Comment fonctionnent les réseaux privés virtuels VLAN. Mise en place de VLAN (Virtual Local Area Network) sur les équipements réseau Mikrotik. Séparation d'un réseau local via VLAN

Imaginons cette situation. Nous avons un bureau pour une petite entreprise avec 100 ordinateurs et 5 serveurs. Parallèlement, cette entreprise emploie différentes catégories de salariés : managers, comptables, responsables du personnel, spécialistes techniques, administrateurs. Il est nécessaire que chaque service travaille dans son propre sous-réseau. Comment délimiter le trafic de ce réseau ? En général, il existe deux méthodes de ce type : la première méthode consiste à diviser le pool d'adresses IP en subdivisions et à attribuer son propre sous-réseau à chaque département, la deuxième méthode consiste à utiliser un VLAN.

VLAN (Virtual Local Area Network) est un groupe de nœuds de réseau dont le trafic, y compris la diffusion, est complètement isolé au niveau de la liaison de données du trafic des autres nœuds du réseau. Dans les réseaux modernes, le VLAN est le principal mécanisme permettant de créer une topologie de réseau logique indépendante de sa topologie physique.

La technologie VLAN est définie dans IEEE 802.1q, une norme ouverte qui décrit une procédure de balisage pour transmettre les informations d'appartenance au VLAN. 802.1q place une balise dans une trame Ethernet qui transmet des informations sur l'appartenance du trafic à un VLAN.

Regardons les champs VLAN TAG :

• TPID (Tag Protocol Identifier) ​​​​​​- identifiant du protocole de marquage. Indique quel protocole est utilisé pour le balisage. Pour 802.1Q, la valeur est 0x8100.
• Priorité - priorité. Utilisé pour définir la priorité du trafic transmis (QoS).
• CFI (Canoncial Format Indicator) - indique le format de l'adresse MAC (Ethernet ou Token Ring).
• VID (Vlan Indentifier) ​​​​- Identifiant VLAN. Indique à quel VLAN appartient la trame. Vous pouvez définir un nombre compris entre 0 et 4094.

Lors de l'envoi de trames, l'ordinateur ne sait pas dans quel VLAN il se trouve - le commutateur le fait. Le commutateur sait à quel port l'ordinateur est connecté et, sur cette base, il déterminera dans quel VLAN cet ordinateur se trouve.

Le commutateur dispose de deux types de ports :

• Port balisé (marqué, trunk) - un port via lequel le trafic de plusieurs groupes VLAN peut être transmis ou reçu. Lors de la transmission sur un port balisé, une balise VLAN est ajoutée à la trame. Utilisé pour se connecter aux commutateurs, aux routeurs (c'est-à-dire aux appareils qui reconnaissent les balises VLAN).
• Port non balisé (non balisé, accès) - le port via lequel les trames non balisées sont transmises. Utilisé pour se connecter aux nœuds finaux (ordinateurs, serveurs). Chaque port non balisé se trouve dans un VLAN spécifique. Lors de la transmission du trafic depuis ce port, la balise VLAN est supprimée et le trafic non balisé est dirigé vers l'ordinateur (qui ne reconnaît pas le VLAN). Sinon, lorsque le trafic est reçu sur un port non balisé, une balise VLAN y est ajoutée.

Configuration du VLAN sur le commutateur géré Dlink DES-3528

La série de commutateurs DES-3528/3552 xStack comprend des commutateurs d'accès L2+ empilables qui connectent en toute sécurité les utilisateurs finaux aux réseaux des grandes entreprises et des petites et moyennes entreprises (PME). Les commutateurs offrent un empilage physique, un routage statique, une prise en charge des groupes de multidiffusion et des fonctionnalités de sécurité avancées. Tout cela fait cet appareil solution idéale de niveau d’accès. Le commutateur s'intègre facilement aux commutateurs principaux L3 pour former une structure de réseau à plusieurs niveaux avec une dorsale à haut débit et des serveurs centralisés. Les commutateurs des séries DES-3528/3552 sont équipés de 24 ou 48 ports Ethernet 10/100 Mbps et prennent en charge jusqu'à 4 ports de liaison montante Gigabit Ethernet.

Examinons les principes de configuration des VLAN sur les commutateurs Dlink gérés. Au cours du travail, nous étudierons les moyens de créer, supprimer, modifier des VLAN et ajouter différents types de ports (balisés et non balisés).

La connexion au commutateur s'effectue via le port console à l'aide du programme HyperTerminal.

En utilisant la commande show vlan, nous verrons des informations sur les VLAN existants.

Dans la figure ci-dessus, vous pouvez voir qu'au départ, un seul VLAN par défaut est créé sur le commutateur, nommé default. La commande show vlan affiche les champs suivants :

• VID – Identifiant VLAN
• Type de VLAN – Type de VLAN
• Ports membres – ports participants
• Ports statiques – ports statiques
• Ports balisés actuels – ports balisés actuels
• Ports non balisés actuels – ports non balisés actuels
• Ports balisés statiques – ports balisés statiques
• Ports statiques non balisés – ports statiques non balisés
• Total des entrées – total des entrées
• Nom du VLAN – Nom du VLAN
• Annonce – ​​statut

Créons un nouveau VLAN, dans lequel les initiales AA sont utilisées comme nom et le chiffre 22 comme identifiant. Pour ce faire, nous utiliserons la commande create vlan.

Le nouveau VLAN n'inclut pas encore un seul port. À l'aide du vlan de configuration, nous modifierons le VLAN AA afin que les ports balisés 10, 14 à 17 et les ports non balisés 2 à 5 y apparaissent.

