Настройка Vlan на роутере

Обновлено: 21.11.2024

На заре развития сетей для разделения сети на сегменты требовался маршрутизатор.

VLANS или Virtual LANS – это технология, позволяющая разделить домашнюю сеть на сегменты с помощью недорогих коммутаторов.

Как правило, коммутатор отправляет широковещательный трафик на все подключенные порты и позволяет устройствам, подключенным к любому порту, взаимодействовать с любым другим устройством.

Виртуальные локальные сети были созданы для уменьшения объема широковещательного трафика в сети.

Однако в домашних сетях они используются в основном для повышения сетевой безопасности.

Если мы рассмотрим коммутатор с 8 портами, как показано на схеме ниже.

Широковещательное сообщение, отправленное с устройства, подключенного к любому порту, будет отправлено на все порты.

Кроме того, любое устройство, подключенное к любому порту, может взаимодействовать с любым другим устройством, подключенным к любому порту.

Это становится проблематичным, когда у вас есть ненадежные устройства с доступом к вашей сети или, как в случае с домашней автоматизацией, у вас есть устройства IOT, которые могут быть уязвимы для атак.

Однако с помощью коммутатора с поддержкой VLAN можно ограничить широковещательную рассылку и контролировать, какие устройства могут взаимодействовать друг с другом.

Это позволяет создать более безопасную домашнюю сеть.

Если теперь мы возьмем 8-портовый коммутатор и разделим его на две VLAN, которые мы назовем VLAN1 и VLAN2, как показано ниже.

В этой конфигурации мы фактически создали две независимые сети. Устройства, подключенные к сети VLAN1, не могут обмениваться данными с устройствами, подключенными к сети VLAN2, и наоборот.

Использование VLAN в домашней сети

В основном используется для обеспечения безопасности, когда вы хотите изолировать определенные машины от основной сети.

Вам нужно будет выбрать, какие устройства использовать для реализации вашей VLAN и какой режим VLAN использовать.

VLAN поддерживаются на маршрутизаторах (не на всех) и на сетевых коммутаторах.

На маршрутизаторах виртуальные локальные сети имеют разные IP-подсети.

Режимы VLAN

Большинство устройств поддерживают несколько режимов VLAN.

Умный коммутатор TP link (TL-SG105E) поддерживает три режима:

  1. MTU VLAN (многопользовательская VLAN)
  2. VLAN на основе портов
  3. Виртуальная локальная сеть 802.1Q

какой режим вам нужно использовать, зависит от требований вашей сети.

MTU VLAN (многопользовательская VLAN)

При этом используется общий порт исходящей связи, который обычно подключен к Интернету.

Другие порты могут отправлять и получать данные через восходящий порт, но не между собой, как показано на схеме ниже:

Это очень легко настроить, так как все, что вам действительно нужно сделать, это выбрать порт исходящей связи (общий порт) и включить его.

Например, его можно использовать для:

  • Создайте изолированную гостевую сеть.
  • создать изолированную сеть умного дома.

На приведенной ниже схеме показана базовая компоновка:

VLAN на основе портов

В этом режиме VLAN может состоять из нескольких портов, но порт может существовать только в одной VLAN.

Он используется, когда вы хотите создать изолированную сеть.

Возможная конфигурация показана на схеме ниже:

В этой конфигурации устройства в VLAN 1 могут получить доступ к устройствам, подключенным к портам 1, 2 и 3, но не к устройствам, подключенным к портам 4, 5 (VLAN 2).

Устройства, подключенные к портам 4,5 (VLAN 2), могут подключаться друг к другу и не иметь подключения к Интернету, а также не могут подключаться к устройствам в VLAN 1

Виртуальная локальная сеть 802.1Q

Это самый гибкий режим, но и самый сложный в настройке.

Протокол IEEE 802.1Q определяет новый формат кадра данных Ethernet путем вставки тега VLAN в кадр данных кадра данных, как показано на схеме ниже:

Тегирование используется при наличии нескольких коммутаторов VLAN и распределенной VLAN.

В качестве примера представьте, что у вас есть устройства в гостиной, подключенные к интеллектуальному коммутатору, и устройства в домашнем офисе, подключенные ко второму интеллектуальному коммутатору.

Теперь вы хотите, чтобы некоторые устройства в гостиной находились в одной сети VLAN.

Поскольку они физически подключены к двум разным коммутаторам, вам потребуется использовать теги.

Поскольку это сложнее, я расскажу об этом позже в отдельном руководстве, но TP-Link включила его здесь в качестве примера.

В этом руководстве мы возьмем пример одного коммутатора без тегов и настроим две сети VLAN (основную и гостевую), причем обе сети VLAN смогут подключаться к Интернету.

Следующая схема представляет собой модифицированную схему, взятую с сайта tplink здесь.

Хотя у нас всего две сети (гостевая и основная), нам требуется 3 VLAN.

Поскольку порт 1 соединяет коммутатор с маршрутизатором, всем портам нужен доступ к этому порту, поэтому мы настраиваем VLAN1 по умолчанию, чтобы включить все порты.

VLAN2 — это основная сеть, и мы будем использовать порты 1, 2 и 3. VLAN3 — это гостевая сеть с портами 1, 4 и 5.

Теперь не очень очевидная конфигурация — это настройки PVID, которые необходимо выполнить, чтобы это работало. PVID должен совпадать с идентификатором VLAN.

Настройка маршрутизатора TP-Link для гостевой сети

Это конфигурация, которую я использую для гостевой сети в своей домашней сети.

