So richten Sie ein VLAN ein

So richten Sie ein VLAN ein

Ein virtuelles lokales Netzwerk oder VLAN ist eine Möglichkeit, Computer in einem Netzwerk in Clustergruppen zu partitionieren, die einem gemeinsamen Geschäftszweck dienen. Der LAN-Teil zeigt an, dass wir physische Hardware partitionieren, während der virtuelle Teil angibt, dass wir Logik verwenden, um dies zu erreichen. In diesem Artikel erfahren Sie, wie Sie ein VLAN erstellen und es dann so konfigurieren können, dass Datenpakete von einem anderen VLAN in das VLAN übertragen werden können.

Hinweis: während wir versucht haben, die gesamte Einrichtung eines VLANs so einfach wie möglich zu gestalten, wird davon ausgegangen, dass Sie als Leser ein grundlegendes Verständnis der Netzwerkkonfiguration haben. Wir gehen auch davon aus, dass Sie über Kenntnisse der Konzepte und Zwecke von IP-Adressen, Gateways, Switches und Routern verfügen. Darüber hinaus müssen Sie auch über das Navigieren in den Konfigurationsverfahren für Schnittstellen und Unterschnittstellen auf Computern und Netzwerkgeräten Bescheid wissen.

Schritt für Schritt – Einrichten eines VLANS

Der beste Weg, um zu lernen, wie man ein VLAN einrichtet – abgesehen vom Besuch der Netzwerkschule –, besteht darin, dies in einer praktischen Übung zu tun. Und da wir nicht alle Router und Switches herumliegen haben, wäre es sinnvoll, unser VLAN in einer simulierten Umgebung zu erstellen.

In diesem Beispiel verwenden wir Cisco Packet Tracer, um zu demonstrieren, wie unser VLAN eingerichtet wird. Es ist eines der einfachsten und realistischsten Tools und ermöglicht sowohl GUI- als auch CLI-Schnittstellen. Auf diese Weise können Sie die Befehle sehen, die in Echtzeit ausgeführt werden, obwohl Sie einfach klicken und per Drag-and-Drop, wie Sie über Ihre Konfiguration gehen.

Das Tool kann heruntergeladen, eingerichtet und verifiziert werden (durch Eröffnung eines Lernkontos bei der Cisco Networking Academy). Keine Sorge, Sie können sich einfach für den KOSTENLOSEN Cisco Packet Tracer-Kurs anmelden, um vollen Zugriff auf das Design-Tool zu erhalten.

Abgesehen von der Benutzerfreundlichkeit, da Cisco Marktführer ist, halten wir dies für die geeignete Wahl, um zu demonstrieren, wie ein VLAN eingerichtet wird.

Natürlich können Sie jedes andere ähnliche Tool verwenden – denn das Konzept bleibt gleich. Eine schnelle Online-Suche zeigt Ihnen, gibt es Anwendungen – Desktop als auch Browser-basierte – für jede Marke von Netzwerk-Interface-Geräte gibt. Finden und arbeiten Sie mit dem, mit dem Sie sich am wohlsten fühlen.

Router-on–a-Stick – die Erklärung

Während es viele Möglichkeiten gibt, ein VLAN oder Inter-VLAN einzurichten, wird die Architektur, die wir erstellen werden, die so genannte Cisco-Router-on-a-Stick-Konfiguration verwenden.

In dieser Netzwerkkonfiguration verfügt unser Router über eine einzige physische oder logische Verbindung zu unserem Netzwerk. Dieser Router hilft dabei, die beiden VLANs, die nicht miteinander kommunizieren können, zu überbrücken, indem er über ein einziges Kabel eine Verbindung zu unserem Switch herstellt.

So funktioniert es: Datenpakete, die von einem Computer im Accounting–VLAN gesendet werden und für einen Computer im Logistics–VLAN bestimmt sind, werden zum Switch übertragen. Wenn der Switch erkennt, dass die Pakete in ein anderes VLAN übertragen werden müssen, leitet er den Datenverkehr an den Router weiter.

Der Router verfügt über eine physische Schnittstelle (in unserem Beispiel ein Netzwerkkabel), die in zwei logische Unterschnittstellen unterteilt ist. Die Subschnittstellen werden jeweils für den Zugriff auf ein VLAN autorisiert.