À l'aide de la commande show vlan, nous afficherons des informations sur les VLAN créés.

Il est connu que les ports balisés peuvent être inclus dans plusieurs VLAN et que les ports non balisés ne peuvent être inclus que dans un seul VLAN. Actuellement, les ports balisés et non balisés sont inclus dans le VLAN et le VLAN AA par défaut. À l'aide de la commande config vlan, nous supprimerons tous les ports utilisés dans le VLAN AA du VLAN par défaut.

Sur la figure ci-dessus, vous pouvez voir que les ports 2-5, 10, 14-17 sont désormais uniquement dans le VLAN AA.

Envisageons de diviser le réseau en différents VLAN. Un circuit a été assemblé dans l'armoire de câblage et le sous-réseau 10.0.0.0 /8 est configuré.

Au début, tous les ordinateurs sont sur le même sous-réseau et se cinglent mutuellement. Il est nécessaire de les séparer pour que PC22, PC20, PC18 soient dans un VLAN et PC 19, PC21 dans un autre VLAN. Pour ce faire, nous créons deux VLAN :

• VLAN=10 nommé net1 (PC18, PC20, PC22)
• VLAN=20 nommé net2 (PC19, PC21)

Sur la base du diagramme, un plan de configuration des ports a été élaboré pour les commutateurs. Il a été pris en compte qu'il était nécessaire d'utiliser des ports non étiquetés pour les ordinateurs et des ports étiquetés pour les connexions entre commutateurs. Lors de la configuration des commutateurs, les ports balisés ont été placés dans VLAN=10 et VLAN=20, et les ports non balisés ont été placés uniquement dans le VLAN auquel appartient l'ordinateur.

Sur chacun des commutateurs, vous devez configurer les ports conformément au schéma. La figure ci-dessous montre un exemple de configuration de SW5. Tout d'abord, un vlan est créé avec l'identifiant net1 et l'étiquette 10. Ensuite, nous créons le deuxième vlan net2 avec l'étiquette 20. Après cela, nous ajoutons les ports du commutateur aux vlans correspondants. Le port 1 est connecté au PC22, qui se trouve dans le VLAN 10. Cela signifie qu'un port ne sera pas balisé. Le deuxième port selon le schéma est connecté à SW4 et doit passer par 10 et 20 VLAN.

Les commutateurs restants sont configurés de la même manière.

À l'aide de la commande show vlan, nous afficherons chacun des VLAN que nous avons créés.

Autre petit outil qui peut légèrement augmenter la convivialité : la bannière. Il s'agit de l'annonce que Cisco affichera avant d'autoriser l'appareil.

Switch(config)#banner motd q Entrez un message TEXTE. Terminez par le caractère "q". Ce n'est qu'une bannière. q Commutateur(config)#
Après motd, vous spécifiez un caractère qui signalera que la ligne est terminée. Dans cet exemple, nous mettons « q ».

Concernant le contenu de la bannière. Il existe une telle légende : un pirate informatique s'est introduit dans un réseau, a cassé/volé quelque chose, il a été arrêté et lors du procès, il a été acquitté et libéré. Pourquoi? Mais parce que sur le routeur périphérique (entre Internet et réseau interne), le mot « Bienvenue » était inscrit sur la banderole. "Eh bien, comme ils l'ont demandé, je suis entré")). Par conséquent, il est considéré comme une bonne pratique d’écrire quelque chose comme « Accès refusé ! » sur la bannière.

Pour organiser vos connaissances point par point, regardons ce que vous devez faire :

1) Configurez le nom d'hôte. Cela vous aidera à savoir rapidement où vous vous situez sur le réseau réel à l'avenir.
Switch(config)#hostname NOM D'HÔTE

2) Créez tous les vlans et donnez-leur un nom
Switch(config)#vlan VLAN-NUMBER Switch(config-vlan)#name NOM-OF-VLAN

3) Configurez tous les ports d'accès et donnez-leur un nom
Switch(config-if)#description DESCRIPTION-DE-INTERFACE Switch(config-if)#accès au mode switchport Switch(config-if)#switchport access vlan VLAN-NUMBER

Il est parfois pratique de configurer les interfaces par lots :

Msk-arbat-asw3(config)#interface range fastEthernet 0/6 - 10 msk-arbat-asw3(config-if-range)#description FEO msk-arbat-asw3(config-if-range)#accès au mode switchport msk- arbat-asw3(config-if-range)#switchport accès vlan 102

4) Configurez tous les ports de jonction et donnez-leur un nom :
Switch(config-if)#description DESCRIPTION-DE-INTERFACE Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk autorisé vlan VLAN-NUMBERS

5) N'oubliez pas de sauvegarder :
Switch#copie configuration en cours de configuration de démarrage

Globalement : qu’avons-nous réalisé ? Tous les appareils d’un sous-réseau peuvent se voir, mais pas les appareils de l’autre. Dans le prochain numéro, nous traiterons de ce problème et nous nous tournerons également vers le routage statique et les commutateurs L3.
En général, cette leçon peut se terminer ici. Dans la vidéo, vous pouvez voir à nouveau comment les VLAN sont configurés. Pour vos devoirs, configurez les VLAN sur les commutateurs pour les serveurs.