Мой маршрутизатор TPlink также поддерживает VLAN, поэтому я подключаю свою гостевую сеть, которая находится в подвале, к LAN1 (port1) и назначаю ее собственной VLAN.

Нет возможности назначить Wan-интерфейс, так как он автоматически разрешен.

Это схема моей домашней сети с использованием маршрутизатора TP-link..

Примечания:

  • Маршрутизатор Wi-Fi находится в основной сети VLAN.
  • Маршрутизатор назначает другую подсеть второй сети VLAN. Основная сеть использует 192.168.1.0, а подвальная VLAN использует 192.168.2.0
  • VLAN в подвале имеет собственный WAP.

DHCP-сервер на маршрутизаторе автоматически настраивается для назначения адресов в новой подсети, как показано ниже:

Тестирование VLAN домашней сети

Самый простой способ тестирования – использовать команду ping.

У вас не должно быть возможности пинговать машины в разных VLAN.

Примечания к DHCP-серверу

DHCP-сервер должен располагаться в сети VLAN, доступной для всех других сетей VLAN, что обычно означает, что он находится на интернет-маршрутизаторе.

Если вы хотите, чтобы виртуальная локальная сеть использовала отдельный DHCP-сервер, а не сервер маршрутизатора, вы можете установить его в виртуальной локальной сети, не создавая проблем для машин в других виртуальных локальных сетях.

Однако, поскольку в VLAN есть DHCP-сервер, это не мешает ей использовать центральный DHCP-сервер, и вы не можете гарантировать, что клиент в VLAN получит адрес от локального DHCP-сервера.

Простой пример проектирования домашней сети

Пример 1

У вас есть жильцы или гостевой дом, и вы хотите изолировать гостевые машины от основной сети, но предоставить им доступ к Интернету.

Ваш маршрутизатор не поддерживает виртуальные локальные сети, а гостевая сеть Wi-Fi не имеет радиуса действия. Вы не можете изменить маршрутизатор, а доступ к Wi-Fi нужен как для гостевой, так и для основной сети

Решение

Для разделения сети вам потребуется коммутатор с поддержкой VLAN. Вам также потребуются точки беспроводного доступа, и вы не должны использовать Wi-Fi, предоставляемый основным маршрутизатором.

Схема показана ниже:

Приведенное выше решение может быть реализовано с использованием режимов 802.1Q VLAN или MTU VLAN на коммутаторе.

Быстрые вопросы

Ссылаясь на схему для решения 1 выше.

В1. Если вы подключите устройство к основному маршрутизатору Wi-Fi с помощью Wi-Fi, сможете ли вы проверить связь с устройствами в гостевой и основной сети? Да или Нет.

Вопрос 2.Сможет ли устройство в основной сети пропинговать устройство в основной сети? Да или Нет.

Q3: Основной маршрутизатор также имеет 3 запасных порта Ethernet. Вы можете их использовать?

В4. Как вы думаете, на каком устройстве расположен DHCP-сервер?

Ответы

A3 Если вы это сделаете, это не будет безопасным.

A4 Основной маршрутизатор

Коммутаторы с поддержкой VLAN

Обычно, если коммутатор помечен как интеллектуальный коммутатор или управляемый коммутатор, он будет поддерживать VLAN, но вы должны прочитать описание, чтобы убедиться в этом.

Ниже показан снимок экрана с Amazon коммутатора TP-link (30 фунтов стерлингов), который поддерживает VLAN.

Обзор

Виртуальные локальные сети представляют собой отличный и недорогой метод значительного повышения безопасности вашей домашней сети, и их следует учитывать, если вы делитесь своей сетью с гостями или если к вашей сети подключены устройства Интернета вещей.

Термины, используемые в этом руководстве

широковещательный трафик — трафик, который идет ко всем хостам (устройствам) в сети. Многие сетевые службы используют этот тип трафика, например ARP и DHCP.

ARP– протокол, используемый для разрешения получения MAC-адреса устройства с использованием и IP-адреса.

DHCP– протокол для получения IP-адреса. См. Общие сведения о DHCP в домашних сетях

Связанные учебные пособия и ресурсы

[Всего: 16 Среднее: 4,5 ]

44 комментария

Спасибо за статью, очень информативно и хорошо написано!

У меня есть вопрос о примерной конфигурации в конце — с маршрутизатором, который не поддерживает вланы, и управляемым коммутатором:

Что произойдет, если узел в гостевой сети vlan (атакующий узел) попытается связаться с узлом в основной сети vlan (узел жертвы) и знает IP-адрес.
Мое мнение таково: узел злоумышленника отправит ARP для IP-адреса узла-жертвы, и ответ не будет получен (очевидно, поскольку узлы не находятся в одном и том же широковещательном домене), поэтому узел злоумышленника отправит пакет на шлюз по умолчанию. Маршрутизатор получит пакет, распознает IP-адрес хоста-жертвы (все IP-адреса были назначены DHCP-сервером на маршрутизаторе) и отправит пакет обратно на тот же порт с измененным фреймом Ethernet для достижения хоста-жертвы.
Пакет входит в порт 1 коммутатора и пересылается коммутатором на хост-жертву.

Я думаю, что здесь что-то упустил, потому что я видел такое же решение (коммутатор с поддержкой vlan + маршрутизатор без vlan), описанное на других веб-сайтах, и никаких угроз безопасности, подобных этому, не упоминалось.

Любая помощь будет оценена по достоинству.
Спасибо.

