Налаштування vlan в cisco

На рішення комутатора про перенаправлення фреймів впливає багато факторів, але найбільший вплив роблять так звані віртуальні локальні мережі VLAN. VLAN (Virtual Local Area Network) - логічна (віртуальна) локальна мережа, яка вдає із себе групу хостів, взаємодіючих так, якби вони були підключені до одного широковещательному домену. Взаємодія забезпечується незалежно від фізичного місцезнаходження хостів.

Без віртуальних мереж комутатор вважає, що всі його інтерфейси знаходяться в одному широкомовному домені. Таким чином, коли на один порт комутатора поступає широковещательное повідомлення, він перенаправляє його на всі інші порти. Якщо слідувати цій логіці, то для створення двох різних широкомовних доменів, нам необхідно придбати два різних комутатора. Іншими словами, якщо ми хочемо розмежувати трафік однієї підмережі від іншої, то необхідна покупка додаткового обладнання. А таких підмереж може бути десятки.

Нижче представлена ​​проста схема, де застосовується VLAN. Видно, що сервери знаходяться в VLAN 10, а комп'ютери в VLAN 20. Порти в сторону обладнання - це порти доступу (Access port). Порт між комутаторами є транкових (Trunk port). Транковий порт пропускає обидва VLAN. Таким чином, можна виділити окремі групи пристроїв в підмережа і призначити їй власний номер VLAN'a. Припустимо, сервера будуть знаходиться в різних країнах, але при цьому все-одно працювати в одній підмережі, що дуже зручно.

Переваги застосування мереж VLAN:

1. Оптимальне використання ресурсів процесора кожного хоста в мережі, за рахунок скорочення кількості непотрібних широкомовних повідомлень
2. Захист хостів, які пересилають важливі дані, за рахунок розміщення їх в окрему мережу VLAN
3. Гнучке поділ користувачів в групи (наприклад, по відділах) замість фізичного поділу за місцем розташування
4. Спрощення діагностики мережі, так як більшість проблем локалізуються в області набору пристроїв, які формують широкомовний домен

VLAN використовується практично у всіх великих корпоративних мережах. Більш докладно про VLAN можна почитати в цій статті. Ми ж не буде заглиблюватися в теорію, а перейдемо безпосередньо до практики.

Будемо налаштовувати таку схему.

1. Адміністратор
2. сервера
3. Офісні співробітники
4. бездротові пристрої

Номери портів на свічі будуть вибиратися за таким порядком. Порти fastEthernet з 1 по 10 зайняті під ПК співробітників, з 11 по 15 зайняті під бездротові точки, з 16 по 20 зайняті під сервера. 21 порт використовується для підключення ноутбука адміна. 22 - 24 підключення до інших мережевих пристроїв (комутаторів, шлюзів). Все ніби з планом розібралися, перейдемо тепер до найголовнішого 🙂

Перейдемо до налаштування першого access-switch'a - sw1.ekt1. Нижче буде приведена конфігурація з поясненнями.

Тепер комутатор sw1.ekt1 буде маркувати кадри відповідним номером VLAN. При передачі на центральний свіч sw1.ekt10 будуть пропускатися все VLAN - 2,3,10,11.

Перейдемо тепер до налаштування другого аксес свчіа sw1.ekt2. Його настройка будуть повністю співпадати з настройками sw1.ekt1. за винятком того, що до sw1.ekt2 не підключений ноутбук адміністратора.

Access-switch'і налаштовані, тепер необхідно налаштувати центральний свіч sw1.ekt10.

Наприклад, що буде, якщо адмін хоче пінгануть підмережа серверів? Маршрутизатор прийнявши пакет від нього, подивиться в свою таблицю маршрутизації і зрозуміє, що сервери знаходяться на сабінтерфейсе fastEthernet 0 / 0.3. Він пошле пакет в цей віртуальний інтерфейс попутно присвоївши пакету VLAN = 3. Таким чином, пакет без проблем дійде до потрібного сервера, і, адмін зможе отримати ICMP-відповідь від нього.