Ici vous pouvez télécharger la configuration de tous les appareils :
Lift-me-Up_Configuration.zip
Et notre projet RT :
Lift-me-UP_v2-VLANs.pkt

P.S.
Ajout important : dans la partie précédente, en parlant de vlan natif, nous vous avions un peu mal informé. Ce type d'opération n'est pas possible sur les équipements Cisco.
Rappelons que nous avons proposé de transmettre les trames non taguées du 101ème vlan au switch msk-rubl-asw1 et de les y recevoir dans le premier.
Le fait est que, comme nous l'avons déjà mentionné ci-dessus, du point de vue de Cisco, le même numéro de VLAN doit être configuré des deux côtés sur les commutateurs, sinon des problèmes avec le protocole STP commencent et dans les journaux, vous pouvez voir des avertissements concernant réglage incorrect. Par conséquent, nous transférons le 101ème VLAN vers l'appareil de la manière habituelle, les trames seront étiquetées et, par conséquent, le 101ème VLAN doit également être créé sur msk-rubl-asw1.

Encore une fois, nous tenons à souligner que peu importe nos efforts, nous ne pourrons pas couvrir toutes les nuances et subtilités, c'est pourquoi nous ne nous fixons pas une telle tâche. Des choses comme le principe de construction d'une adresse MAC, la signification du champ Ether Type ou pourquoi le CRC est nécessaire à la fin de la trame, vous devrez étudier par vous-même. Ajouter des balises

VLAN- ce sont des réseaux virtuels qui existent au deuxième niveau du modèle OSI. Autrement dit, le VLAN peut être configuré au deuxième niveau. Si nous examinons les VLAN, en faisant abstraction du concept de « réseaux virtuels », nous pouvons dire qu'un VLAN est simplement une étiquette dans une trame transmise sur le réseau. L'étiquette contient le numéro de VLAN (appelé VLAN ID ou VID), auquel 12 bits sont alloués, c'est-à-dire que le VLAN peut être numéroté de 0 à 4095. Le premier et le dernier numéro sont réservés et ne peuvent pas être utilisés. En règle générale, les postes de travail ne savent rien des VLAN (sauf si vous configurez spécifiquement les VLAN sur les cartes). Les commutateurs pensent à eux. Les ports du commutateur indiquent dans quel VLAN ils se trouvent. En fonction de cela, tout le trafic sortant via le port est marqué d'une étiquette, c'est-à-dire un VLAN. Chaque port possède donc un PVID ( identifiant du port VLAN Ce trafic peut ensuite passer par d'autres ports sur le(s) commutateur(s) qui se trouvent dans ce VLAN et ne passera pas par tous les autres ports. En conséquence, un environnement isolé (sous-réseau) est créé, qui, sans appareil supplémentaire(routeur) ne peut pas communiquer avec d’autres sous-réseaux.

Pourquoi les vilans sont-ils nécessaires ?

• La capacité de construire un réseau dont la structure logique ne dépend pas de la structure physique. Autrement dit, la topologie du réseau au niveau de la liaison de données est construite quel que soit l'emplacement géographique des composants constitutifs du réseau.
• La possibilité de diviser un domaine de diffusion en plusieurs domaines de diffusion. Autrement dit, le trafic de diffusion d'un domaine ne passe pas vers un autre domaine et vice versa. Cela réduit la charge sur les périphériques réseau.
• La capacité de sécuriser le réseau contre les accès non autorisés. Autrement dit, au niveau de la liaison, les trames provenant d'autres vilans seront coupées par le port du commutateur, quelle que soit l'adresse IP source dans laquelle le paquet est encapsulé dans cette trame.
• La possibilité d'appliquer des politiques à un groupe d'appareils situés dans le même vilana.
• Possibilité d'utiliser des interfaces virtuelles pour le routage.

Exemples d'utilisation de VLAN

• Connecter des ordinateurs connectés à différents commutateurs en un seul réseau. Supposons que vous ayez des ordinateurs connectés à différents commutateurs, mais qu'ils doivent être combinés en un seul réseau. Nous allons connecter certains ordinateurs à un réseau local virtuel VLAN 1, et autres - au réseau VLAN2. Grâce à la fonction VLAN les ordinateurs de chaque réseau virtuel fonctionneront comme s’ils étaient connectés au même commutateur. Ordinateurs de différents réseaux virtuels VLAN 1 Et VLAN2 seront invisibles les uns aux autres.

• Diviser les ordinateurs connectés au même commutateur en différents sous-réseaux. Dans la figure, les ordinateurs sont physiquement connectés au même commutateur, mais séparés en différents réseaux virtuels. VLAN 1 Et VLAN2. Les ordinateurs de différents sous-réseaux virtuels seront invisibles les uns aux autres.

• Séparation du réseau Wi-Fi invité et du réseau Wi-Fi d'entreprise. Sur la figure, on est physiquement connecté au routeur Borne wifi accéder. Deux points Wi-Fi virtuels portant des noms ont été créés au point Point chaud Et Bureau. À Point chaud Les ordinateurs portables des invités seront connectés via Wi-Fi pour accéder à Internet, et Bureau- les ordinateurs portables d'entreprise. Pour des raisons de sécurité, il est important que les ordinateurs portables invités n'aient pas accès au réseau de l'entreprise. À cet effet, des ordinateurs d'entreprise et un point Wi-Fi virtuel Bureau réunis en un réseau local virtuel VLAN 1, et les ordinateurs portables invités seront sur un réseau virtuel VLAN2. Ordinateurs portables invités du réseau VLAN2 n'aura pas accès au réseau de l'entreprise VLAN 1.