Я предполагаю, что вы имеете в виду самую последнюю диаграмму. Обычно VLAN на коммутаторах используют MAC-адреса, а не IP-адреса, поэтому фильтрация выполняется по Mac-адресу, а не по IP-адресу. Маршрутизатор маршрутизирует по сетевому адресу, и в этом случае они одинаковы, поэтому маршрутизатор просто отбрасывает пакет.
Даже если разрешение адреса было успешным, фильтрация по MAC-адресу все еще применяется, поэтому вы не ожидаете, что она сработает.
С уважением
Стив

Отличная статья, Стив. Спасибо!

Однако 2 вещи:

<р>1. В вашем примере 802.1Q мне непонятно, почему нам нужен vlan1, чтобы охватить все порты. Разве не достаточно только порта 1? (Теперь создается впечатление, что хост B находится одновременно в VLAN3 и VLAN1. Похоже, мы «проясняем это», назначая PVID, но мне просто интересно, почему vlan1 нужны порты 1-5, когда вы в конечном итоге в любом случае назначая только pvid1 для port1.)

<р>2. В чем преимущество использования маршрутизатора с поддержкой vlan с коммутаторами vlan? (Кажется, я знаю: возможность маршрутизировать кадры, помеченные vlan), но я думаю, что я спрашиваю: какой тип «маршрутизации» трафика (даже если он только в пределах одного коммутатора) вы можете выполнить с устройствами под этими 3 сценарии:
– ничего, кроме управляемых коммутаторов (без маршрутизаторов)
– управляемые коммутаторы и тупой маршрутизатор
– управляемые коммутаторы и маршрутизатор с поддержкой vlan

Я согласен с вами в отношении порта 1, и я настроил его без порта 1 только для того, чтобы обнаружить, что он не работает, а затем я прочитал руководство.
Что касается пункта 2, мне нужно подумать, и я включу его в учебник
с уважением
стив

Виртуальная локальная сеть (VLAN), как следует из названия, позволяет сетевым администраторам логически (виртуально) сегментировать локальную сеть на различные широковещательные домены.

Появление VLAN обеспечило безопасность, простоту и гибкость локальной сети. Это также привело к сокращению объема административных издержек, необходимых для управления средой с несколькими коммутаторами.Представьте себе огромную сложность, характерную для современных локальных сетей — больше коммутаторов, точек доступа, маршрутизаторов и, конечно же, больше кабелей. Это, очевидно, приводит к более высокой совокупной стоимости владения для каждой конфигурации локальной сети.

VLAN — это широковещательный домен. Это означает, что компьютеры в отдельных VLAN не могут обмениваться данными без вмешательства устройства маршрутизации. Всякий раз, когда узлам одной сети VLAN необходимо обмениваться данными с узлами другой сети VLAN, трафик должен направляться через устройство маршрутизации. Этот процесс известен как маршрутизация между VLAN. Для успешного обмена информацией между VLAN вам понадобится маршрутизатор или коммутатор уровня 3. Существует три возможных способа реализации маршрутизации между VLAN:

  1. Традиционная маршрутизация между VLAN
  2. Маршрутизация между сетями VLAN с помощью маршрутизатора на карте
  3. Многоуровневый коммутатор, маршрутизация между VLAN

Мы подробно объясним каждый из них и покажем, как настроить их в вашей сети.

Традиционная маршрутизация между VLAN

Этот метод маршрутизации между VLAN основан на маршрутизаторе с несколькими физическими интерфейсами. Каждый интерфейс обычно подключается к коммутатору, по одному на каждую VLAN. Порты коммутатора, подключенные к маршрутизатору, переводятся в режим доступа, после чего каждый интерфейс маршрутизатора может принимать трафик из сети VLAN, связанной с интерфейсом коммутатора, к которому он подключен, и трафик может быть направлен в другие сети VLAN, подключенные к другим интерфейсам. Это означает, что каждый из IP-адресов интерфейсов маршрутизаторов станет адресом шлюза по умолчанию для каждого хоста в каждой сети VLAN.

Давайте взглянем на диаграмму, показанную на рис. 1.0 ниже. Если хост A в VLAN 10 хочет отправить сообщение хосту B в VLAN 20, он должен предпринять следующие шаги:

  1. Хост A проверяет, находится ли IP-адрес назначения в его VLAN; если это не так, трафик будет перенаправлен на шлюз по умолчанию на интерфейсе Fa0/0 на маршрутизаторе.
  2. Затем хост A отправляет запрос ARP на коммутатор, чтобы определить MAC-адрес интерфейса Fa0/0 на маршрутизаторе. Как только маршрутизатор отвечает, узел A отправляет кадр маршрутизатору в виде индивидуального сообщения, откуда он затем напрямую перенаправляется через магистральный интерфейс на маршрутизатор.
  3. Когда маршрутизатор получает кадр, он определяет IP-адрес и интерфейс назначения из таблицы маршрутизации.
  4. Затем маршрутизатор отправляет запрос ARP через интерфейс, подключенный к VLAN назначения (VLAN 20), который соответствует интерфейсу Fa0/1 на маршрутизаторе.
  5. Когда коммутатор получает сообщение, он рассылает его по своим портам, после чего хост Б отвечает своим MAC-адресом.
  6. Затем маршрутизатор использует собранную информацию для окончательной пересылки сообщения на узел B в сети VLAN 20 в виде одноадресного кадра через коммутатор.