Wenn die Datenpakete am Router ankommen, werden sie über die autorisierte Subschnittstelle an das richtige VLAN weitergeleitet und kommen dann am vorgesehenen Ziel an.

Unser Router auf einem Stick-VLAN-Setup mit Inter-VLAN-Funktionen sieht folgendermaßen aus:

So richten Sie ein VLAN ein endgültiges Design

Planen Sie Ihre Aufgaben

Die gesamte Aufgabe der Erstellung unserer Netzwerkarchitektur wird in vier Hauptkategorien unterteilt, in denen Sie Folgendes finden:

  • Schließen Sie alle Geräte an, um die richtige Architektur zu bilden
  • Konfigurieren Sie die Schnittstellen so, dass alle Geräte miteinander „sprechen“ können
  • Erstellen Sie VLANs und weisen Sie Computer ihren jeweiligen VLANs zu
  • Bestätigen Sie die korrekte Konfiguration, indem Sie nachweisen, dass die Computer nicht über ihr VLAN hinaus kommunizieren können

. Denken Sie daran, dass zunächst ein Switch und vier Computer angeschlossen sind. Sie können den Router später in das Design einbinden, wenn Sie dies wünschen.

Schließen Sie alle Geräte an

Ziehen Sie einen Switch, einen Router und vier Computer in die Hauptplatine. Für unsere Demo verwenden wir einen 2960-Switch und einen 2911-Router. Der Switch verbindet sich mit vier Computern (PC0, PC1, PC2 und PC3) über Kupferdrahtverbindungen (die Beschreibung der Hardware und der Verbindungstypen finden Sie ganz unten im Tracer-Fenster).

Schließen Sie als Nächstes den Switch über die FastEthernet-Ports an jeden Computer an.

Switch und Computer anschließen 1

Sobald alle Geräte verbunden sind, sollte der gesamte grüne Datenverkehr zwischen den Geräten fließen. Da das Tool versucht, Geräte zu emulieren, die in der realen Welt booten und eine Verbindung herstellen, kann es ein oder zwei Minuten dauern. Machen Sie sich also keine Sorgen, wenn die Datenflussanzeigen einige Sekunden lang orange bleiben. Wenn Ihre Verbindungen und Konfigurationen korrekt sind, wird alles bald grün.

Switch und Computer anschließen 2

Um die Dinge leichter zu verstehen, markieren wir die beiden Computer auf der linken Seite als zur Buchhaltung gehörend (blau) und die anderen beiden als zu den Logistikabteilungen gehörend (rot).

ACCT und LOGS VLAN

Schnittstellen konfigurieren

Beginnen wir nun mit der Zuweisung von IP-Adressen, damit unsere Computer miteinander kommunizieren können. Die IP-Zuweisungen sehen folgendermaßen aus:

  • ACCT PC0 = 192.168.1.10/255.255.255.0
  • ACCT PC1 = 192.168.1.20/255.255.255.0
  • PROTOKOLLE PC2 = 192.168.2.10/255.255.255.0
  • PROTOKOLLE PC3 = 192.168.2.20/255.255.255.0

Das Standardgateway für die Computer ist 192.168.1.1 für die ersten beiden Computer in der Buchhaltung und 192.168.2.1 für die letzten beiden Computer in der Logistik. Sie können auf die Konfiguration zugreifen, indem Sie zum Desktop-Menü gehen und dann auf das IP-Konfigurationsfenster klicken.

Desktop-Konfiguration und IP-Konfigurationsmenü

Sobald Sie dort sind, füllen Sie die Konfigurationen für alle Computer aus:

IP-Adresse und Standard-Gateway-Konfiguration

Wenn Sie fertig sind, können wir nun zum Switch übergehen. Zuerst, obwohl, Wir müssen uns daran erinnern, dass es zwei Arten von Ports auf unserem Switch geben wird:

  • Access Ports: Dies sind die Ports, die verwendet werden, um alltägliche Geräte wie Computer und Server mit ihm zu verbinden; In unserem Beispiel sind dies die FastEthernet 0/1, FastEthernet 1/1, FastEthernet 2/1 und FastEthernet 3/1 – eine für jeden Computer.
  • Trunk-Anschlüsse: dies sind die Ports, über die ein Switch mit einem anderen Switch kommunizieren kann – oder in unserem Beispiel eine VLAN-zu-VLAN–Kommunikation auf demselben Switch (über den Router) -, um das Netzwerk zu erweitern. Wir werden die GigaEthernet0 / 0-Ports auf beiden Konnektivitätsgeräten verwenden.