Avantages de l'utilisation du VLAN

• Division flexible des appareils en groupes
• En règle générale, un VLAN correspond à un sous-réseau. Les ordinateurs situés dans différents VLAN seront isolés les uns des autres. Vous pouvez également combiner des ordinateurs connectés à différents commutateurs en un seul réseau virtuel.
• Réduire le trafic de diffusion sur le réseau
• Chaque VLAN représente un domaine de diffusion distinct. Le trafic de diffusion ne sera pas diffusé entre différents VLAN. Si vous configurez le même VLAN sur différents commutateurs, les ports des différents commutateurs formeront un seul domaine de diffusion.
• Sécurité et gestion accrues du réseau
• Dans un réseau divisé en sous-réseaux virtuels, il est pratique d'appliquer des politiques et des règles de sécurité pour chaque VLAN. La stratégie sera appliquée à l’ensemble du sous-réseau, plutôt qu’à un appareil individuel.
• Réduire la quantité d'équipement et câble réseau
• Pour créer un nouveau virtuel réseau local pas besoin d'acheter un commutateur ou d'installer un câble réseau. Cependant, vous devez utiliser des commutateurs gérés plus chers avec prise en charge VLAN.

Ports balisés et non balisés

Lorsqu'un port doit être capable de recevoir ou d'envoyer du trafic provenant de différents VLAN, il doit être dans un état balisé ou partagé. Les concepts de port réseau et de port étiqueté sont les mêmes. Un port à ressources partagées ou balisé peut transporter à la fois des VLAN spécifiés individuellement et tous les VLAN par défaut, sauf indication contraire. Si un port n’est pas balisé, il ne peut transporter qu’un seul VLAN (natif). Si un port n'indique pas dans quel VLAN il se trouve, alors on suppose qu'il est dans un état non balisé dans le premier VLAN (VID 1).

Différents équipements sont configurés différemment dans ce cas. Pour un équipement, vous devez indiquer sur l'interface physique dans quel état se trouve cette interface, et de l'autre, dans un VLAN spécifique, vous devez indiquer quel port est positionné comme - avec ou sans tag. Et s'il est nécessaire que ce port passe par plusieurs VLAN, alors dans chacun de ces VLAN vous devez enregistrer ce port avec une balise. Par exemple, dans les commutateurs Réseaux Enterasys nous devons indiquer dans quel VLAN se trouve un certain port et ajouter ce port à la liste de sortie de ce VLAN afin que le trafic puisse passer par ce port. Si nous voulons que le trafic d'un autre VLAN passe par notre port, nous ajoutons également ce port à la liste de sortie de ce VLAN. Sur l'équipement HP(par exemple, les commutateurs ProCourbe) dans le VLAN lui-même, nous indiquons quels ports peuvent acheminer le trafic de ce VLAN et ajoutons l'état des ports - balisés ou non balisés. Le plus simple sur le matériel Systèmes Cisco. Sur de tels commutateurs, nous indiquons simplement quels ports ne sont pas étiquetés avec quels VLAN (sont en accéder) et quels ports sont dans l'état balisé (dans tronc).

Pour configurer les ports en mode tronc des protocoles spéciaux ont été créés. L'un d'eux répond à la norme IEEE 802.1Q. Ce standard international, qui est pris en charge par tous les fabricants et est le plus souvent utilisé pour configurer des réseaux virtuels. De plus, différents fabricants peuvent avoir leurs propres protocoles de transfert de données. Par exemple, Cisco créé un protocole pour ses équipements ISL (Lisque entre commutateurs).

Routage Intervlan

Qu’est-ce que le routage inter-vlan ? Il s'agit d'un routage de sous-réseau normal. La seule différence est que chaque sous-réseau correspond à un VLAN de deuxième niveau. Qu'est-ce que ça veut dire. Disons que nous avons deux VLAN : VID = 10 et VID = 20. Au deuxième niveau, ces VLAN divisent un réseau en deux sous-réseaux. Les hôtes situés dans ces sous-réseaux ne se voient pas. Autrement dit, la circulation est complètement isolée. Pour que les hôtes communiquent entre eux, il est nécessaire d’acheminer le trafic de ces VLAN. Pour ce faire, nous devons attribuer une interface à chaque VLAN au troisième niveau, c'est-à-dire leur attacher une adresse IP. Par exemple, pour VID = 10 adresse IP, ce sera 10.0.10.1/24, et pour VID = 20 adresse IP, ce sera 10.0.20.1/24. Ces adresses serviront en outre de passerelles pour accéder à d’autres sous-réseaux. Ainsi, nous pouvons acheminer le trafic hôte d'un VLAN vers un autre VLAN. Que fait le routage VLAN par rapport au simple routage de réseaux sans VLAN ? Voici quoi :

• La possibilité de devenir membre d'un autre sous-réseau côté client est bloquée. Autrement dit, si un hôte se trouve dans un certain VLAN, même s'il modifie son adressage depuis un autre sous-réseau, il restera toujours dans le VLAN dans lequel il se trouvait. Cela signifie qu'il n'aura pas accès à un autre sous-réseau. Et cela, à son tour, protégera le réseau des « mauvais » clients.
• Nous pouvons mettre plusieurs interfaces de commutateur physiques dans un VLAN. Autrement dit, nous avons la possibilité de configurer immédiatement le routage sur un commutateur de troisième niveau en y connectant les clients du réseau, sans utiliser de routeur externe. Ou nous pouvons utiliser un routeur externe connecté à un commutateur de deuxième couche sur lequel les VLAN sont configurés et créer autant de sous-interfaces sur le port du routeur qu'il y a de VLAN totaux qu'il doit acheminer.
• Il est très pratique d'utiliser le deuxième niveau sous forme de VLAN entre le premier et le troisième niveau. Il est pratique de marquer les sous-réseaux comme VLAN avec des interfaces spécifiques. Il est pratique de configurer un VLAN et d'y placer plusieurs ports de commutation. Et en général, il est pratique de faire beaucoup de choses lorsqu’il existe un VLAN.