Чтобы настроить традиционную маршрутизацию между сетями VLAN на устройстве Cisco в соответствии со схемой, показанной на Рисунке 1.0 выше, используйте IP-адреса, показанные в Таблице 1.0, и выполните следующие действия:

Устройство

Интерфейс

Идентификатор виртуальной локальной сети

IP-адрес

Маска подсети

Шлюз по умолчанию

Шаг 1. Создайте VLAN (VLAN 10 и 20) на коммутаторе

Описание

Команда

Войти в режим глобальной конфигурации

Назовите VLAN 10

Назовите VLAN 20

Выйдите из конфигурации VLAN. режим

Проверьте, были ли созданы VLAN

Шаг 2. Назначьте VLAN порту коммутатора

Описание

Команда

Войти в режим глобальной конфигурации

Войдите в конфигурацию интерфейса. режим для fa0/2

Установите порт в режим доступа

Назначить VLAN 10 интерфейсу fa0/2

Выйти из интерфейса

Введите конфигурацию интерфейса для fa0/3

Установите порт в режим доступа

Назначить VLAN 20 интерфейсу fa0/3

Выйти из интерфейса

Теперь на этом этапе, когда вы пытаетесь выполнить эхо-запрос между хостом А и хостом Б, этот эхо-запрос не проходит, потому что два ПК находятся в разных сетях, а маршрутизатор еще не настроен для маршрутизации между VLAN, поэтому они не могут обмениваться данными с одним еще один. Наш следующий шаг — настроить маршрутизацию между VLAN, чтобы обеспечить связь между VLAN.

Шаг 3. Настройте IP-адреса на маршрутизаторе

Описание

Команда

Войти в режим глобальной конфигурации

Войдите в конфигурацию интерфейса. режим для fa0/0

Настроить IP-адрес и маску подсети

Активировать интерфейс

Выйти из интерфейса

Войдите в конфигурацию интерфейса. режим для fa0/1

Настроить IP-адрес и маску подсети

Активировать интерфейс

Выйти из интерфейса

Теперь, на данном этапе, если вы попытаетесь выполнить эхо-запрос между хостом A и хостом B, это будет успешно, поскольку две VLAN теперь связаны через маршрутизатор.

Традиционная маршрутизация между сетями VLAN является самой ранней формой маршрутизации между сетями VLAN. Однако этот метод маршрутизации между VLAN неэффективен. Это архаично и больше не используется в современных коммутируемых сетях.Это связано с тем, что маршрутизаторы имеют ограниченное количество физических интерфейсов, которые можно использовать для подключения к различным сетям VLAN. Следовательно, по мере увеличения количества VLAN в сети подход с одним физическим интерфейсом маршрутизатора для каждой VLAN становится неустойчивым из-за присущих маршрутизатору аппаратных ограничений. Чтобы решить некоторые проблемы, связанные с традиционной маршрутизацией между сетями VLAN, был изобретен новый метод, известный как маршрутизатор-на-модуле.

Маршрутизация между VLAN с помощью маршрутизатора на карте памяти

Маршрутизатор-на-модуле – это метод маршрутизации между сетями VLAN, при котором маршрутизатор подключается к коммутатору с использованием одного физического интерфейса, отсюда и название маршрутизатора-на-модуле. Большинство современных реализаций маршрутизации между VLAN разработаны с использованием этого метода. В отличие от традиционного метода маршрутизации между VLAN, Router-on-stick не требует нескольких физических интерфейсов как на маршрутизаторе, так и на коммутаторе. Вместо этого операционная система маршрутизатора позволяет настроить интерфейс маршрутизатора для работы в качестве транкового канала, который затем подключается к порту коммутатора, настроенному в транковом режиме. Это означает, что на маршрутизаторе и коммутаторе требуется только один физический интерфейс для маршрутизации пакетов между несколькими VLAN. Протокол IEEE 802.1Q (Dot1q), определяющий систему маркировки VLAN для кадров Ethernet, используется для обеспечения поддержки VLAN различных производителей. До введения стандарта 802.1Q использовались несколько проприетарных протоколов, таких как Cisco Inter-Switch Link (ISL) и Virtual LAN Trunk (VLT) компании 3Com.

Единый физический интерфейс на маршрутизаторе связан с логическими (виртуальными) субинтерфейсами, которые можно настроить с несколькими IP-адресами, соответствующими сетям VLAN на коммутаторе. Каждый субинтерфейс настроен для разных подсетей, соответствующих их назначению VLAN, для упрощения логической маршрутизации. Маршрутизатор выполняет маршрутизацию между VLAN, принимая трафик из всех VLAN. Затем он определяет сеть назначения на основе исходного и целевого IP-адресов в пакетах. После принятия решения о маршрутизации на основе целевой VLAN кадры данных перенаправляются на коммутатор с правильной информацией о VLAN через тот же физический интерфейс, который использовался для получения трафика.

Давайте взглянем на диаграмму, показанную на рис. 2.0 ниже. Если хост A в VLAN 10 хочет отправить сообщение хосту B в VLAN 20, он должен предпринять следующие шаги:

  1. Хост A отправляет свой одноадресный трафик на коммутатор.
  2. Затем коммутатор помечает одноадресный трафик как исходящий из VLAN 10 и перенаправляет его по магистральному каналу на маршрутизатор.
  3. Маршрутизатор принимает помеченный одноадресный трафик в сети VLAN 10 и направляет его в сеть VLAN 20, используя настроенные подынтерфейсы.
  4. Одноадресный трафик помечается VLAN 20, поскольку он отправляется через интерфейс маршрутизатора на коммутатор.
  5. Коммутатор удаляет тег VLAN из одноадресного кадра и перенаправляет кадр напрямую на хост B через порт Fa0/3.