In diesem Sinne kommen wir zum unterhaltsamen Teil – der Konfiguration des Switches zum Ausführen unserer VLANs.

VLANs erstellen und Computer zuweisen

Lassen Sie uns also zuerst die VLANs erstellen – sie werden ACCT (VLAN 10) und LOGS (VLAN 20) genannt.

Gehen Sie zur CLI des Switches, um die Befehle einzugeben:

Switch#config terminalSwitch(config)#vlan 10Switch(config-vlan)#name ACCTSwitch(config-vlan)#vlan 20Switch(config-vlan)#name LOGS

Die Befehle in Ihrer CLI sollten folgendermaßen aussehen:

Schalter create VLAN CLI

Oder, wenn Sie nicht dazu bereit sind, können Sie einfach die GUI verwenden, um die VLANs zu erstellen (und immer noch sehen, wie die Befehle ausgeführt werden, wie sie unten ausgeführt werden). Gehen Sie zum Menü Config-VLAN Database und fügen Sie die VLANs hinzu, indem Sie ihre Nummern (10,20) und Namen (ACCT, LOGS) eingeben.

Switch create VLAN GUI

Als nächstes müssen wir jeden Port, über den der Switch die Computer verbindet, ihren jeweiligen VLANs zuweisen.

Sie können einfach die Schnittstelle auswählen und dann das Kontrollkästchen des entsprechenden VLANs im Konfigurationsmenü rechts aktivieren:

Weisen Sie den Switch-Port einem VLAN zu

Wie Sie dem obigen Bild entnehmen können, können Sie alternativ die CLI-Schnittstelle jedes Ports aufrufen und den Befehl verwenden: switchport access vlan 10 um die gleiche Aufgabe auszuführen.

Keine Sorge; Es gibt eine kürzere Möglichkeit, dies zu tun, falls eine große Anzahl von Ports zugewiesen werden muss. Wenn Sie beispielsweise 14 Ports hätten, wäre der Befehl:

Switch(config-if)#int range fa0/1-14Switch(config-if-range)#switchport mode access

Der zweite Befehl stellt sicher, dass der Switch versteht, dass die Ports ACCESS-Ports und keine TRUNK-Ports sind.

Bestätigen Sie die korrekte Konfiguration

Und das war’s. Wir haben zwei VLANs auf demselben Switch erstellt. Um es zu testen und zu bestätigen, dass unsere Konfiguration korrekt ist, können wir versuchen, P1 und P3 von P0 aus zu pingen. Der erste Ping sollte in Ordnung sein, während der zweite eine Zeitüberschreitung verursachen und alle Pakete verlieren sollte:

VLAN-Ping-Test – kein Router

Einrichten eines Inter–VLANS

Obwohl wir die Computer – wie erforderlich – in zwei VLANs unterteilt haben, ist es sinnvoller, dass die beiden Abteilungen (Buchhaltung und Logistik) miteinander kommunizieren müssen. Dies wäre die Norm in jedem realen Geschäftsumfeld. Logistik kann doch nicht ohne finanzielle Unterstützung gekauft oder geliefert werden, oder?

Wir müssen also sicherstellen, dass ACCT und LOGS kommunizieren können – auch wenn sie sich in separaten VLANs befinden. Dies bedeutet, dass wir eine Inter-VLAN-Kommunikation erstellen müssen.

So geht’s

Wir werden die Hilfe unseres Routers brauchen; Er wird als Brücke zwischen den beiden VLANS fungieren – also fügen Sie Ihrem Design einen Router hinzu, falls Sie dies noch nicht getan haben.