La technologie VLAN vous permet de diviser le réseau en segments logiques. Chacun de ces segments logiques possède son propre domaine de diffusion. Le trafic monodiffusion, diffusion et multidiffusion est transmis uniquement entre les appareils inclus dans le même VLAN. Le VLAN est souvent utilisé pour séparer les segments du réseau IP, avec ensuite un routage et un filtrage du trafic entre différents VLAN sur un routeur ou un commutateur L3.

Comment configurer le VLAN sur un routeur Cisco peut être trouvé dans l'article Cisco VLAN - configuration du VLAN sur un routeur Cisco. Nous parlerons ici de la configuration des VLAN sur les commutateurs Cisco Catalyst.

Avant de configurer le VLAN sur le commutateur, vous devez décider si le réseau utilisera VTP (VLAN Trunking Protocol) ou non. L'utilisation de VTP facilite la gestion (créer, supprimer, renommer) des VLAN sur le réseau. Avec VTP, une modification (informations VLAN) peut être effectuée de manière centralisée sur un commutateur, et ces modifications se propageront aux autres commutateurs du réseau. Si vous n'utilisez pas VTP, des modifications doivent être apportées sur chaque commutateur.

VTP a ses limites : les versions VTP 1 et 2 ne prennent en charge que la plage VLAN de base (de 1 à 1005), la prise en charge de la plage étendue (de 1006 à 4094) n'est possible que dans la version 3 du protocole. La prise en charge de la version 3 de VTP commence avec Cisco IOS version 12.2 (52)SE et supérieure. Nous examinerons la configuration du protocole VTP dans un autre article, mais dans cet article, nous supposerons que nous n'utilisons pas VTP.

La configuration d'un VLAN sur un commutateur peut être divisée en trois étapes : création d'un VLAN, configuration des ports et vérification.

1. Créez un VLAN sur Cisco Catalyst

Les numéros de VLAN (VLAN ID) peuvent être compris entre 1 et 4 094 :

1 - 1005 plage de base (plage normale)

1002 - 1005 réservé au Token Ring et au FDDI VLAN

1006 - 4094 gamme étendue

Lors de la création ou de la modification d'un VLAN, vous pouvez définir les paramètres suivants :

En pratique, le plus souvent, lors de la création d'un VLAN, seuls l'ID du VLAN et le nom du VLAN sont précisés

Les valeurs par défaut:

Pour créer un VLAN, vous avez besoin de :

1. Entrez en mode privilégié et saisissez le mot de passe requis (commande " activer«)

Sw1> sw1> activer le mot de passe : sw1#

2. Passer en mode configuration globale (commande " configurer le terminal«)

Sw1# sw1#configure terminal Entrez les commandes de configuration, une par ligne. Terminez par CNTL/Z. sw1(config)#

3. Créez un VLAN avec la commande « VLAN identifiant ", Où identifiant - Numéro VLAN (Après la création, la console sera en mode de configuration VLAN, où vous pourrez définir les paramètres ci-dessus pour le VLAN)

Sw1(config)# sw1(config)#vlan 200 sw1(config-vlan)#

4. Définissez les paramètres nécessaires pour le VLAN créé (par exemple, le nom)

Sw1(config-vlan)# sw1(config-vlan)#nom TESTVLAN sw1(config-vlan)#

Si vous entrez un point d'interrogation en mode de configuration VLAN, les paramètres pouvant être définis pour ce VLAN seront affichés :

Sw1(config-vlan)# ? Commandes de configuration VLAN : sont le nombre maximum de sauts All Route Explorer pour ce VLAN (ou zéro si aucun n'est spécifié) backupcrf Mode CRF de sauvegarde du pont VLAN Caractéristiques de pontage de la sortie du VLAN Appliquer les modifications, modifier le numéro de révision et le mode de sortie Médias Médias type du VLAN mtu Nom de l'unité de transmission maximale du VLAN Nom Ascii du VLAN non Annuler une commande ou définir ses valeurs par défaut Numéro d'identification parent du VLAN parent de FDDI ou de type Token Ring VLAN private-vlan Configurer un VLAN privé à distance Configurer comme distant SPAN Anneau VLAN Numéro d'anneau des VLAN de type FDDI ou Token Ring indiqué IEEE 802.10 SAID arrêt arrêtÉtat de commutation du VLAN État opérationnel du VLAN ste Nombre maximum de sauts Spanning Tree Explorer pour ce VLAN (ou zéro si aucun n'est spécifié) stp Caractéristiques du Spanning Tree du VLAN tb-vlan1 Numéro d'identification du premier VLAN traductionnel pour ce VLAN (ou zéro si aucun) tb-vlan2 Numéro d'identification du deuxième VLAN de traduction pour ce VLAN (ou zéro s'il n'y en a pas)

5. Quittez le mode de configuration du vlan (commande " sortie", ou " fin" - quitter le mode de configuration globale)

Sw1(config-vlan)# sw1(config-vlan)#end sw1#

N'oubliez pas de sauvegarder la configuration avec la commande " copier la configuration en cours de configuration de démarrage» en mode privilégié

Sw1# sw1#copy running-config startup-config Nom du fichier de destination ? Configuration du bâtiment...