Чтобы настроить маршрутизацию между сетями VLAN на устройстве Cisco в соответствии со схемой, показанной на рисунке 2.0 выше, используйте IP-адреса, показанные в таблице 2.0, и выполните следующие действия:

Виртуальная локальная сеть или VLAN — это способ разделения компьютеров в сети на кластерные группы, которые служат общим бизнес-целям. Часть LAN указывает, что мы разделяем физическое оборудование, а виртуальная часть указывает, что мы используем логику для этого. В этой статье мы увидим, как можно создать сеть VLAN, а затем настроить ее так, чтобы пакеты данных из другой сети VLAN могли проходить в нее.

Примечание: несмотря на то, что мы попытались максимально упростить процесс настройки VLAN, предполагается, что вы, читатель, имеете базовые представления о конфигурации сети. Мы также предполагаем, что у вас есть практические знания о концепциях и целях IP-адресов, шлюзов, коммутаторов и маршрутизаторов. Кроме того, вам также необходимо знать о навигации по интерфейсу и процедурам настройки подинтерфейса на компьютерах и сетевых устройствах.

Пошаговое руководство. Как настроить VLAN

Лучший способ научиться настраивать виртуальную локальную сеть (помимо посещения школы сетевых технологий) — это сделать это на практике. А так как не у всех завалялись маршрутизаторы и коммутаторы, было бы целесообразно создать нашу VLAN в смоделированной среде.

В этом примере мы будем использовать Cisco Packet Tracer, чтобы продемонстрировать, как настроить нашу VLAN. Это один из самых простых и реалистичных в использовании инструментов, который позволяет работать как с графическим интерфейсом, так и с интерфейсом командной строки. Таким образом, вы можете видеть команды, которые выполняются в режиме реального времени, даже если вы просто щелкаете и перетаскиваете мышью по мере настройки конфигурации.

Этот инструмент можно загрузить, настроить и проверить (открыв учебную учетную запись в Сетевой академии Cisco). Не волнуйтесь; вы можете просто записаться на БЕСПЛАТНЫЙ курс Cisco Packet Tracer, чтобы получить полный доступ к инструменту проектирования.

Кроме того, помимо простоты использования, поскольку Cisco является лидером рынка, мы считаем, что это подходящий выбор для демонстрации того, как настроить VLAN.

Конечно, вы можете использовать любой другой подобный инструмент, потому что концепция остается прежней. Быстрый онлайн-поиск покажет вам, что есть приложения — настольные и браузерные — для каждой марки устройств с сетевым интерфейсом. Найдите и работайте с тем, который вам наиболее удобен.

Маршрутизатор на карте памяти — объяснение

Несмотря на то, что существует множество способов настройки VLAN или inter-VLAN, архитектура, которую мы будем создавать, будет использовать так называемую конфигурацию Cisco Router on Stick.

В этой конфигурации сети наш маршрутизатор будет иметь одно физическое или логическое соединение с нашей сетью. Этот маршрутизатор поможет соединить две сети VLAN, которые не могут взаимодействовать друг с другом, подключившись к нашему коммутатору с помощью одного кабеля.

Вот как это работает: пакеты данных, отправляемые с компьютера в сети VLAN для учета и предназначенные для компьютера в сети VLAN для логистики, направляются на коммутатор. Коммутатор, обнаружив, что пакеты должны пройти в другую сеть VLAN, перенаправит трафик на маршрутизатор.

Маршрутизатор, тем временем, будет иметь один физический интерфейс (в нашем примере сетевой кабель), который разделен на два логических подчиненных интерфейса. Каждому подинтерфейсу будет разрешен доступ к одной сети VLAN.

Когда пакеты данных поступают на маршрутизатор, они перенаправляются в нужную сеть VLAN через авторизованный подинтерфейс, а затем достигают места назначения.

Наш маршрутизатор с настройкой Stick VLAN с возможностями между VLAN будет выглядеть следующим образом:

Планирование задач

Вся задача по созданию нашей сетевой архитектуры будет разделена на четыре основные категории, в которых вы будете:

  • Подключите все устройства, чтобы сформировать правильную архитектуру.
  • Настройте интерфейсы, чтобы все устройства могли «общаться» друг с другом.
  • Создавайте виртуальные локальные сети и назначайте компьютеры соответствующим виртуальным локальным сетям
  • Подтвердите правильность конфигурации, показав, что компьютеры не могут обмениваться данными за пределами своей сети VLAN.

Итак, без дальнейших церемоний, давайте начнем создавать нашу VLAN. Помните, что изначально к нему будет подключен коммутатор и четыре компьютера. Вы можете добавить маршрутизатор в проект позже, если захотите.

Подключить все устройства

Перетащите коммутатор, маршрутизатор и четыре компьютера на основную плату проектирования. Для нашей демонстрации мы будем использовать коммутатор 2960 и маршрутизатор 2911. Коммутатор будет подключаться к четырем компьютерам (ПК0, ПК1, ПК2 и ПК3) с помощью медные прямые проводные соединения (вы увидите описание оборудования и типов соединений в самом низу окна Tracer).

Затем подключите коммутатор к каждому компьютеру через порты FastEthernet.

После того, как все устройства будут подключены, между устройствами должен проходить только зеленый трафик. Поскольку инструмент пытается эмулировать загрузку и подключение устройств в реальном мире, это может занять минуту или две. Поэтому не беспокойтесь, если индикаторы потока данных останутся оранжевыми в течение нескольких секунд. Если ваши подключения и конфигурации верны, все вскоре станет зеленым.