Wenn wir in die Konfiguration springen, müssen wir verstehen, dass wir einen Port auf dem Router für die Kommunikation beider VLANs verwenden, indem wir ihn in zwei Ports „aufteilen“. In der Zwischenzeit verwendet der Switch nur einen TRUNK-Port, um die gesamte Kommunikation zum und vom Router zu senden und zu empfangen.

Wenn wir also zu unserem Router zurückkehren, teilen wir die GigabitEthernet0 /0-Schnittstelle in GigabitEthernet0 /0.10 (für VLAN10) und GigabitEthernet0 / 0.20 (für VLAN20) auf. Wir werden dann das IEEE 802.1Q-Standardprotokoll zum Verbinden von Switches, Routern und zum Definieren von VLAN-Topologien verwenden.

Sobald dies erledigt ist, werden diese „Subschnittstellen“ – wie sie genannt werden – jedem VLAN zugewiesen, das wir verbinden oder überbrücken möchten.

Erinnern Sie sich schließlich an die Gateways 192.168.1.1 und 192.168.2.1, die wir zuvor zu den Computerkonfigurationen hinzugefügt haben? Nun, dies sind die neuen IP-Adressen der geteilten Ports oder Subschnittstellen auf dem Router.

Die CLI-Befehle zum Erstellen der Unterschnittstellen unter der GigabitEthernet0 /0-Schnittstelle wären:

Router (config)#interface GigabitEthernet0/0.10Router (config-subif)#encapsulation dot1q 10Router (config-subif)#ip address 192.168.1.1 255.255.255.0

Wenn Sie alles für die zweite Subschnittstelle und das VLAN wiederholen, erhalten wir

Router (config)#interface GigabitEthernet0/0.20Router (config-subif)#encapsulation dot1q 20Router (config-subif)#ip address 192.168.2.1 255.255.255.0

Sobald Sie die CLI schließen, können Sie bestätigen, dass Ihre Konfiguration korrekt ist, indem Sie einfach die Maus über den Router bewegen, um Ihre Arbeit zu sehen, die ungefähr so aussehen sollte:

Router Sub-Interface configuration shortcut menu

Jetzt wissen wir, dass wir unsere Sub-Interfaces (auf dem Router) nur über den Trunk–Port mit unserem Switch verbinden können – und so müssen wir es jetzt erstellen.

Sie müssen lediglich die GigabitEthernet0/0-Konfiguration des Switches aufrufen und Folgendes ausführen: switchport mode trunk.

Und da haben Sie es; Sie haben gerade zwei VLANs erstellt, die jeweils zwei Computer enthalten und die noch miteinander kommunizieren können. Sie können dies beweisen, indem Sie den ersten Logistikcomputer (PC2) mit der IP-Adresse 192.168.2 anpingen.10 vom ersten Abrechnungsrechner (PC0) mit der IP-Adresse 192.168.1.10:

Ping PROTOKOLLIERT PC von ACCT PC - Erfolg

Großer Erfolg!

Warum ein VLAN oder Inter-VLAN einrichten

An dieser Stelle fragen sich einige von Ihnen vielleicht, warum wir diese Übung durchlaufen und uns überhaupt mit VLANs oder Inter-VLANs befassen müssen. Nun, es gibt viele Gründe, von denen einige sind:

  • Sicherheit Durch die Aufteilung eines Netzwerks in Komponenten wird sichergestellt, dass nur autorisierte Benutzer und Geräte auf ein Subnetzwerk zugreifen können. Sie möchten nicht, dass Ihre Buchhalter die Arbeit Ihrer Logistikabteilung stören oder umgekehrt.
  • Sicherheit Im Falle eines Virusausbruchs wäre nur ein Subnetz betroffen, da die Geräte in einem Subnetz nicht in der Lage wären, den Virus zu kommunizieren und somit auf ein anderes zu übertragen. Auf diese Weise würden sich die Bereinigungsverfahren auf dieses eine Subnetz konzentrieren, was es auch einfacher macht, den schuldigen Computer viel schneller zu identifizieren.
  • Stellt die Privatsphäre durch Isolation sicher Wenn jemand etwas über die Architektur Ihres Netzwerks herausfinden wollte (mit der Absicht, es anzugreifen), würde er einen Paket-Sniffer verwenden, um Ihr Layout abzubilden. Bei isolierten Subnetzwerken könnten die Täter nur ein Teilbild Ihres Netzwerks erhalten, wodurch ihnen beispielsweise kritische Informationen über Ihre Schwachstellen verweigert werden.
  • Erleichtert den Netzwerkverkehr Isolierte Subnetze können den Datenverkehr gering halten, indem sie ressourcenintensive Prozesse auf ihren eigenen Umfang beschränken und nicht das gesamte Netzwerk überfordern. Dies bedeutet, dass die Logistikabteilung nicht auch mit einer Netzwerkverlangsamung konfrontiert sein muss, nur weil kritische Updates auf die Buchhaltungsmaschinen übertragen werden.
  • Priorisierung des Datenverkehrs Bei Unternehmen mit unterschiedlichem Datenverkehr können die sensiblen oder ressourcenintensiven Pakete (z. B. VoIP, Medien und große Datenübertragungen) einem VLAN mit größerem Breitband zugewiesen werden, während diejenigen, die das Netzwerk nur zum Versenden von E-Mails benötigen, einem VLAN mit geringerer Bandbreite zugewiesen werden können.
  • Skalierbarkeit Wenn ein Unternehmen die für seine Computer verfügbaren Ressourcen skalieren muss, kann es sie neuen VLANs zuweisen. Ihre Administratoren erstellen einfach ein neues VLAN und verschieben dann die Computer problemlos in sie.

Wie wir sehen können, tragen VLANs zum Schutz eines Netzwerks bei und verbessern gleichzeitig die Leistung der Datenpakete, die um es herum übertragen werden.

Statisches VLAN vs dynamisches VLAN

Wir dachten, es wäre erwähnenswert, dass es zwei Arten von VLANs gibt, die für die Implementierung verfügbar sind:

Statisches VLAN

Dieses VLAN-Design hängt von der Hardware ab, um die Subnetzwerke zu erstellen. Die Computer werden einem bestimmten Port an einem Switch zugewiesen und direkt angeschlossen. Wenn sie in ein anderes VLAN wechseln müssen, werden die Computer einfach vom alten Switch getrennt und wieder an den neuen angeschlossen.

Das Problem dabei ist, dass jeder von einem VLAN zu einem anderen wechseln kann, indem er einfach die Ports wechselt, mit denen er verbunden ist. Dies bedeutet, dass Administratoren physische Sicherheitsmethoden oder -geräte benötigen, um solche unbefugten Zugriffe zu verhindern.

Dynamisches VLAN

Dies ist das VLAN, das wir gerade in der Übung erstellt haben, die wir zuvor durchgeführt haben. In dieser VLAN-Architektur haben wir Software-VLANs, bei denen die Administratoren einfach Logik verwenden, um ihren jeweiligen VLANs bestimmte IP- oder MAC-Adressen zuzuweisen.

Dies bedeutet, dass Geräte in jeden Teil des Unternehmens verschoben werden können und sobald sie eine Verbindung zum Netzwerk herstellen, zu ihren zuvor zugewiesenen VLANs zurückkehren. Es sind keine zusätzlichen Konfigurationen erforderlich.

Wenn dieses Szenario einen Nachteil hat, kann es nur sein, dass das Unternehmen in einen intelligenten Switch investieren müsste – einen VLAN Management Policy Switch (VMPS) –, der im Vergleich zum herkömmlichen Switch, der in statischen VLANs verwendet wird, teuer sein kann.

Es kann auch hier sicher davon ausgegangen werden, dass Unternehmen mit wenigen Computern und einem kleineren IT-Budget ein statisches VLAN implementieren können, während Unternehmen mit einer großen Anzahl von Geräten und einem Bedarf an mehr Effizienz und Sicherheit in ein dynamisches VLAN investieren sollten.

Fazit

Wir hoffen, Sie haben alle Informationen gefunden, die Sie zum Einrichten eines VLANs benötigen. Wir hoffen auch, dass die Übung leicht zu befolgen war und Sie nun auf dem erworbenen Wissen aufbauen können. Denn selbst wenn Sie weiter nach oben skalieren, bleiben diese grundlegenden Schritte gleich – Sie fügen einfach weiterhin Hardware und Konfigurationen zu den Grundlagen hinzu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.