Vous pouvez supprimer un VLAN avec la commande « pas de VLAN identifiant » en mode configuration globale :

Sw1(config)# sw1(config)#pas de vlan 200 sw1(config)#

2. Configuration des ports sur Cisco Catalyst

Un port sur un commutateur Cisco peut être dans l'un des modes suivants :

accéder- le port est destiné à connecter un appareil terminal. Appartient à un seul VLAN. Le trafic entrant provenant d'un périphérique connecté au port est marqué avec le VLAN spécifié sur le port.

tronc- le port est destiné à la connexion à un autre switch ou routeur. Le port transporte du trafic étiqueté. Peut transporter le trafic d’un ou plusieurs VLAN via un seul câble physique.

Sur Cisco Catalyst, vous pouvez définir vous-même le mode du port (tronc ou accès) ou définir la détection automatique. Lors de la détection automatique du mode, le port négociera avec son voisin (un commutateur ou un autre périphérique connecté à ce port). La négociation du mode port s'effectue par la transmission de trames DTP (Dynamic Trunking Protocol). Pour que le protocole DTP fonctionne correctement, il faut que les interfaces soient dans le même domaine VTP (ou un des domaines VTP est nul, inexact)

La détection automatique du mode du port se règle avec la commande « mode switchport dynamique auto" ou " " en mode configuration de l'interface.

mode switchport dynamique autotronc" ou " dynamique souhaitable«

Si l'interface est définie sur " mode switchport dynamique souhaitable" - alors le port passe en mode trunk uniquement si le port du switch voisin est réglé sur " tronc" ou " dynamique souhaitable" ou " dynamique auto«

Tous les appareils ne prennent pas en charge le DTP, ou peuvent transmettre de manière incorrecte les trames DTP ; dans ce cas, il est préférable de forcer le mode (accès ou joncteur réseau) à l'aide des commandes " accès au mode switchport" ou " Ligne réseau en mode switchport" en mode configuration de l'interface, et désactivez la transmission des trames DTP avec la commande " port de commutation non négocié«.

Configuration des ports par défaut :

Configuration du port en mode auto-détection.

Actions:

activer«)

configurer le terminal«)

interface identifiant d'interface ", Où identifiant d'interface - nom et numéro de l'interface, par exemple « interface GigabitEthernet0/21″)

- demander mode dynamique port/interface (commande : " mode switchport dynamique auto" ou " mode switchport dynamique souhaitable«)

— (facultatif) définir le VLAN qui sera sur l'interface si le port passe du mode trunk au mode accès, par défaut VLAN 1 (commande : « VLAN d'accès au port de commutation identifiant VLAN ", Où identifiant VLAN - Numéro VLAN)

— (facultatif) définir le VLAN natif, pour le réseau IEEE 802.1q, le VLAN natif 1 par défaut (commande : " VLAN natif de jonction Switchport identifiant VLAN ", Où identifiant VLAN - Numéro de VLAN natif)

— ajouter/supprimer des VLAN dans le trunk, par défaut tous les numéros de VLAN sont autorisés (commandes : " Trunkport de commutation autorisé, ajout de VLAN liste de VLAN » - ajouter au trunk les VLAN listés dans liste de VLAN « tronc de switchport autorisé vlan supprimer liste de VLAN » - supprimer du tronc les VLAN listés dans liste de VLAN V liste de VLAN les vlans sont répertoriés séparés par des virgules sans espaces et les plages sont répertoriées avec un trait d'union, par exemple 2,20,30-40,50 ). Vous pouvez immédiatement définir la liste des VLAN requis (avec la commande : « Trunkport de commutation autorisé VLAN liste de VLAN «)

Pas d'extinction«)

sortie" ou " fin»)

Sw1#configure terminal Entrez les commandes de configuration, une par ligne. Terminez par CNTL/Z. sw1(config)#interface gigabitEthernet 0/23 sw1(config-if)#switchport mode dynamique souhaitable sw1(config-if)#switchport accès vlan 50 sw1(config-if)#switchport trunk natif vlan 100 sw1(config-if) #switchport trunk autorisé vlan 2.30-35.40 sw1(config-if)#pas d'arrêt sw1(config-if)#end sw1#

DANS dans cet exemple le port 23 sera mis en mode trunk si le port du commutateur voisin est réglé en mode automatique dynamique ou en mode dynamique souhaitable ou trunk. Seuls le VLAN 2, les VLAN 30 à 35 et le VLAN 40 seront transmis dans le trunk. Lorsqu'un port fonctionne en mode trunk, le trafic non balisé (natif) qui lui parvient sera placé (marqué) dans le VLAN 100. Si le port sur un le commutateur voisin fonctionne en accès, alors l'interface sera placée dans le VLAN 50.

Mise en place d'un port d'accès.

Le VLAN sur un port d'accès peut être défini de manière statique ou automatique. L'attribution automatique du VLAN est basée sur l'adresse MAC source à l'aide de VQP (VLAN Query Protocol) et VMPS (VLAN Management Policy Server). Seuls les commutateurs des anciens modèles peuvent faire office de serveur VMPS, tels que les séries Catalyst 4000, 5000 et 6500. Nous n'envisagerons pas la configuration automatique d'un port d'accès via VQP dans cet article. Seule l'attribution statique du VLAN sur le port d'accès sera affichée ici.