Чтобы упростить понимание, давайте отметим два компьютера слева как принадлежащие бухгалтерскому отделу (синие), а два других - как принадлежащие отделам логистики (красные).

Настроить интерфейсы

Теперь давайте начнем назначать IP-адреса, чтобы наши компьютеры могли начать взаимодействовать друг с другом. Назначение IP-адресов будет выглядеть следующим образом:

  • ACCT ПК0 = 192.168.1.10/255.255.255.0
  • ACCT ПК1 = 192.168.1.20/255.255.255.0
  • Журналы ПК2 = 192.168.2.10/255.255.255.0
  • Журналы ПК3 = 192.168.2.20/255.255.255.0

Шлюзом по умолчанию для компьютеров является 192.168.1.1 для первых двух компьютеров в бухгалтерии и 192.168.2.1 для последних двух компьютеров в логистике. Вы можете получить доступ к конфигурации, перейдя в меню «Рабочий стол» и щелкнув окно «Конфигурация IP».

Когда вы там, начните заполнять конфигурации для всех компьютеров:

Когда вы закончите, мы можем перейти к переключателю. Однако сначала нам нужно помнить, что на нашем коммутаторе будет два типа портов:

  • Порты доступа: это порты, которые будут использоваться для подключения обычных устройств, таких как компьютеры и серверы; в нашем примере это FastEthernet 0/1, FastEthernet 1/1, FastEthernet 2/1 и FastEthernet 3/1 — по одному на каждый компьютер.
  • Транковые порты: это порты, которые позволяют коммутатору обмениваться данными с другим коммутатором — или, в нашем примере, связью VLAN-to-VLAN на том же коммутаторе (через маршрутизатор) — для расширения сети; мы будем использовать порты GigaEthernet0/0 на обоих устройствах подключения.

Имея это в виду, давайте перейдем к самой интересной части — настройке коммутатора для запуска наших VLAN.

Создание VLAN и назначение компьютеров

Итак, давайте сначала создадим VLAN — они будут называться ACCT (VLAN 10) и LOGS (VLAN 20).

Перейдите в интерфейс командной строки коммутатора, чтобы ввести команды:

Команды в вашем интерфейсе командной строки должны выглядеть следующим образом:

Или, если вы не в состоянии, вы можете просто использовать графический интерфейс для создания VLAN (и по-прежнему видеть, как выполняются команды, как они выполняются ниже). Перейдите в меню Config-VLAN Database и ДОБАВЬТЕ VLAN, введя их номера (10,20) и имена (ACCT, LOGS).

Далее нам нужно назначить каждый порт, который коммутатор использует для подключения компьютеров, к соответствующим виртуальным локальным сетям.

Вы можете просто выбрать интерфейс, а затем установить флажок соответствующей VLAN в меню конфигурации справа:

Как видно из изображения выше, вы также можете зайти в интерфейс командной строки каждого порта и использовать команду: switchport access vlan 10 для выполнения той же задачи.

Не беспокойтесь; есть более короткий способ сделать это в случае, если нужно назначить большое количество портов. Например, если у вас 14 портов, команда будет такой:

Вторая команда гарантирует, что коммутатор понимает, что порты должны быть портами ACCESS, а не портами TRUNK.

Подтвердите правильную конфигурацию

И все; мы создали две VLAN на одном коммутаторе. Чтобы проверить это и убедиться, что наша конфигурация верна, мы можем попробовать пропинговать P1 и P3 от P0. Первый пинг должен быть в порядке, а второй должен истечь по тайм-ауту и ​​потерять все пакеты:

Как настроить интер-VLAN

Теперь, несмотря на то, что мы разделили компьютеры на две виртуальные локальные сети, как и требовалось, более логично, что два отдела (бухгалтерский учет и логистика) должны взаимодействовать друг с другом. Это было бы нормой в любой реальной бизнес-среде. В конце концов, логистику нельзя купить или поставить без финансовой поддержки, верно?

Итак, нам нужно убедиться, что ACCT и LOGS могут обмениваться данными, даже если они находятся в разных VLAN. Это означает, что нам нужно создать связь между VLAN.

Вот как это сделать

Нам понадобится помощь нашего роутера; он будет действовать как мост между двумя виртуальными локальными сетями, поэтому добавьте маршрутизатор в свой проект, если вы еще этого не сделали.

Переходя к настройке, мы должны понимать, что будем использовать один порт на маршрутизаторе для связи обеих VLAN, «разделив» его на два порта.При этом коммутатор будет использовать только один порт TRUNK для отправки и получения всех сообщений от и к маршрутизатору.

Итак, возвращаясь к нашему маршрутизатору, мы разделим интерфейс GigabitEthernet0/0 на GigabitEthernet0/0.10 (для VLAN10) и GigabitEthernet0/0.20 (для VLAN20). Затем мы будем использовать стандартный протокол IEEE 802.1Q для соединения коммутаторов, маршрутизаторов и определения топологий VLAN.

После этого эти «подинтерфейсы», как они называются, затем назначаются каждой сети VLAN, которую мы хотим подключить или связать.

Наконец, помните шлюзы — 192.168.1.1 и 192.168.2.1 — которые мы ранее добавляли в конфигурации компьютеров? Ну, это будут новые IP-адреса разделенных портов или подинтерфейсов на маршрутизаторе.

