:

• ACCT PC0 = 192.168.1.10/255.255.255.0
• ACCT PC1 = 192.168.1.20 / 255.255.255.0
• protokoly PC2 = 192.168.2.10/255.255.255.0
• protokoly PC3 = 192.168.2.20/255.255.255.0

výchozí brána pro počítače je 192.168.1.1 pro první dva v účetnictví a 192.168.2.1 pro poslední dva počítače v logistice. Ke konfiguraci se dostanete tak, že přejdete do nabídky na ploše a poté kliknete na Okno Konfigurace IP.

jakmile jste tam, začněte vyplňovat konfigurace pro všechny počítače:

až budete hotovi, můžeme nyní přejít na přepínač. První, ačkoli, musíme si uvědomit, že na našem přepínači budou dva typy portů:

• přístupové porty: jedná se o porty, které budou použity k připojení každodenních zařízení, jako jsou počítače a servery; v našem příkladu jsou to FastEthernet 0/1, FastEthernet 1/1, FastEthernet 2/1 a FastEthernet 3/1-jeden pro každý počítač.
• Trunk Porty: jedná se o porty, které umožňují přepínači komunikovat s jiným přepínačem – nebo v našem příkladu komunikaci VLAN-to-VLAN na stejném přepínači (přes router) – k rozšíření sítě; použijeme porty GigaEthernet0/0 na obou připojovacích zařízeních.

s ohledem na to přejděme k zábavné části-konfiguraci přepínače pro spuštění našich VLAN.

Vytvořte VLAN a přiřaďte počítačům

takže nejprve vytvořte VLAN – budou pojmenovány ACCT (VLAN 10) a logy (VLAN 20).

přejděte na CLI přepínače a zadejte příkazy:

Switch#config terminalSwitch(config)#vlan 10Switch(config-vlan)#name ACCTSwitch(config-vlan)#vlan 20Switch(config-vlan)#name LOGS

příkazy ve vašem CLI by měly vypadat takto:

nebo, pokud nejste na to, můžete jednoduše použít GUI k vytvoření VLAN (a stále vidět příkazy spustit, jak jsou prováděny níže). Přejděte do nabídky databáze Config-VLAN a přidejte VLAN zadáním jejich čísel (10,20) a jmen (ACCT, protokoly).

dále musíme přiřadit každý port, který přepínač používá k připojení počítačů, k jejich příslušným VLAN.

můžete jednoduše vybrat rozhraní a poté zaškrtnout políčko odpovídající VLAN z konfigurační nabídky vpravo:

jak můžete vidět z obrázku výše, můžete alternativně přejít do rozhraní CLI každého portu a použít příkaz: switchport access vlan 10 k provedení stejného úkolu.

nebojte se; existuje kratší způsob, jak to udělat v případě, že existuje velké množství portů, které lze přiřadit. Pokud byste například měli 14 portů, příkaz by byl:

Switch(config-if)#int range fa0/1-14Switch(config-if-range)#switchport mode access

druhý příkaz zajistí, že přepínač chápe, že porty mají být přístupovými porty, a nikoli TRUNKOVÝMI porty.

potvrďte správnou konfiguraci

a to je vše; na stejném přepínači jsme vytvořili dvě VLAN. Chcete-li to otestovat a potvrdit, že naše konfigurace je správná, můžeme zkusit ping P1 a P3 z P0. První ping by měl být v pořádku, zatímco druhý by měl vypršet a ztratit všechny pakety:

jak nastavit inter-VLAN

nyní, i když jsme rozdělili počítače do dvou VLAN – jak bylo požadováno – to dává větší smysl, že obě oddělení (účetnictví a logistika) bude muset komunikovat mezi sebou navzájem. To by byla norma v jakémkoli podnikatelském prostředí v reálném životě. Koneckonců, logistika nemohla být zakoupena nebo dodána bez finanční podpory, že?

takže se musíme ujistit, že ACCT a protokoly jsou schopny komunikovat-i když jsou na samostatných VLAN. To znamená, že musíme vytvořit komunikaci mezi VLAN.

zde je návod, jak na to

budeme potřebovat pomoc našeho routeru; bude fungovat jako most mezi dvěma VLAN – takže pokračujte a přidejte router do svého návrhu, pokud jste tak ještě neučinili.

skokem do konfigurace musíme pochopit, že pro komunikaci obou VLAN použijeme jeden port na routeru „rozdělením“ na dva porty. Mezitím přepínač použije pouze jeden port kufru k odesílání a přijímání veškeré komunikace Do a ze směrovače.

takže se vrátíme k našemu routeru, rozdělíme rozhraní GigabitEthernet0/0 na GigabitEthernet0/0.10 (pro VLAN10) a GigabitEthernet0 / 0.20 (pro VLAN20). Poté použijeme standardní protokol IEEE 802.1 Q pro propojení přepínačů, směrovačů a pro definování topologií VLAN.

po dokončení jsou tato „sub-rozhraní“ – jak se nazývají-přiřazena ke každé VLAN, kterou chceme připojit nebo překlenout.

nakonec si pamatujte brány-192.168.1.1 a 192.168.2.1-přidali jsme do konfigurací počítačů dříve? Budou to nové IP adresy rozdělených portů nebo dílčích rozhraní na routeru.

příkazy CLI pro vytvoření dílčích rozhraní pod rozhraním GigabitEthernet0 / 0 by byly:

Router (config)#interface GigabitEthernet0/0.10Router (config-subif)#encapsulation dot1q 10Router (config-subif)#ip address 192.168.1.1 255.255.255.0

opakováním všeho pro druhé dílčí rozhraní a VLAN dostaneme

Router (config)#interface GigabitEthernet0/0.20Router (config-subif)#encapsulation dot1q 20Router (config-subif)#ip address 192.168.2.1 255.255.255.0

jakmile zavřete CLI, můžete potvrdit, že Vaše konfigurace je správná pouhým přesunutím myši nad směrovač, abyste viděli svou práci, která by měla vypadat nějak takto:

nyní víme, že naše sub-rozhraní (na routeru) můžeme připojit pouze k našemu přepínači přes jeho kmenový port – a proto jej budeme muset nyní vytvořit.

vše, co musíte udělat, je jít do konfigurace GigabitEthernet0/0 přepínače a spustit: kmen režimu switchport.

a tady to máte; právě jste vytvořili dvě VLAN, které obsahují dva počítače a které mohou stále komunikovat mezi sebou. To můžete dokázat tím, že pingujete první logistický počítač (PC2) s IP adresou 192.168.2.10 z prvního účetního počítače (PC0) s IP adresou 192.168.1.10:

velký úspěch!

proč nastavit VLAN nebo inter-VLAN

v tomto bodě se někteří z vás možná ptají, proč bychom museli projít tímto cvičením a obtěžovat se VLAN nebo inter-VLAN vůbec. No, existuje mnoho důvodů, z nichž některé jsou:

• zabezpečení rozdělení sítě na komponenty zajišťuje, že k podsíťi mají přístup pouze oprávnění uživatelé a zařízení. Nechtěli byste, aby vaši účetní zasahovali do práce vašeho logistického oddělení nebo naopak.
• bezpečnost v případě vypuknutí viru by byla ovlivněna pouze jedna podsíť, protože zařízení v jedné podsíti by nebyla schopna komunikovat – a tím přenášet – virus do jiného. Tímto způsobem by se postupy čištění zaměřily na jednu podsíť, což také usnadňuje mnohem rychlejší identifikaci viníka.
• zajišťuje soukromí izolací pokud se někdo chtěl dozvědět o architektuře vaší sítě (s úmyslem na ni zaútočit), použil by paketový sniffer k Mapování vašeho rozvržení. S izolovanými dílčími sítěmi by viníci mohli získat pouze částečný obraz o vaší síti, čímž by jim například popřeli kritické informace o vašich zranitelnostech.
• usnadňuje síťový provoz izolované sub-sítě mohou udržet využití provozu dolů tím, že udržují procesy náročné na zdroje omezené na svůj vlastní rozsah a nepřekračují celou síť. To znamená, že jen proto, že tlačí kritické aktualizace účetních strojů, neznamená, že logistické oddělení musí také čelit zpomalení sítě.
• prioritizace provozu u podniků, které mají různé typy datového provozu citlivé pakety nebo pakety (například VoIP, média a velké datové přenosy) mohou být přiřazeny VLAN s větším širokopásmovým připojením, zatímco ty, které potřebují pouze síť k odesílání e-mailů, mohou být přiřazeny VLAN s menší šířkou pásma.
• škálovatelnost když podnik potřebuje rozšířit zdroje dostupné pro své počítače, může je znovu přiřadit k novým VLAN. Jejich Administrátoři jednoduše vytvoří novou VLAN a poté do nich snadno přesunou počítače.

jak vidíme, VLAN pomáhají chránit síť a zároveň zlepšují výkon datových paketů, které kolem ní cestují.

Static VLAN vs Dynamic VLAN

mysleli jsme, že by stálo za zmínku, že existují dva typy VLAN, které jsou k dispozici pro implementaci:

statická VLAN

tento návrh VLAN závisí na hardwaru pro vytvoření podsítí. Počítače jsou přiřazeny ke konkrétnímu portu na přepínači a zapojeny přímo. Pokud se potřebují přesunout do jiné VLAN, počítače jsou jednoduše odpojeny od starého přepínače a zapojeny zpět do nového.

problém s tím je, že kdokoli se může pohybovat z jedné VLAN na druhou pouhým přepnutím portů, ke kterým jsou připojeny. To znamená, že správci by vyžadovali zavedené metody fyzického zabezpečení nebo zařízení, aby se zabránilo takovým neoprávněným přístupům.

dynamická VLAN

Toto je VLAN, který jsme právě vytvořili v cvičení, které jsme udělali dříve. V této architektuře VLAN máme softwarové VLAN, kde Administrátoři jednoduše používají logiku k přiřazení konkrétních IP nebo MAC adres jejich příslušným VLAN.

to znamená, že zařízení mohou být přesunuta do kterékoli části podnikání a jakmile se připojí k síti, vrátí se k předem přiřazeným VLAN. Není třeba dalších konfigurací.

pokud je v tomto scénáři jedna nevýhoda, může se stát, že podnik bude muset investovat do inteligentního přepínače – přepínače politik správy VLAN (VMP) – který může být na drahé straně ve srovnání s tradičním přepínačem používaným ve statických VLAN.

zde lze také bezpečně předpokládat, že podniky s několika počítači a menším rozpočtem na IT se mohou rozhodnout implementovat statickou VLAN, zatímco podniky s velkým počtem zařízení a potřebou větší efektivity a bezpečnosti by bylo moudré investovat do dynamické VLAN.

závěr

doufáme, že jste našli všechny informace, které jste potřebovali, abyste se dozvěděli o tom, jak nastavit VLAN. Doufáme také, že cvičení bylo snadné sledovat a že nyní můžete pokračovat v budování znalostí, které jste získali. Protože i když budete pokračovat v měřítku nahoru, tyto základní kroky zůstávají stejné – jednoduše pokračujete v přidávání hardwaru a konfigurací k základům.