Pour inclure un port d'accès dans le VLAN requis, vous devez faire :

— entrer en mode privilégié (commande : « activer«)

— passer en mode configuration globale (commande : « configurer le terminal«)

— entrer dans le mode de configuration de l'interface réseau (commande : « interface identifiant d'interface ", Où identifiant d'interface - nom et numéro de l'interface)

— définir le mode port/interface « accès » (commande : « accès au mode switchport«)

— définir le VLAN sur le port/interface (commande : " VLAN d'accès au port de commutation identifiant VLAN ", Où identifiant VLAN - Numéro VLAN)

— activer le port/interface (commande : " Pas d'extinction«)

— sortir du mode configuration de l'interface (commande : " sortie" ou " fin»)

Qu'un serveur soit connecté au 22ème port du switch, qui doit être placé dans le 200ème VLAN

Paramètre de port :

Sw1> sw1>enable Mot de passe : sw1# sw1#configure terminal Saisissez les commandes de configuration, une par ligne. Terminez par CNTL/Z. sw1(config)#interface GigabitEthernet0/22 sw1(config-if)#accès au mode switchport sw1(config-if)#accès au switchport vlan 200 sw1(config-if)#pas d'arrêt sw1(config-if)#exit sw1(config )#quitter sw1#

Configuration du port réseau.

La configuration d'un port en mode trunk est identique à la configuration d'un port en mode de détection automatique, sauf que le mode doit être spécifié non pas comme dynamique, mais comme trunk.

Sw6# sw6#configure terminal Entrez les commandes de configuration, une par ligne. Terminez par CNTL/Z. sw6(config)#interface gigabitEthernet 0/23 sw6(config-if)#switchport mode trunk sw6(config-if)#switchport trunk autorisé vlan 2.30-35.40 sw6(config-if)#pas d'arrêt sw6(config -if)# fin sw6#

Dans l'exemple, une jonction est définie sur le port 23 ; seuls les VLAN 2, les VLAN 30 à 35 et le VLAN 40 sont autorisés dans la jonction.

L'ajout d'un VLAN à un port trunk s'effectue par la commande : « Trunkport de commutation autorisé, ajout de VLANVLAN_NUM«

Un exemple d'ajout des vlans 100 et 200 à ceux existants, dans le port trunk 23 :

Sw6# sw6#configure terminal Entrez les commandes de configuration, une par ligne. Terminez par CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk autorisé vlan ajouter 100 200 sw6(config-if)# sw6(config-if)#end sw6#

La suppression d'un VLAN d'un port trunk s'effectue par la commande : « tronc de switchport autorisé vlan supprimerVLAN_NUM«

Un exemple de suppression des VLAN 100 et 200 des VLAN existants, dans le port tronc 23 :

Sw6# sw6#configure terminal Entrez les commandes de configuration, une par ligne. Terminez par CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk autorisé vlan supprimer 100 200 sw6(config-if)# sw6(config-if)#end sw6#

Certains commutateurs Cisco prennent en charge deux protocoles pour travailler avec les VLAN : IEEE 802.1q et ISL. Le protocole ISL est déjà obsolète et n'est pas pris en charge sur de nombreux commutateurs modernes. Il est donc préférable d'utiliser le protocole IEEE 802.1q

Sur de tels commutateurs, avant de configurer le port en mode trunk, vous devez sélectionner le type d'encapsulation dot1q (commande : " encapsulation de joncteur réseau switchport dot1q» en mode configuration d'interface)

3. Vérifiez les paramètres du VLAN

Afficher les informations sur le protocole VTP : " afficher le statut du VTP«

Afficher des informations sur tous les VLAN du commutateur : " afficher le VLAN«

Affichez des informations sur un VLAN spécifique et découvrez sur quels ports il se trouve : « afficher l'identifiant du VLAN identifiant VLAN «

Visualiser le mode de fonctionnement du port, le vlan natif, le vlan d'accès, etc. : « afficher les interfaces identifiant d'interface port de commutation«

Parfois, il est nécessaire de créer une interface de couche 3 pour un VLAN sur le switch. Par exemple, pour le routage et le filtrage du trafic IP entre différents VLAN (le niveau L3 doit être pris en charge à la fois par le modèle de commutateur lui-même et par Version iOS). Ou créez simplement une interface pour gérer ce commutateur dans un VLAN spécial.

Une interface réseau pour un VLAN est créée en mode configuration globale avec la commande : « interface identifiant VLAN ", Où identifiant VLAN est le numéro de VLAN.

Un exemple de création d'une interface L3 pour le VLAN 200.

À l'heure actuelle, de nombreuses organisations et entreprises modernes n'utilisent pratiquement pas une fonctionnalité aussi utile et souvent nécessaire que l'organisation d'un virtuel (VLAN) dans le cadre d'une infrastructure intégrale fournie par la plupart des commutateurs modernes. Cela est dû à de nombreux facteurs, il convient donc d'en tenir compte. cette technologie du point de vue de la possibilité de son utilisation à de telles fins.

description générale

Tout d’abord, il convient de décider ce que sont les VLAN. Cela signifie un groupe d'ordinateurs connectés à un réseau, qui sont logiquement unis dans un domaine pour envoyer des messages diffusés selon un certain critère. Par exemple, les groupes peuvent être distingués en fonction de la structure de l'entreprise ou du type de travail commun sur un projet ou une tâche. Les VLAN offrent plusieurs avantages. Pour commencer, nous parlons d'une utilisation beaucoup plus efficace de la bande passante (par rapport aux réseaux locaux traditionnels), d'un degré accru de protection des informations transmises, ainsi que d'un schéma d'administration simplifié.

Étant donné que lors de l'utilisation d'un VLAN, l'ensemble du réseau est divisé en domaines de diffusion, les informations au sein d'une telle structure ne sont transmises qu'entre ses membres, et non à tous les ordinateurs du réseau physique. Il s'avère que le trafic de diffusion généré par les serveurs est limité à un domaine prédéfini, c'est-à-dire qu'il n'est pas diffusé à toutes les stations de ce réseau. Cela permet d'obtenir une répartition optimale de la bande passante du réseau entre des groupes d'ordinateurs sélectionnés : les serveurs et les postes de travail de différents VLAN ne se voient tout simplement pas.