Команды CLI для создания подчиненных интерфейсов в интерфейсе GigabitEthernet0/0 будут следующими:

Повторяя все это для второго субинтерфейса и VLAN, мы получаем

После закрытия интерфейса командной строки вы можете подтвердить правильность конфигурации, просто наведя указатель мыши на маршрутизатор, чтобы увидеть свою работу, которая должна выглядеть примерно так:

Теперь мы знаем, что можем подключить наши подинтерфейсы (на маршрутизаторе) к нашему коммутатору только через его магистральный порт, поэтому нам нужно создать его сейчас.

Все, что вам нужно сделать, это войти в конфигурацию коммутатора GigabitEthernet0/0 и запустить: switchport mode trunk.

И вот оно. вы только что создали две VLAN, каждая из которых содержит по два компьютера и которые все еще могут взаимодействовать друг с другом. Вы можете проверить это, пропинговав первый компьютер логистики (ПК2) с IP-адресом 192.168.2.10 с первого компьютера бухгалтерии (ПК0) с IP-адресом 192.168.1.10. :

Большой успех!

Зачем настраивать VLAN или inter-VLAN

  • Безопасность Разделение сети на компоненты гарантирует, что только авторизованные пользователи и устройства могут получить доступ к подсети. Вы бы не хотели, чтобы ваши бухгалтеры мешали работе вашего отдела логистики или наоборот.
  • Безопасность. В случае вирусной эпидемии будет затронута только одна подсеть, поскольку устройства в одной подсети не смогут обмениваться данными и, таким образом, передавать вирус в другую. Таким образом, процедуры очистки будут сосредоточены на одной подсети, что также значительно упростит идентификацию машины-виновника.
  • Обеспечивает конфиденциальность за счет изоляции. Если кто-то захочет узнать об архитектуре вашей сети (с намерением атаковать ее), он воспользуется снифером пакетов, чтобы составить карту вашей схемы. В изолированных подсетях злоумышленники смогут получить лишь частичное представление о вашей сети, что лишает их важной информации, например, о ваших уязвимостях.
  • Облегчает сетевой трафик. Изолированные подсети могут снизить использование трафика, ограничивая ресурсоемкие процессы их собственной областью действия и не перегружая всю сеть. Это означает, что только то, что ИТ-специалисты внедряют важные обновления в бухгалтерские машины, не означает, что отделу логистики также придется столкнуться с замедлением работы сети.
  • Приоритезация трафика В компаниях с различными типами трафика данных конфиденциальные или ресурсоемкие пакеты (например, VoIP, мультимедиа и передача больших объемов данных) могут быть назначены VLAN с более широкой полосой пропускания, в то время как те, которым требуется только сеть для отправки электронных писем можно назначить сеть VLAN с меньшей пропускной способностью.
  • Масштабируемость. Когда бизнесу необходимо увеличить ресурсы, доступные для его компьютеров, он может переназначить их новым виртуальным локальным сетям. Их администраторы просто создают новую сеть VLAN, а затем легко перемещают в нее компьютеры.

Как мы видим, виртуальные локальные сети помогают защитить сеть, а также повысить производительность пакетов данных, которые проходят по ней.

Статическая VLAN и динамическая VLAN

Мы подумали, что стоит упомянуть, что для реализации доступны два типа VLAN:

Статическая сеть VLAN

Данный дизайн VLAN зависит от аппаратного обеспечения для создания подсетей. Компьютеры назначаются определенному порту на коммутаторе и сразу же подключаются к нему. Если им нужно перейти в другую сеть VLAN, компьютеры просто отключаются от старого коммутатора и снова подключаются к новому.

Проблема в том, что любой может перейти из одной сети VLAN в другую, просто переключив порты, к которым он подключен. Это означает, что администраторам потребуются методы или устройства физической безопасности для предотвращения такого несанкционированного доступа.

Динамическая виртуальная локальная сеть

Это VLAN, которую мы только что создали в предыдущем упражнении. В этой архитектуре VLAN у нас есть программные VLAN, в которых администраторы просто используют логику для назначения определенных IP- или MAC-адресов своим соответствующим VLAN.

Это означает, что устройства можно перемещать в любую часть предприятия, и как только они подключатся к сети, они вернутся в свои предварительно назначенные виртуальные локальные сети. Дополнительные настройки не требуются.

Если в этом сценарии и есть один недостаток, то он может заключаться только в том, что бизнесу потребуется инвестировать в интеллектуальный коммутатор — коммутатор политик управления VLAN (VMPS), который может быть более дорогим по сравнению с традиционным коммутатором. используется в статических VLAN.

Здесь также можно с уверенностью предположить, что компании с несколькими компьютерами и небольшим ИТ-бюджетом могут выбрать статическую VLAN, в то время как компании с большим количеством устройств и потребностью в большей эффективности и безопасности будут разумнее инвестировать в динамическая VLAN.

Заключение

Мы надеемся, что вы нашли всю необходимую информацию о том, как настроить VLAN. Мы также надеемся, что выполнить это упражнение было легко и что теперь вы можете продолжить работу, опираясь на полученные знания. Потому что, даже если вы продолжаете увеличивать масштаб, эти основные шаги остаются прежними — вы просто продолжаете добавлять оборудование и конфигурации к основам.

Мы написали статью, в которой рассматриваются виртуальные локальные сети (VLAN) как понятие, и еще одну статью о настройке VLAN на коммутаторах Cisco. Остается рассмотреть различные варианты маршрутизации между виртуальными локальными сетями. Это также иногда называют маршрутизацией между виртуальными локальными сетями или иногда маршрутизатором на флешке (RoaS).

Зачем нужна маршрутизация между VLAN?