Comment se déroulent tous les processus ?

Dans un tel réseau, les informations sont assez bien protégées du fait que l'échange de données s'effectue au sein d'un groupe spécifique d'ordinateurs, c'est-à-dire qu'ils ne peuvent pas recevoir de trafic généré dans une autre structure similaire.

Si nous parlons de ce que sont les VLAN, il convient alors de noter un tel avantage de cette méthode d'organisation que la mise en réseau simplifiée affecte des tâches telles que l'ajout de nouveaux éléments au réseau, leur déplacement et leur suppression. Par exemple, si un utilisateur de VLAN se déplace vers un autre emplacement, l'administrateur réseau n'aura pas besoin de reconnecter les câbles. Il lui suffit de configurer l'équipement réseau depuis son poste de travail. Dans certaines implémentations de tels réseaux, le mouvement des membres du groupe peut être contrôlé automatiquement, sans même nécessiter l'intervention de l'administrateur. Il lui suffit de savoir configurer le VLAN pour effectuer toutes les opérations nécessaires. Il peut créer de nouveaux groupes d'utilisateurs logiques sans même quitter son siège. Cela permet d'économiser beaucoup temps de travail, ce qui peut être utile pour résoudre des problèmes non moins importants.

Méthodes d'organisation des VLAN

Il ya trois diverses options: Basé sur les ports, les protocoles de couche 3 ou les adresses MAC. Chaque méthode correspond à l'une des trois couches inférieures du modèle OSI : respectivement physique, réseau et liaison de données. Si nous parlons de ce que sont les VLAN, il convient de noter la présence d'une quatrième méthode d'organisation - basée sur des règles. Il est rarement utilisé aujourd’hui, bien qu’il offre une plus grande flexibilité. Vous pouvez examiner chacune des méthodes répertoriées plus en détail pour comprendre leurs fonctionnalités.

VLAN basé sur le port

Cela implique une combinaison logique de certains ports de commutateur physiques sélectionnés pour la communication. Par exemple, il peut déterminer que certains ports, par exemple 1, 2 et 5, forment le VLAN1, et que les numéros 3, 4 et 6 sont utilisés pour le VLAN2, et ainsi de suite. Un port de commutateur peut être utilisé pour connecter plusieurs ordinateurs, pour lesquels ils utilisent, par exemple, un hub. Tous seront définis comme membres du même réseau virtuel, sur lequel le port de desserte du commutateur est enregistré. Une telle liaison rigide de l'adhésion au réseau virtuel est le principal inconvénient d'un tel schéma d'organisation.

VLAN basé sur les adresses MAC

Cette méthode est basée sur l'utilisation d'adresses de niveau lien hexadécimales uniques disponibles sur chaque serveur ou poste de travail réseaux. Si nous parlons de ce que sont les VLAN, il convient de noter que cette méthode est considérée comme plus flexible que la précédente, car il est tout à fait possible de connecter des ordinateurs appartenant à différents réseaux virtuels à un seul port de commutateur. De plus, il suit automatiquement le mouvement des ordinateurs d'un port à un autre, ce qui vous permet de conserver l'affiliation client. réseau spécifique sans intervention de l'administrateur.

Le principe de fonctionnement est ici très simple : le switch maintient une table de correspondance entre les adresses MAC des postes de travail et les réseaux virtuels. Dès que l'ordinateur passe à un autre port, le champ d'adresse MAC est comparé aux données du tableau, après quoi la conclusion correcte est tirée quant à l'appartenance de l'ordinateur à un réseau particulier. L'inconvénient de cette méthode est la complexité de la configuration du VLAN, qui peut initialement provoquer des erreurs. Étant donné que le commutateur construit indépendamment les tables d'adresses, l'administrateur réseau doit tout examiner pour déterminer quelles adresses correspondent à quels groupes virtuels, après quoi il les affecte aux VLAN appropriés. Et c'est là qu'il y a place aux erreurs, ce qui arrive parfois dans les VLAN Cisco, dont la configuration est assez simple, mais la redistribution ultérieure sera plus difficile que dans le cas de l'utilisation de ports.

VLAN basé sur les protocoles de couche 3

Cette méthode est assez rarement utilisée dans les interrupteurs au niveau groupe de travail ou département. Il est typique des réseaux fédérateurs équipés d'outils de routage intégrés pour les principaux protocoles de réseau local - IP, IPX et AppleTalk. Cette méthode suppose qu'un groupe de ports de commutateur appartenant à un VLAN spécifique sera associé à un sous-réseau IP ou IPX. Dans ce cas, la flexibilité est assurée par le fait que le mouvement d'un utilisateur vers un autre port appartenant au même réseau virtuel est surveillé par le commutateur et ne nécessite pas de reconfiguration. Le routage VLAN dans ce cas est assez simple, car le commutateur dans ce cas analyse adresses réseau ordinateurs définis pour chacun des réseaux. Cette méthode prend également en charge l'interaction entre différents VLAN sans utiliser d'outils supplémentaires. Il y a aussi un inconvénient cette méthode- le coût élevé des commutateurs dans lesquels il est mis en œuvre. Les VLAN Rostelecom prennent en charge le fonctionnement à ce niveau.

conclusions

Comme vous l'avez déjà compris, les réseaux virtuels sont un outil assez puissant qui peut résoudre des problèmes liés à la sécurité du transfert de données, à l'administration, au contrôle d'accès et à une efficacité d'utilisation accrue.