Как мы узнали из предыдущей статьи, виртуальные локальные сети создают логическое разделение между портами коммутатора. По сути, каждая VLAN ведет себя как отдельный физический коммутатор. Чтобы проиллюстрировать это, ниже приведены два изображения топологии одной и той же среды — физическое и логическое.

Физическая топология изображает коммутатор и четыре хоста в двух разных сетях VLAN: узел A и узел B находятся в сети VLAN 20, а узел C и узел D — в сети VLAN 30. Логическая топология отражает принцип работы физической топологии — две сети VLAN. по существу создайте два отдельных физических коммутатора.



Несмотря на то, что все четыре хоста подключены к одному и тому же физическому коммутатору, логическая топология ясно дает понять, что хосты в VLAN 20 не могут обмениваться данными с хостами в VLAN 30. Обратите внимание, что между двумя «виртуальными» коммутаторами ничего нет. , хост A не может связаться с хостом C.

Поскольку хост A и хост C находятся в разных VLAN, также подразумевается, что они находятся в разных сетях. Каждая VLAN обычно соответствует своей собственной IP-сети. На этой схеме VLAN 20 содержит сеть 10.0.20.0/24, а VLAN 30 — сеть 10.0.30.0/24.

Коммутатор предназначен для облегчения связи внутри сетей. Это прекрасно работает для хоста A, пытающегося связаться с хостом B. Однако, если хост A пытается связаться с хостом C, нам нужно будет использовать другое устройство, предназначенное для облегчения связи между сетями. .

Если вы читали серию Packet Traveling, то знаете, что устройство, обеспечивающее связь между сетями, — это маршрутизатор.

Маршрутизатор будет выполнять функцию маршрутизации, необходимую для связи двух хостов в разных сетях друг с другом. Точно так же нам понадобится маршрутизатор, чтобы хосты в разных VLAN могли взаимодействовать друг с другом.

Для включения маршрутизации между сетями VLAN доступны три варианта:

В оставшейся части этой статьи будут рассмотрены эти три параметра и их конфигурация.

Маршрутизатор с отдельными физическими интерфейсами

Самый простой способ включить маршрутизацию между двумя сетями VLAN — просто подключить дополнительный порт из каждой сети VLAN к маршрутизатору.

Маршрутизатор не знает, что у него есть два подключения к одному и тому же коммутатору, да это и не нужно. Маршрутизатор работает как обычно при маршрутизации пакетов между двумя сетями.

На самом деле процесс перемещения пакета с узла A на узел D в этой топологии будет работать точно так же, как в этом видео.Единственная разница заключается в том, что поскольку есть только один физический коммутатор, будет только одна таблица MAC-адресов — каждая запись включает сопоставление порта коммутатора с MAC-адресом, а также номер VLAN ID, которому принадлежит порт. .

Каждый порт коммутатора на этой диаграмме настроен как порт доступа, мы можем использовать команду range, чтобы настроить несколько портов как один раз:

Интерфейсы маршрутизатора также используют стандартную конфигурацию — настройку IP-адреса и включение интерфейса:

Ниже вы найдете различные команды show для маршрутизатора и коммутатора, которые можно использовать для понимания и проверки функционирования среды.

Команды показа маршрутизатора
Переключить показ команд

Маршрутизатор с подчиненными интерфейсами

Описанный ранее метод работает, но плохо масштабируется. Если бы на коммутаторе было пять VLAN, то нам потребовалось бы пять портов коммутатора и пять портов маршрутизатора, чтобы обеспечить маршрутизацию между всеми пятью VLAN

Вместо этого существует способ для нескольких сетей VLAN завершаться на одном интерфейсе маршрутизатора. Этот метод заключается в создании подинтерфейса.

Подинтерфейс позволяет разделить один физический интерфейс на несколько виртуальных подинтерфейсов, каждый из которых завершает свою собственную сеть VLAN.

Подинтерфейсы для маршрутизатора аналогичны магистральным портам для коммутатора: по одному каналу передается трафик для нескольких VLAN. Следовательно, каждый подинтерфейс маршрутизатора должен также добавлять тег VLAN ко всему трафику, выходящему из указанного интерфейса.

Логическая работа топологии подинтерфейса работает точно так же, как топология отдельного физического интерфейса в предыдущем разделе. Единственная разница заключается в том, что для вспомогательных интерфейсов требуется только один интерфейс маршрутизатора для завершения всех сетей VLAN.

Однако имейте в виду, что недостатком всех сетей VLAN, заканчивающихся на одном интерфейсе маршрутизатора, является повышенный риск перегрузки на канале.

Функция вспомогательного интерфейса иногда называется Маршрутизатор на флешке или Маршрутизатор с одним плечом. Это относится к одному маршрутизатору, завершающему трафик из каждой сети VLAN.

Порт коммутатора, обращенный к маршрутизатору, настроен как стандартный соединительный канал:

Конфигурация подинтерфейсов маршрутизатора довольно проста. Сначала мы включаем физический интерфейс:

Далее мы создаем и настраиваем первый подинтерфейс:

За исключением использования отличительного признака подинтерфейса (eth1/1.20) и использования команды encapsulation dot1q, остальная конфигурация интерфейса точно такая же, как и у любого другого обычного физического интерфейса.

Аналогичным образом мы также настроим Sub-interface для VLAN 30:

Эти два значения не обязательно должны совпадать, но часто они совпадают в целях обеспечения психического здоровья технического специалиста.


Ниже вы найдете различные команды show для маршрутизатора и коммутатора. Их можно использовать для понимания и проверки функционирования среды.

Читайте также: