Vlan là gì: công nghệ và cấu hình.  Tách mạng bằng VLAN

Chức năng của các thiết bị chuyển mạch hiện đại cho phép bạn tổ chức các mạng ảo (Vlan) để tạo cơ sở hạ tầng mạng linh hoạt. Hiện nay, mạng VLAN vẫn chưa được sử dụng rộng rãi, đặc biệt là trong các mạng doanh nghiệp nhỏ. Điều này phần lớn là do việc định cấu hình các thiết bị chuyển mạch để tổ chức mạng Vlan là một nhiệm vụ rất khó khăn, đặc biệt nếu cơ sở hạ tầng mạng bao gồm một số thiết bị chuyển mạch. Ngoài ra, cấu hình của các thiết bị chuyển mạch khi tạo mạng Vlan, cũng như cấu hình của các chức năng khác, có thể khác nhau đáng kể giữa các thiết bị chuyển mạch từ các công ty khác nhau, do đó các nhà sản xuất thiết bị mạng nổi tiếng như Cisco, HP, 3Com , Allied Telesyn, Avaya, sắp xếp các khóa học đặc biệt về cách làm việc với thiết bị của họ. Rõ ràng là việc đơn giản hóa cấu hình thiết bị của bạn, làm cho quá trình này trở nên trực quan và đơn giản, thậm chí còn hơn thế nữa là phát triển các thỏa thuận chung và một giao diện duy nhất để định cấu hình thiết bị từ các nhà sản xuất khác nhau, rõ ràng không phải là lợi ích của chính nhà sản xuất mà là của người dùng. khá có khả năng hiểu độc lập nhiều khả năng của thiết bị chuyển mạch. Do đó, trong bài viết này, chúng ta sẽ xem xét khả năng tổ chức mạng ảo của các thiết bị chuyển mạch hiện đại và nói về các nguyên tắc cơ bản trong cấu hình của chúng.

Mục đích của mạng ảo

VLAN ảo (Virtual LAN) là một nhóm các nút mạng tạo thành miền lưu lượng phát sóng (Miền phát sóng). Định nghĩa này khá chính xác, nhưng không có nhiều thông tin, vì vậy chúng tôi sẽ cố gắng diễn giải khái niệm mạng ảo khác đi một chút.

Khi tạo mạng cục bộ dựa trên bộ chuyển mạch, mặc dù có khả năng sử dụng các bộ lọc tùy chỉnh để hạn chế lưu lượng truy cập, tất cả các nút mạng đều đại diện cho một miền quảng bá duy nhất, nghĩa là lưu lượng quảng bá được truyền đến tất cả các nút mạng. Do đó, bộ chuyển mạch ban đầu không hạn chế lưu lượng phát sóng và bản thân các mạng được xây dựng theo nguyên tắc này được gọi là phẳng.

Mạng ảo tạo thành một nhóm các nút mạng trong đó tất cả lưu lượng truy cập, bao gồm cả lưu lượng phát sóng, hoàn toàn bị cô lập ở cấp độ liên kết dữ liệu với các nút mạng khác. Điều này có nghĩa là không thể truyền khung giữa các nút mạng thuộc các mạng ảo khác nhau dựa trên địa chỉ lớp liên kết (mặc dù các mạng ảo có thể giao tiếp với nhau ở cấp độ mạng bằng bộ định tuyến).

Việc cô lập các nút mạng riêng lẻ ở cấp liên kết dữ liệu bằng công nghệ mạng ảo cho phép bạn giải quyết một số vấn đề cùng một lúc. Đầu tiên, mạng ảo cải thiện hiệu suất mạng bằng cách bản địa hóa lưu lượng phát sóng trong mạng ảo và tạo ra rào cản chống lại các cơn bão phát sóng. Chuyển tiếp các gói quảng bá (cũng như các gói multicast và không xác định) trong một mạng ảo, nhưng không phải giữa các mạng ảo. Thứ hai, việc cách ly các mạng ảo với nhau ở cấp độ liên kết cho phép bạn tăng cường bảo mật mạng bằng cách khiến một số tài nguyên nhất định không thể truy cập được đối với một số danh mục người dùng nhất định.

Các loại mạng ảo

Kể từ khi xuất hiện tiêu chuẩn được chấp nhận rộng rãi để tổ chức mạng ảo IEEE 802.1Q, mỗi nhà sản xuất thiết bị mạng đã sử dụng công nghệ tổ chức VLAN của riêng mình. Cách tiếp cận này có một nhược điểm đáng kể: công nghệ của một nhà sản xuất không tương thích với công nghệ của các công ty khác. Do đó, khi xây dựng mạng ảo dựa trên nhiều thiết bị chuyển mạch, chỉ cần sử dụng thiết bị của một nhà sản xuất. Việc áp dụng chuẩn mạng ảo IEEE 802.1Q giúp khắc phục được vấn đề không tương thích, nhưng vẫn có những thiết bị chuyển mạch không hỗ trợ chuẩn IEEE 802.1Q hoặc ngoài khả năng tổ chức mạng ảo theo IEEE Chuẩn 802.1Q, cung cấp các công nghệ khác.

Có một số cách để xây dựng mạng ảo, nhưng ngày nay các thiết bị chuyển mạch chủ yếu triển khai công nghệ nhóm cổng hoặc sử dụng thông số kỹ thuật IEEE 802.1Q.

Mạng ảo dựa trên nhóm cổng

Mạng ảo dựa trên cổng thường được triển khai trong cái gọi là Bộ chuyển mạch thông minh hoặc bộ chuyển mạch được quản lý như một phần bổ sung cho khả năng tổ chức Vlan dựa trên tiêu chuẩn IEEE 802.1Q.

Phương pháp tạo mạng ảo này khá đơn giản và theo quy luật, không gây ra vấn đề gì. Mỗi cổng switch được gán cho một hoặc một mạng ảo khác, nghĩa là các cổng được nhóm thành các mạng ảo. Quyết định chuyển tiếp gói mạng trên mạng này dựa trên địa chỉ MAC của người nhận và cổng liên kết của nó. Nếu bạn kết nối PC của người dùng với một cổng được chỉ định thuộc về một mạng ảo cụ thể, ví dụ: VLAN#1, thì PC này sẽ tự động thuộc về mạng VLAN#1. Nếu một switch được kết nối với cổng này thì tất cả các cổng của switch này cũng sẽ thuộc về VLAN#1 (Hình 1).

Cơm. 1. Mạng ảo được xây dựng bằng công nghệ nhóm cổng dựa trên một switch

Khi sử dụng công nghệ nhóm cổng, cùng một cổng có thể được gán đồng thời cho một số mạng ảo, điều này giúp có thể triển khai các tài nguyên được chia sẻ giữa những người dùng của các mạng ảo khác nhau. Ví dụ: để triển khai quyền truy cập được chia sẻ vào máy in mạng hoặc máy chủ tệp giữa những người dùng mạng ảo Vlan#1 và Vlan#2, cổng chuyển đổi mà máy in mạng hoặc máy chủ tệp được kết nối phải được gán đồng thời cho Vlan#1 và Vlan #.2 (Hình 2).

Cơm. 2. Tạo tài nguyên dùng chung giữa một số mạng ảo bằng công nghệ nhóm cổng

Công nghệ được mô tả có một số ưu điểm so với việc sử dụng tiêu chuẩn IEEE 802.1Q, nhưng nó cũng có những nhược điểm.

Những ưu điểm bao gồm sự dễ dàng cấu hình của mạng ảo. Ngoài ra, nó không yêu cầu các nút cuối của mạng hỗ trợ tiêu chuẩn IEEE 802.1Q và vì hầu hết các bộ điều khiển mạng Ethernet không hỗ trợ tiêu chuẩn này nên việc tổ chức mạng dựa trên nhóm cổng có thể dễ dàng hơn. Ngoài ra, với cách tổ chức các mạng ảo như vậy, chúng có thể giao nhau, điều này cho phép bạn tạo các tài nguyên mạng dùng chung.

Công nghệ tạo mạng ảo dựa trên nhóm cổng được sử dụng khi sử dụng một switch duy nhất hoặc sử dụng nhiều switch với sự quản lý thống nhất. Tuy nhiên, nếu mạng đủ lớn và được xây dựng trên nhiều thiết bị chuyển mạch thì khả năng tổ chức mạng ảo dựa trên nhóm cổng sẽ có những hạn chế đáng kể. Trước hết, công nghệ này không có khả năng mở rộng tốt và trong hầu hết các trường hợp chỉ giới hạn ở một công tắc.

Ví dụ: chúng ta hãy xem xét một tình huống trong đó mạng được xây dựng trên cơ sở hai thiết bị chuyển mạch hỗ trợ công nghệ tổ chức mạng ảo dựa trên nhóm cổng (Hình 3).

Cơm. 3. Triển khai mạng ảo dựa trên nhóm cổng sử dụng hai switch

Điều cần thiết là một số cổng của thiết bị chuyển mạch thứ nhất và thứ hai thuộc về VLAN#1, và phần còn lại thuộc về VLAN#2. Để làm được điều này, trước tiên, cả hai thiết bị chuyển mạch đều không chỉ cho phép tổ chức các mạng ảo dựa trên việc nhóm các cổng mà còn phân phối các mạng đó đến một số thiết bị chuyển mạch (không phải tất cả các thiết bị chuyển mạch đều có chức năng như vậy) và thứ hai, càng nhiều thiết bị chuyển mạch vật lý càng tốt. kết nối vì có mạng ảo được tạo. Chúng ta hãy xem xét hai thiết bị chuyển mạch sáu cổng. Trong lần chuyển đổi đầu tiên, cổng 1 và 2 thuộc về VLAN#1, cổng 3 và 4 thuộc về VLAN#2; trong switch thứ hai, cổng 1, 2 và 3 được gán cho VLAN#1 và cổng 4 được gán cho VLAN#2. Để người dùng trên VLAN#1 trên switch đầu tiên có thể giao tiếp với người dùng trên VLAN#1 trên switch thứ hai, các switch phải được kết nối với các cổng thuộc về VLAN#1 (ví dụ: cổng 5 trên switch thứ nhất và thứ hai phải được gán cho VLAN#1). Tương tự, để liên lạc giữa người dùng trên VLAN#2 của switch đầu tiên và người dùng trên VLAN#2 trên switch thứ hai, bạn phải liên kết các switch này thông qua các cổng được gán cho VLAN#2 (đây có thể là cổng 6 trên cả hai switch). Như vậy, vấn đề về khả năng mở rộng của mạng ảo dựa trên công nghệ nhóm cổng được giải quyết (mặc dù không phải trong mọi trường hợp) bằng cách thiết lập các kết nối dự phòng giữa các switch.

Mạng ảo dựa trên chuẩn IEEE 802.1Q

Nếu bạn có cơ sở hạ tầng mạng phát triển với nhiều switch, công nghệ IEEE 802.1Q sẽ là giải pháp hiệu quả hơn cho việc tạo mạng ảo. Trong các mạng ảo dựa trên tiêu chuẩn IEEE 802.1Q, thông tin về sự thuộc về các khung Ethernet được truyền vào một mạng ảo cụ thể sẽ được tích hợp vào chính khung được truyền. Do đó, tiêu chuẩn IEEE 802.1Q xác định các thay đổi đối với cấu trúc khung Ethernet cho phép thông tin Vlan được truyền qua mạng.

Thẻ 4 byte được thêm vào khung Ethernet; các khung như vậy được gọi là khung được gắn thẻ. Các bit bổ sung chứa thông tin về tư cách thành viên của khung Ethernet trong mạng ảo và mức độ ưu tiên của nó (Hình 4).

Thẻ khung được thêm vào bao gồm trường TPID (Mã định danh giao thức thẻ) hai byte và trường TCI (Thông tin kiểm soát thẻ) hai byte. Trường TCI lần lượt bao gồm các trường Ưu tiên, CFI và VID. Trường Ưu tiên 3 bit chỉ định tám mức ưu tiên khung có thể có. Trường VID (VLAN ID) 12 bit là mã định danh mạng ảo. 12 bit này cho phép bạn xác định 4096 mạng ảo khác nhau, nhưng ID 0 và 4095 được dành riêng cho mục đích sử dụng đặc biệt, do đó có thể xác định tổng cộng 4094 mạng ảo trong tiêu chuẩn 802.1Q. Trường CFI (Chỉ báo định dạng Canonical) 1 bit được dành riêng để biểu thị các loại khung mạng khác (Token Ring, FDDI) được truyền qua đường trục Ethernet và luôn bằng 0 đối với khung Ethernet.

Việc thay đổi định dạng khung Ethernet có nghĩa là các thiết bị mạng không hỗ trợ tiêu chuẩn IEEE 802.1Q (các thiết bị như vậy được gọi là Tag-unware) không thể hoạt động với các khung có gắn thẻ và ngày nay phần lớn các thiết bị mạng (đặc biệt là Ethernet mạng) -bộ điều khiển nút cuối mạng) không hỗ trợ tiêu chuẩn này. Vì vậy, để đảm bảo khả năng tương thích với các thiết bị hỗ trợ chuẩn IEEE 802.1Q (Tag-aware devices), các switch IEEE 802.1Q phải hỗ trợ cả khung Ethernet truyền thống, đó là khung Untagged và khung Tagged.

Lưu lượng đến và đi, tùy thuộc vào loại nguồn và người nhận, có thể được hình thành bởi cả khung được gắn thẻ và khung không được gắn thẻ; chỉ trong trường hợp này mới có thể đạt được khả năng tương thích với các thiết bị bên ngoài bộ chuyển mạch. Lưu lượng bên trong switch luôn được hình thành bởi các gói Tagged. Do đó, để hỗ trợ các loại lưu lượng khác nhau và để lưu lượng chuyển mạch nội bộ được hình thành từ các gói Tagged, các khung trên cổng nhận và truyền của switch phải được chuyển đổi theo các quy tắc được xác định trước.

Quy tắc xâm nhập

Chúng ta hãy xem xét kỹ hơn quá trình truyền khung hình qua bộ chuyển mạch (Hình 5). Liên quan đến lưu lượng, mỗi cổng chuyển mạch có thể vừa là đầu vào vừa là đầu ra. Sau khi cổng đầu vào của bộ chuyển mạch nhận được khung, quyết định xử lý tiếp khung đó được đưa ra dựa trên các quy tắc được xác định trước của cổng đầu vào (Quy tắc xâm nhập). Vì khung nhận được có thể là loại Được gắn thẻ hoặc Không được gắn thẻ, nên các quy tắc của cổng đầu vào sẽ xác định loại khung nào sẽ được cổng chấp nhận và loại khung nào sẽ được lọc ra. Có thể thực hiện các tùy chọn sau: chỉ nhận các khung thuộc loại Được gắn thẻ, chỉ nhận các khung thuộc loại Không được gắn thẻ, nhận khung của cả hai loại. Theo mặc định, tất cả các switch đều được cấu hình theo quy tắc cổng đầu vào để có thể chấp nhận cả hai loại khung.

Cơm. 5. Quá trình chuyển tiếp khung trong switch tuân thủ IEEE 802.1Q

Nếu các quy tắc của cổng đầu vào xác định rằng nó có thể nhận được khung Tagged, chứa thông tin về việc thuộc về một mạng ảo cụ thể (VID), thì khung này sẽ được truyền đi mà không sửa đổi. Và nếu có thể làm việc với các khung thuộc loại Không được gắn thẻ, không chứa thông tin thuộc về mạng ảo, thì trước hết khung đó sẽ được chuyển đổi bởi cổng đầu vào của bộ chuyển mạch sang loại Được gắn thẻ (nhớ lại điều đó bên trong việc chuyển đổi tất cả các khung phải có thẻ thuộc về mạng ảo).

Để thực hiện chuyển đổi này, mỗi cổng chuyển đổi được gán một PVID (Mã định danh cổng Vlan) duy nhất, xác định xem cổng đó có thuộc về một mạng ảo cụ thể trong bộ chuyển mạch hay không (theo mặc định, tất cả các cổng chuyển đổi đều có cùng PVID=1). Khung thuộc loại Không được gắn thẻ được chuyển đổi thành loại Được gắn thẻ, được bổ sung bằng thẻ VID (Hình 6). Giá trị của trường VID của khung Không được gắn thẻ đến được đặt bằng giá trị PVID của cổng đến, nghĩa là tất cả các khung Không được gắn thẻ đến sẽ tự động được gán cho mạng ảo bên trong bộ chuyển mạch chứa cổng đến.

Quy định chuyển tiếp gói hàng (Forwarding Process)

Sau khi tất cả các khung đến đã được lọc, chuyển đổi hoặc không thay đổi theo quy tắc của cổng đến, quyết định chuyển tiếp chúng đến cổng đi ra dựa trên các quy tắc chuyển tiếp gói được xác định trước. Quy tắc chuyển tiếp gói trong một switch là các gói chỉ có thể được chuyển tiếp giữa các cổng được liên kết với cùng một mạng ảo. Như đã lưu ý, mỗi cổng được gán một mã định danh PVID, được sử dụng để chuyển đổi các khung Không được gắn thẻ đã nhận, cũng như để xác định xem cổng có thuộc mạng ảo bên trong bộ chuyển mạch với mã định danh VID=PVID hay không. Do đó, các cổng có cùng ID trong cùng một switch sẽ được liên kết với cùng một mạng ảo. Nếu một mạng ảo được xây dựng trên cơ sở một bộ chuyển mạch duy nhất, thì mã định danh cổng PVID, xác định tư cách thành viên của nó trong mạng ảo, là khá đủ. Đúng, các mạng được tạo theo cách này không thể chồng lên nhau vì chỉ có một mã định danh tương ứng với mỗi cổng chuyển mạch. Theo nghĩa này, các mạng ảo được tạo ra sẽ không có tính linh hoạt giống như các mạng ảo dựa trên cổng. Tuy nhiên, IEEE 802.1Q ngay từ đầu đã được thiết kế để xây dựng cơ sở hạ tầng mạng ảo đa chuyển mạch, có thể mở rộng và đây là ưu điểm chính của nó so với công nghệ VLAN dựa trên cổng. Nhưng để mở rộng mạng ra ngoài một switch duy nhất, chỉ ID cổng là không đủ, vì vậy mỗi cổng có thể được liên kết với một số mạng ảo có VID khác nhau.

Nếu địa chỉ đích của gói khớp với một cổng chuyển đổi thuộc cùng mạng ảo với chính gói đó (gói VID và cổng VID hoặc gói VID và cổng PVID có thể giống nhau), thì gói đó có thể được truyền đi. Nếu khung được truyền thuộc về mạng ảo mà cổng đầu ra không được kết nối theo bất kỳ cách nào (VID của gói không khớp với PVID/VID của cổng), thì khung không thể được truyền đi và bị loại bỏ.

Quy tắc đi ra

Khi các khung bên trong bộ chuyển mạch được truyền đến cổng đầu ra, việc chuyển đổi tiếp theo của chúng phụ thuộc vào các quy tắc của cổng đầu ra. Như đã đề cập, lưu lượng bên trong switch chỉ được tạo bởi các gói thuộc loại Tagged và lưu lượng đến và đi có thể được tạo bởi các gói thuộc cả hai loại. Theo đó, các quy tắc cổng đầu ra (Tag Control Rule) xác định xem các khung Tagged có nên được chuyển đổi sang định dạng Untagged hay không.

Mỗi cổng chuyển đổi có thể được cấu hình là Cổng được gắn thẻ hoặc không được gắn thẻ. Nếu cổng đầu ra được xác định là Cổng được gắn thẻ thì lưu lượng đi sẽ được tạo bởi các khung được gắn thẻ với thông tin thuộc về mạng ảo. Do đó, cổng đầu ra không thay đổi loại khung, giữ nguyên chúng như bên trong bộ chuyển mạch. Chỉ có thiết bị tương thích với chuẩn IEEE 802.1Q mới có thể được kết nối với cổng được chỉ định, chẳng hạn như switch hoặc máy chủ có card mạng hỗ trợ mạng ảo của chuẩn này.

Nếu cổng đầu ra của bộ chuyển mạch được xác định là Cổng không được gắn thẻ, thì tất cả các khung gửi đi sẽ được chuyển đổi sang loại Không được gắn thẻ, nghĩa là thông tin bổ sung về việc thuộc về mạng ảo sẽ bị xóa khỏi chúng. Bạn có thể kết nối bất kỳ thiết bị mạng nào với cổng này, bao gồm cả bộ chuyển mạch không tương thích với tiêu chuẩn IEEE 802.1Q hoặc PC khách cuối có card mạng không hỗ trợ mạng ảo theo tiêu chuẩn này.

Cấu hình mạng ảo IEEE 802.1Q

Chúng ta hãy xem các ví dụ cụ thể về cấu hình mạng ảo theo tiêu chuẩn IEEE 802.1Q.

Để tạo mạng Vlan theo chuẩn IEEE 802.1Q, bạn phải thực hiện như sau:

• đặt tên của mạng ảo (ví dụ: Vlan#1) và xác định mã định danh của nó (VID);
• chọn các cổng sẽ thuộc về mạng ảo này;
• đặt quy tắc cho các cổng đầu vào của mạng ảo (khả năng hoạt động với các loại khung, chỉ với các khung Không được gắn thẻ hoặc chỉ với các khung được gắn thẻ);
• đặt PVID giống hệt nhau của các cổng có trong mạng ảo;
• đặt quy tắc cổng đầu ra cho từng cổng mạng ảo bằng cách định cấu hình chúng là Cổng được gắn thẻ hoặc Cổng không được gắn thẻ.

Tiếp theo, bạn cần lặp lại các bước trên cho mạng ảo tiếp theo. Cần nhớ rằng chỉ có thể gán một PVID cho mỗi cổng, nhưng cùng một cổng có thể là một phần của các mạng ảo khác nhau, nghĩa là được liên kết đồng thời với một số VID.

Bảng 1. Đặt đặc điểm cổng khi tạo mạng ảo dựa trên một switch

Ví dụ về xây dựng mạng Vlan dựa trên các switch tương thích với chuẩn IEEE 802.1Q

Bây giờ chúng ta hãy xem các ví dụ điển hình về xây dựng mạng ảo dựa trên các thiết bị chuyển mạch hỗ trợ chuẩn IEEE 802.1Q.

Nếu chỉ có một bộ chuyển mạch có cổng mà máy tính người dùng cuối được kết nối, thì để tạo các mạng ảo cách ly hoàn toàn với nhau, tất cả các cổng phải được khai báo là Cổng Untagget để đảm bảo khả năng tương thích với bộ điều khiển mạng Ethernet của máy khách. Việc các nút mạng thuộc về một VLAN cụ thể được xác định bằng cách chỉ định mã định danh cổng PVID.

Hãy lấy một bộ chuyển mạch tám cổng, trên cơ sở đó tạo ra ba mạng ảo biệt lập VLAN#1, VLAN#2 và VLAN#3 (Hình 7). Cổng chuyển mạch thứ nhất và thứ hai được gán PVID=1. Vì mã định danh của các cổng này trùng với mã định danh của mạng ảo đầu tiên (PVID=VID), nên các cổng này tạo thành mạng ảo Vlan#1 (Bảng 1). Nếu cổng 3, 5 và 6 được gán PVID=2 (giống như VID VLAN#2), thì mạng ảo thứ hai sẽ được hình thành bởi cổng 3, 4 và 8. VLAN#3 được hình thành tương tự dựa trên cổng 5, 6 và 7. Để đảm bảo khả năng tương thích với thiết bị cuối (giả định rằng PC của máy khách mạng có card mạng không tương thích với chuẩn IEEE 802.1Q được kết nối với các cổng chuyển mạch), tất cả các cổng phải được cấu hình là Untagged.

Cơm. 7. Tổ chức 3 mạng VLAN theo chuẩn IEEE 802.1Q trên 1 switch

Nếu cơ sở hạ tầng mạng bao gồm một số bộ chuyển mạch hỗ trợ tiêu chuẩn IEEE 802.1Q thì phải sử dụng nguyên tắc cấu hình hơi khác một chút để liên lạc giữa các bộ chuyển mạch. Chúng ta hãy xem xét hai bộ chuyển mạch sáu cổng hỗ trợ tiêu chuẩn IEEE 802.1Q và trên cơ sở đó cần phải cấu hình ba mạng ảo VLAN#1, VLAN#2 và VLAN#3 cách ly với nhau.

Hãy để mạng ảo đầu tiên bao gồm các máy khách được kết nối với cổng 1 và 2 của bộ chuyển mạch đầu tiên và với cổng 5 và 6 của bộ chuyển mạch thứ hai. VLAN#2 bao gồm các máy khách được kết nối với cổng 3 của bộ chuyển mạch thứ nhất và cổng 1 của bộ chuyển mạch thứ hai, và VLAN#3 bao gồm các máy khách được kết nối với cổng 4 và 5 của bộ chuyển mạch thứ nhất cũng như các cổng 2 và 3 của bộ chuyển mạch thứ hai. Cổng 6 của công tắc thứ nhất và cổng 4 của công tắc thứ hai được sử dụng để liên lạc giữa các công tắc (Hình 8).

Cơm. 8. Tổ chức 3 mạng VLAN theo chuẩn IEEE 802.1Q dựa trên 2 switch

Để định cấu hình các mạng ảo này, trước tiên bạn phải xác định trên mỗi thiết bị chuyển mạch ba mạng ảo Vlan#1, Vlan#2 và Vlan#3, đặt mã định danh của chúng (VID=1 cho Vlan#1, VID=2 cho Vlan#2 và VID=3 cho VLAN#3).

Trên switch đầu tiên, cổng 1 và 2 phải là một phần của VLAN#1, các cổng này được gán PVID=1. Cổng 2 của switch đầu tiên phải được gán cho VLAN#2, trong đó mã định danh cổng được gán giá trị PVID=2. Tương tự, cổng 5 và 6 của switch đầu tiên được đặt thành PVID=3, vì các cổng này thuộc về VLAN#3. Tất cả các cổng được chỉ định trên switch đầu tiên phải được cấu hình là Untagged Port để đảm bảo khả năng tương thích với các card mạng của máy khách.

Cổng 4 của bộ chuyển mạch đầu tiên được sử dụng để liên lạc với bộ chuyển mạch thứ hai và phải chuyển tiếp các khung của cả ba mạng ảo mà không sửa đổi bộ chuyển mạch thứ hai. Do đó, nó phải được cấu hình làm Cổng được gắn thẻ và được bao gồm trong cả ba mạng ảo (được liên kết với VID=1, VID=2 và VID=3). Trong trường hợp này, mã định danh cổng không quan trọng và có thể là bất kỳ thứ gì (trong trường hợp của chúng tôi là PVID=4).

Quy trình tương tự để định cấu hình mạng ảo được thực hiện trên bộ chuyển mạch thứ hai. Cấu hình cổng của hai switch được trình bày trong Bảng. 2.

Bảng 2. Thiết lập đặc điểm cổng khi tạo mạng ảo dựa trên hai switch

Đăng ký tự động trong mạng ảo IEEE 802.1Q

Các ví dụ về mạng ảo được thảo luận có liên quan đến cái gọi là mạng ảo tĩnh (Static VLAN), trong đó tất cả các cổng được cấu hình thủ công, mặc dù rất trực quan nhưng khá thường xuyên với cơ sở hạ tầng mạng phát triển. Ngoài ra, mỗi khi người dùng di chuyển trong mạng, mạng phải được cấu hình lại để duy trì tư cách thành viên của họ trong các mạng ảo nhất định và điều này tất nhiên là cực kỳ không mong muốn.

Có một cách khác để định cấu hình mạng ảo và các mạng được tạo theo cách này được gọi là mạng ảo động (Dynamic VLAN). Trong các mạng như vậy, người dùng có thể tự động đăng ký vào mạng Vlan, sử dụng giao thức đăng ký đặc biệt GVRP (Giao thức đăng ký GARP Vlan). Giao thức này xác định cách các thiết bị chuyển mạch trao đổi thông tin Vlan để tự động đăng ký các thành viên Vlan trên các cổng trên toàn mạng.

Tất cả các thiết bị chuyển mạch hỗ trợ GVRP có thể tự động nhận thông tin đăng ký Vlan từ các thiết bị chuyển mạch khác (và do đó chuyển tiếp tới các thiết bị chuyển mạch khác), bao gồm các thành viên Vlan hiện tại, cổng mà các thành viên Vlan có thể được truy cập, v.v. Để liên lạc từ bộ chuyển mạch này sang bộ chuyển mạch khác, giao thức GVRP sử dụng các thông báo GVRP BPDU (Đơn vị dữ liệu giao thức cầu GVRP). Bất kỳ thiết bị hỗ trợ GVPR nào nhận được tin nhắn như vậy đều có thể tự động tham gia Vlan mà nó được thông báo.

Bài viết trình bày các tính năng của việc thiết lập công nghệ VLAN bằng ví dụ về thiết bị cụ thể.

Chúc một ngày tốt lành, quý khách thân mến. Hôm nay, như thường lệ, theo truyền thống tốt đẹp của chúng ta, tôi sẽ kể cho các bạn nghe một điều thú vị. Và câu chuyện hôm nay sẽ nói về một điều tuyệt vời trong mạng cục bộ có tên là VLAN. Về bản chất, có khá nhiều loại công nghệ này, chúng tôi sẽ không nói về mọi thứ mà chỉ nói về những loại có thể giải quyết vấn đề mà công ty chúng tôi đang phải đối mặt. Công nghệ này đã được các chuyên gia của chúng tôi sử dụng nhiều lần trong hoạt động gia công CNTT trong khu vực. Nhưng lần này, mọi thứ có phần thú vị hơn, bởi vì... thiết bị mà chúng tôi phải làm việc có phần bị “rút gọn” (một nhiệm vụ tương tự trước đó đã được đưa ra trên bộ chuyển mạch D-link DES-1210-28). Nhưng điều đầu tiên trước tiên.

Nó là gìVlan?

Vlan, mạng cục bộ logic (“ảo”), là một nhóm các máy chủ có một bộ yêu cầu chung tương tác như thể chúng được kết nối với một miền quảng bá, bất kể vị trí thực tế của chúng. Vlan có các thuộc tính giống như mạng LAN vật lý nhưng cho phép các trạm cuối nhóm lại với nhau ngay cả khi chúng không nằm trên cùng một mạng vật lý. Việc sắp xếp lại này có thể được thực hiện dựa trên phần mềm thay vì các thiết bị di chuyển vật lý.

Công nghệ này cho phép bạn thực hiện hai nhiệm vụ:

1) nhóm các thiết bị ở cấp liên kết dữ liệu (tức là các thiết bị nằm trong cùng một VLAN), mặc dù chúng có thể được kết nối vật lý với các bộ chuyển mạch mạng khác nhau (ví dụ: ở xa về mặt địa lý);

2) phân biệt giữa các thiết bị (nằm trong các Vlan khác nhau) được kết nối với cùng một bộ chuyển mạch.

Nói cách khác, VLAN cho phép bạn tạo các miền quảng bá riêng biệt, từ đó giảm tỷ lệ lưu lượng phát sóng trên mạng.

Hải cảng- Căn cứVlan

Port-Base VLAN – là một nhóm các cổng hoặc một cổng trên switch là một phần của một VLAN. Các cổng trong Vlan như vậy được gọi là không được gắn thẻ (untagged), điều này là do các khung đến và đi từ cổng không có nhãn hoặc mã định danh. Công nghệ này có thể được mô tả ngắn gọn - Vlan chỉ có trong switch. Chúng tôi sẽ xem xét công nghệ này trên bộ chuyển mạch được quản lý D-link DGS-1100-24.

IEEE 802.1Q

IEEE 802.1Q là một tiêu chuẩn mở mô tả quy trình gắn thẻ lưu lượng truy cập để truyền tải thông tin thành viên Vlan. Để làm điều này, một thẻ chứa thông tin về thành viên VLAN được đặt trong phần thân của khung. Bởi vì thẻ được đặt trong phần thân chứ không phải trong tiêu đề của khung, sau đó các thiết bị không hỗ trợ Vlan truyền lưu lượng truy cập một cách minh bạch, nghĩa là không tính đến sự ràng buộc của nó với Vlan.

Hơi nghiện một chút, cụ thể là quy trình đặt thẻ vào khung được gọi là tiêm.

Kích thước thẻ là 4 byte. Nó bao gồm các trường sau:

• Mã định danh giao thức thẻ (TPID, mã định danh giao thức gắn thẻ). Kích thước trường là 16 bit. Cho biết giao thức nào được sử dụng để gắn thẻ. Đối với 802.1Q, giá trị là 0x8100.
• Sự ưu tiên. Kích thước trường là 3 bit. Được sử dụng theo tiêu chuẩn IEEE 802.1p để đặt mức độ ưu tiên của lưu lượng truyền.
• Chỉ báo định dạng chuẩn (CFI, chỉ báo định dạng chuẩn). Kích thước trường là 1 bit. Cho biết định dạng địa chỉ MAC. 0 - chuẩn, 1 - không chuẩn. CFI được sử dụng cho khả năng tương tác giữa mạng Ethernet và Token Ring.
• Mã định danh Vlan (VID, mã định danh Vlan). Kích thước trường là 12 bit. Cho biết khung thuộc về VLAN nào. Phạm vi giá trị có thể là từ 0 đến 4095.

Các cổng trong 802.1Q

Các cổng có thể ở một trong các chế độ sau:

• Cổng được gắn thẻ (theo thuật ngữ của CISCO - cổng trung kế) - cổng chuyển các gói được gắn thẻ với số Vlan được chỉ định, nhưng bản thân nó không gắn thẻ các gói theo bất kỳ cách nào
• Cổng không được gắn thẻ (theo thuật ngữ của CISCO - cổng truy cập) - cổng truyền lưu lượng không được gắn thẻ cho Vlan được chỉ định một cách trong suốt; nếu lưu lượng truy cập đến các cổng chuyển đổi khác bên ngoài Vlan được chỉ định, thì nó sẽ hiển thị ở đó dưới dạng được gắn thẻ với số lượng Vlan này .
• Cổng không thuộc bất kỳ VLAN nào và không tham gia vào hoạt động của switch

Ví dụ. Có không gian văn phòng trong đó bộ phận nhân sự được chia thành hai tầng, cần tách biệt nhân viên khỏi mạng lưới chung. Có hai công tắc. Hãy tạo Vlan 3 trên cái này và cái kia, chỉ định các cổng sẽ nằm trong một trong các Vlan dưới dạng Cổng Untagget. Để các thiết bị chuyển mạch hiểu được khung được gửi đến Vlan nào, chúng cần một cổng thông qua đó lưu lượng sẽ được gửi đến cùng một Vlan của một thiết bị chuyển mạch khác. Ví dụ: hãy chọn một cổng và chỉ định nó là Tagget. Nếu, ngoài Vlan 3, chúng ta còn có những người khác và PC-1 nằm trong Vlan 3 tìm kiếm PC-2, thì lưu lượng phát sóng sẽ không “di chuyển” khắp mạng mà chỉ trong Vlan 3. Khung đến sẽ được chuyển thông qua bảng MAC, nếu không tìm thấy địa chỉ của người nhận, khung đó sẽ được gửi qua tất cả các cổng của Vlan mà nó đến và cổng Tagget có nhãn Vlan, để một bộ chuyển mạch khác tái tạo chương trình phát sóng đến nhóm cổng được chỉ định trong trường VID. Ví dụ này mô tả một Vlan - một cổng chỉ có thể nằm trong một Vlan.

IEEE 802.1quảng cáo

802.1ad là một tiêu chuẩn mở (tương tự như 802.1q) mô tả thẻ kép. Còn được gọi là Q-in-Q hoặc Vlan xếp chồng. Sự khác biệt chính so với tiêu chuẩn trước đó là sự hiện diện của hai Vlan - bên ngoài và bên trong, cho phép bạn chia mạng không phải thành 4095 Vlan mà thành 4095x4095.

Các kịch bản có thể khác nhau - nhà cung cấp cần “chuyển tiếp” đường trục của máy khách mà không ảnh hưởng đến sơ đồ đánh số Vlan, tải cần được cân bằng giữa các giao diện phụ trong mạng của nhà cung cấp hoặc đơn giản là không có đủ số. Điều đơn giản nhất là tạo một thẻ khác cùng loại.

Bất đối xứngVlan

Trong thuật ngữ D-Link, cũng như trong cài đặt Vlan, có khái niệm về Vlan bất đối xứng - đây là Vlan trong đó một cổng có thể nằm trong một số Vlan.

Trạng thái cổng thay đổi

• Các cổng được gắn thẻ hoạt động như trước
• Có thể gán nhiều cổng cho nhiều Vlan dưới dạng Untagged. Những thứ kia. một cổng hoạt động trên nhiều VLAN cùng lúc dưới dạng Untagged
• Mỗi cổng có một tham số PVID khác - đây là VLAN ID, dùng để đánh dấu lưu lượng truy cập từ cổng này nếu nó đi đến các cổng Tagged và bên ngoài switch. Mỗi cổng chỉ có thể có một PVID

Do đó, chúng tôi nhận thấy một thực tế là bên trong thiết bị, một cổng có thể thuộc nhiều Vlan cùng một lúc, nhưng đồng thời, lưu lượng truy cập rời khỏi cổng được gắn thẻ (TRUNK) sẽ được đánh dấu bằng số mà chúng tôi đặt trong PVID.

Hạn chế: IGMP Snooping không hoạt động khi sử dụng VLAN bất đối xứng.

Tạo VLAN trênD-liên kếtDGS-1100-24.

Những gì có sẵn. Hai công tắc, một trong số đó là D-link DGS-1100-24, công tắc số 2 được kết nối với nó. Công tắc số 2 kết nối các máy của người dùng—chắc chắn là tất cả chúng—cũng như máy chủ, cổng mặc định và bộ lưu trữ mạng.

Nhiệm vụ. Hạn chế bộ phận nhân sự khỏi môi trường chung để có thể truy cập được máy chủ, cổng và bộ lưu trữ mạng.

Hơn hết, switch D-link DGS-1100-24 vừa được lấy ra khỏi hộp. Theo mặc định, hầu hết các switch được quản lý bởi D-Link đều có địa chỉ 10.90.90.90/8. Chúng tôi không quan tâm đến việc có mặt tại công tắc hoặc thay đổi địa chỉ. Có một tiện ích đặc biệt là D-Link SmartConsole Utility, giúp tìm kiếm thiết bị của chúng ta qua mạng. Sau khi cài đặt, khởi chạy tiện ích.

Trước khi chuyển sang cấu hình, hãy chuyển đổi các cổng đúng cách:

1) Chuyển cổng phòng nhân sự từ switch số 2 sang switch số 1

2) Chuyển đổi máy chủ, cổng và bộ lưu trữ mạng từ switch số 2 sang switch số 1

3) Nối công tắc số 2 với công tắc số 1

Sau khi chuyển đổi như vậy, chúng ta thấy hình ảnh sau: các máy chủ, cổng, bộ phận lưu trữ mạng và nhân sự được kết nối với chuyển đổi số 1 và tất cả người dùng khác được kết nối với chuyển đổi số 2.

Nhấp vào nút “Khám phá”

Chọn hộp và nhấp vào biểu tượng bánh răng để mở cửa sổ cài đặt chuyển đổi. Sau khi thiết lập địa chỉ, mặt nạ và cổng, hãy viết mật khẩu, mặc định là quản trị viên.

Nhấp vào “Thêm Vlan” và chỉ định tên và cổng Vlan

Nhấp vào “Áp dụng”

Sau khi tạo các Vlan cần thiết, hãy lưu cài đặt bằng cách nhấp vào “Lưu”, “Lưu cấu hình”

Vì vậy, chúng tôi thấy rằng Vlan 3 không có quyền truy cập vào các cổng 01-08, 15-24 - do đó, không có quyền truy cập vào máy chủ, cổng, bộ lưu trữ mạng, Vlan2 và các máy khách khác - được kết nối với switch số 2. Tuy nhiên, Vlan 2 có quyền truy cập vào máy chủ, cổng và bộ lưu trữ mạng nhưng không có quyền truy cập vào các máy khác. Và cuối cùng, tất cả các máy khác đều nhìn thấy máy chủ, cổng, bộ nhớ mạng nhưng không thấy cổng 05,06.]

Do đó, nếu bạn có kiến ​​thức nhất định về tính năng của thiết bị và kỹ năng gia công CNTT, bạn có thể đáp ứng nhu cầu của khách hàng ngay cả với những thiết bị giá rẻ như bộ chuyển mạch D-Link DGS1100-24.

Tất cả mọi người, Bình an ở cùng bạn!

Hãy tưởng tượng tình huống này. Chúng tôi có văn phòng cho một công ty nhỏ với 100 máy tính và 5 máy chủ. Đồng thời, công ty này tuyển dụng nhiều loại nhân viên khác nhau: quản lý, kế toán, nhân viên nhân sự, chuyên gia kỹ thuật, quản trị viên. Mỗi bộ phận cần phải làm việc trong mạng con riêng của mình. Làm cách nào để phân định lưu lượng truy cập của mạng này? Nói chung, có hai phương pháp như vậy: phương pháp đầu tiên là chia nhóm địa chỉ IP thành các phần nhỏ và phân bổ mạng con riêng cho từng bộ phận, phương pháp thứ hai là sử dụng Vlan.

Vlan (Mạng cục bộ ảo) là một nhóm các nút mạng có lưu lượng truy cập, bao gồm cả phát sóng, hoàn toàn tách biệt ở cấp liên kết dữ liệu với lưu lượng của các nút mạng khác. Trong các mạng hiện đại, Vlan là cơ chế chính để tạo cấu trúc liên kết mạng logic độc lập với cấu trúc liên kết vật lý của nó.

Công nghệ Vlan được định nghĩa trong IEEE 802.1q, một tiêu chuẩn mở mô tả quy trình gắn thẻ để truyền tải thông tin thành viên Vlan. 802.1q đặt một thẻ bên trong khung ethernet để truyền tải thông tin về tư cách thành viên của lưu lượng truy cập trong Vlan.

Hãy xem các trường TAG Vlan:

• TPID (Tag Protocol Identifier) ​​​- gắn thẻ định danh giao thức. Cho biết giao thức nào được sử dụng để gắn thẻ. Đối với 802.1Q, giá trị là 0x8100.
• Ưu tiên - ưu tiên. Được sử dụng để đặt mức độ ưu tiên của lưu lượng truyền (QoS).
• CFI (Chỉ báo định dạng Canoncial) - cho biết định dạng địa chỉ MAC (Ethernet hoặc Token Ring).
• VID (Vlan Indentifier) ​​​​- Mã định danh Vlan. Cho biết khung thuộc về VLAN nào. Bạn có thể đặt một số từ 0 đến 4094.

Khi gửi khung, máy tính không biết nó thuộc VLAN nào - switch thực hiện việc này. Switch biết máy tính được kết nối với cổng nào và dựa vào đó, nó sẽ xác định máy tính này nằm ở VLAN nào.

Switch có 2 loại cổng:

• Cổng được gắn thẻ (được gắn thẻ, trung kế) - một cổng mà qua đó lưu lượng của một số nhóm Vlan có thể được truyền hoặc nhận. Khi truyền qua cổng được gắn thẻ, thẻ Vlan sẽ được thêm vào khung. Được sử dụng để kết nối với các thiết bị chuyển mạch, bộ định tuyến (tức là những thiết bị nhận dạng thẻ Vlan).
• Cổng không được gắn thẻ (không được gắn thẻ, truy cập) - cổng mà các khung không được gắn thẻ được truyền đi. Được sử dụng để kết nối với các nút cuối (máy tính, máy chủ). Mỗi cổng không được gắn thẻ nằm trong một Vlan cụ thể. Khi truyền lưu lượng từ cổng này, thẻ Vlan sẽ bị xóa và lưu lượng không được gắn thẻ sẽ đi đến máy tính (không nhận ra Vlan). Mặt khác, khi nhận được lưu lượng truy cập trên một cổng không được gắn thẻ, thẻ Vlan sẽ được thêm vào cổng đó.

Định cấu hình Vlan trên bộ chuyển mạch được quản lý Dlink DES-3528

Dòng chuyển mạch DES-3528/3552 xStack bao gồm các bộ chuyển mạch truy cập L2+ có thể xếp chồng lên nhau, kết nối an toàn người dùng cuối với mạng doanh nghiệp lớn và doanh nghiệp vừa và nhỏ (SMB). Các thiết bị chuyển mạch cung cấp khả năng xếp chồng vật lý, định tuyến tĩnh, hỗ trợ nhóm phát đa hướng và các tính năng bảo mật nâng cao. Tất cả điều này làm cho thiết bị này trở thành một giải pháp cấp độ truy cập lý tưởng. Switch dễ dàng tích hợp với các switch lõi L3 để tạo thành cấu trúc mạng đa cấp với đường trục tốc độ cao và máy chủ tập trung. Bộ chuyển mạch dòng DES-3528/3552 được trang bị 24 hoặc 48 cổng Ethernet 10/100Mbps và hỗ trợ lên đến 4 cổng đường lên Gigabit Ethernet.

Hãy xem xét các nguyên tắc cấu hình Vlan trên các thiết bị chuyển mạch Dlink được quản lý. Trong quá trình làm việc, chúng tôi sẽ nghiên cứu các cách tạo, xóa, thay đổi Vlan và thêm các loại cổng khác nhau (được gắn thẻ và không được gắn thẻ).

Kết nối với switch được thực hiện thông qua cổng console bằng chương trình HyperTerminal.

Sử dụng lệnh show vlan, chúng ta sẽ thấy thông tin về các VLAN hiện có.

Trong hình trên, bạn có thể thấy ban đầu chỉ có một VLAN mặc định được tạo trên switch, được đặt tên là default. Lệnh show vlan hiển thị các trường sau:

• VID – Mã định danh VLAN
• Loại Vlan – Loại Vlan
• Cổng thành viên – cổng tham gia
• Cổng tĩnh – cổng tĩnh
• Cổng được gắn thẻ hiện tại – cổng được gắn thẻ hiện tại
• Cổng không được gắn thẻ hiện tại – cổng không được gắn thẻ hiện tại
• Cổng được gắn thẻ tĩnh – cổng được gắn thẻ tĩnh
• Cổng không được gắn thẻ tĩnh – cổng không được gắn thẻ tĩnh
• Tổng số bài dự thi – tổng số bài dự thi
• Tên Vlan – Tên Vlan
• Quảng cáo – trạng thái

Hãy tạo một VLAN mới, trong đó các chữ cái đầu AA được sử dụng làm tên và số 22 được sử dụng làm mã định danh. Để thực hiện việc này, chúng ta sẽ sử dụng lệnh create vlan.

Vlan mới chưa bao gồm một cổng duy nhất. Sử dụng config vlan, chúng ta sẽ thay đổi VLAN AA sao cho các cổng được gắn thẻ 10, 14-17 và các cổng 2-5 không được gắn thẻ xuất hiện trong đó.

Sử dụng lệnh show vlan chúng ta sẽ hiển thị thông tin về các VLAN đã tạo.

Được biết, các cổng được gắn thẻ có thể được bao gồm trong một số Vlan và các cổng không được gắn thẻ chỉ có thể được bao gồm trong một Vlan. Hiện tại, cả cổng được gắn thẻ và không được gắn thẻ đều được bao gồm trong Vlan và Vlan AA mặc định. Sử dụng lệnh config vlan, chúng ta sẽ loại bỏ tất cả các cổng được sử dụng trong VLAN AA khỏi VLAN mặc định.

Từ hình trên bạn có thể thấy rằng hiện tại các cổng 2-5, 10, 14-17 chỉ có trong VLAN AA.

Hãy xem xét việc chia mạng thành các Vlan khác nhau. Một mạch đã được lắp ráp trong tủ nối dây và mạng con 10.0.0.0 /8 đã được cấu hình.

Tại thời điểm ban đầu, tất cả các máy tính đều nằm trên cùng một mạng con và ping lẫn nhau. Cần tách chúng ra sao cho PC22, PC20, PC18 nằm trong một VLAN, còn PC 19, PC21 nằm trong một VLAN khác. Để làm điều này, chúng tôi tạo hai Vlan:

• Vlan=10 có tên net1 (PC18, PC20, PC22)
• Vlan=20 có tên net2 (PC19, PC21)

Dựa trên sơ đồ, sơ đồ cấu hình cổng đã được phát triển cho các thiết bị chuyển mạch. Người ta đã tính đến việc cần phải sử dụng các cổng không được gắn thẻ cho máy tính và các cổng được gắn thẻ để kết nối giữa các thiết bị chuyển mạch. Khi định cấu hình bộ chuyển mạch, các cổng được gắn thẻ được đặt trong Vlan=10 và Vlan=20 và các cổng không được gắn thẻ chỉ được đặt trong Vlan mà máy tính thuộc về.

Trên mỗi switch, bạn cần cấu hình các cổng theo sơ đồ. Hình dưới đây minh họa ví dụ về thiết lập SW5. Đầu tiên, một vlan được tạo với mã định danh net1 và nhãn 10. Tiếp theo, chúng ta tạo vlan net2 thứ hai với nhãn 20. Sau đó, chúng ta thêm các cổng switch vào các vlan tương ứng. Cổng 1 được kết nối với PC22, nằm trong VLAN 10. Điều này có nghĩa là 1 cổng sẽ không được gắn thẻ. Cổng thứ hai theo sơ đồ được kết nối với SW4 và phải đi qua 10 và 20 Vlan.

Các switch còn lại được cấu hình theo cách tương tự.

Sử dụng lệnh show vlan, chúng ta sẽ xem từng Vlan mà chúng ta đã tạo.

Một công cụ nhỏ khác có thể tăng khả năng sử dụng một chút: banner. Đây là quảng cáo mà Cisco sẽ hiển thị trước khi cấp phép cho thiết bị.

Switch(config)#banner motd q Nhập tin nhắn TEXT. Kết thúc bằng ký tự "q". Nó chỉ là một biểu ngữ. q Chuyển đổi (cấu hình) #
Sau motd bạn chỉ định một ký tự sẽ báo hiệu rằng dòng đã kết thúc. Trong ví dụ này chúng ta đặt “q”.

Về nội dung của banner. Có một truyền thuyết như thế: một hacker đột nhập vào mạng, đập/lấy trộm thứ gì đó, anh ta bị bắt, và tại phiên tòa anh ta được trắng án và được thả. Tại sao? Nhưng vì trên bộ định tuyến biên giới (giữa Internet và mạng nội bộ), từ “Chào mừng” đã được viết trên biểu ngữ. “Ồ, vì họ hỏi nên tôi đã vào”)). Do đó, việc viết nội dung như “Quyền truy cập bị từ chối!” trong biểu ngữ được coi là một cách làm tốt.

Để sắp xếp kiến ​​thức của bạn theo từng điểm, hãy xem bạn cần làm gì:

1) Thiết lập tên máy chủ. Điều này sẽ giúp bạn nhanh chóng tìm ra vị trí của mình trên mạng thực trong tương lai.
Chuyển đổi (cấu hình) # tên máy chủ HOSTNAME

2) Tạo tất cả các vlan và đặt tên cho chúng
Switch(config)#vlan VLAN-SỐ Switch(config-vlan)#name NAME-OF-VLAN

3) Định cấu hình tất cả các cổng truy cập và đặt tên cho chúng
Switch(config-if)#description DESCRIPTION-OF-InterFACE Switch(config-if)#truy cập chế độ switchport Switch(config-if)#switchport truy cập vlan VLAN-NUMBER

Đôi khi việc cấu hình các giao diện theo đợt sẽ rất thuận tiện:

Msk-arbat-asw3(config)#phạm vi giao diện fastEthernet 0/6 - 10 msk-arbat-asw3(config-if-range)#description FEO msk-arbat-asw3(config-if-range)#truy cập chế độ switchport msk- arbat-asw3(config-if-range)#switchport truy cập vlan 102

4) Định cấu hình tất cả các cổng trung kế và đặt tên cho chúng:
Switch(config-if)#description MÔ TẢ GIAO DIỆN Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk cho phép vlan VLAN-NUMBERS

5) Đừng quên lưu:
Switch#copy Running-config startup-config

Nhìn chung: chúng ta đã đạt được những gì? Tất cả các thiết bị trên một mạng con có thể nhìn thấy nhau, nhưng các thiết bị trên mạng con kia thì không. Trong số tiếp theo, chúng tôi sẽ giải quyết vấn đề này, đồng thời chuyển sang định tuyến tĩnh và chuyển mạch L3.
Nói chung bài học này có thể kết thúc tại đây. Trong video bạn có thể xem lại cách cấu hình vlan. Đối với bài tập về nhà, hãy định cấu hình vlan trên các thiết bị chuyển mạch cho máy chủ.

Tại đây bạn có thể tải xuống cấu hình của tất cả các thiết bị:
Nâng-tôi-Up_Configuration.zip
Và dự án RT của chúng tôi:
Nâng-me-UP_v2-VLANs.pkt

tái bút
Bổ sung quan trọng: ở phần trước, nói về vlan bản địa, chúng tôi đã thông tin sai cho bạn một chút. Loại hoạt động này không thể thực hiện được trên thiết bị của Cisco.
Hãy nhớ lại rằng chúng tôi đã đề xuất truyền các khung không được gắn thẻ của vlan thứ 101 tới bộ chuyển mạch msk-rubl-asw1 và nhận chúng ở đó trong khung đầu tiên.
Thực tế là, như chúng tôi đã đề cập ở trên, theo quan điểm của Cisco, cùng một số vlan phải được cấu hình ở cả hai phía của bộ chuyển mạch, nếu không, các vấn đề với giao thức STP sẽ bắt đầu và có thể thấy cảnh báo về cấu hình không chính xác trong nhật ký. Do đó, chúng ta chuyển vlan thứ 101 vào thiết bị theo cách thông thường, các khung sẽ được gắn thẻ và theo đó, vlan thứ 101 cũng cần được tạo trên msk-rubl-asw1.

Một lần nữa, chúng tôi xin lưu ý rằng dù cố gắng đến đâu, chúng tôi cũng sẽ không thể bao quát hết các sắc thái và sự tinh tế, đó là lý do tại sao chúng tôi không đặt cho mình một nhiệm vụ như vậy. Những thứ như nguyên tắc xây dựng địa chỉ MAC, ý nghĩa của trường Ether Type hay tại sao cần CRC ở cuối khung, bạn sẽ phải tự nghiên cứu. Thêm thẻ

Hiện tại, nhiều tổ chức và doanh nghiệp hiện đại thực tế không sử dụng một tính năng rất hữu ích và thường cần thiết như tổ chức một ảo (Vlan) trong khuôn khổ cơ sở hạ tầng tích hợp, được cung cấp bởi hầu hết các thiết bị chuyển mạch hiện đại. Điều này là do nhiều yếu tố, vì vậy cần xem xét công nghệ này từ góc độ khả năng sử dụng của nó cho những mục đích như vậy.

mô tả chung

Đầu tiên, cần quyết định VLAN là gì. Điều này có nghĩa là một nhóm máy tính được kết nối với mạng, được hợp nhất một cách hợp lý thành một miền để gửi tin nhắn quảng bá theo một tiêu chí nhất định. Ví dụ: các nhóm có thể được phân biệt tùy thuộc vào cấu trúc của doanh nghiệp hoặc theo loại công việc trong một dự án hoặc nhiệm vụ cùng nhau. Vlan cung cấp một số lợi ích. Để bắt đầu, chúng ta đang nói về việc sử dụng băng thông hiệu quả hơn đáng kể (so với các mạng cục bộ truyền thống), mức độ bảo vệ thông tin được truyền đi tăng lên, cũng như sơ đồ quản trị đơn giản hóa.

Vì khi sử dụng Vlan, toàn bộ mạng được chia thành các miền quảng bá nên thông tin trong cấu trúc đó chỉ được truyền giữa các thành viên của nó chứ không phải đến tất cả các máy tính trên mạng vật lý. Hóa ra lưu lượng phát sóng do máy chủ tạo ra bị giới hạn trong một miền được xác định trước, tức là nó không được phát đến tất cả các trạm trên mạng này. Điều này giúp có thể đạt được sự phân bổ băng thông mạng tối ưu giữa các nhóm máy tính được chọn: máy chủ và máy trạm từ các Vlan khác nhau đơn giản là không nhìn thấy nhau.

Làm thế nào để tất cả các quá trình tiến hành?

Trong một mạng như vậy, thông tin được bảo vệ khá tốt khỏi việc trao đổi dữ liệu được thực hiện trong một nhóm máy tính cụ thể, nghĩa là chúng không thể nhận lưu lượng được tạo trong một số cấu trúc tương tự khác.

Nếu chúng ta nói về VLAN là gì, thì cần lưu ý lợi thế của phương pháp tổ chức này là việc đơn giản hóa mạng sẽ ảnh hưởng đến các tác vụ như thêm các phần tử mới vào mạng, di chuyển và xóa chúng. Ví dụ: nếu người dùng Vlan di chuyển đến một vị trí khác, quản trị viên mạng sẽ không cần kết nối lại cáp. Anh ta chỉ cần cấu hình thiết bị mạng từ nơi làm việc của mình. Trong một số triển khai của các mạng như vậy, chuyển động của các thành viên trong nhóm có thể được kiểm soát tự động mà không cần sự can thiệp của quản trị viên. Anh ta chỉ cần biết cách cấu hình VLAN để thực hiện tất cả các thao tác cần thiết. Anh ta có thể tạo các nhóm người dùng hợp lý mới mà không cần rời khỏi chỗ ngồi của mình. Tất cả điều này giúp tiết kiệm đáng kể thời gian làm việc, có thể hữu ích để giải quyết các vấn đề không kém phần quan trọng.

Phương pháp tổ chức VLAN

Có ba tùy chọn khác nhau: dựa trên cổng, giao thức lớp 3 hoặc địa chỉ MAC. Mỗi phương thức tương ứng với một trong ba lớp thấp hơn của mô hình OSI: vật lý, mạng và liên kết dữ liệu. Nếu chúng ta nói về Vlan là gì, thì điều đáng chú ý là sự hiện diện của phương pháp tổ chức thứ tư - dựa trên các quy tắc. Ngày nay nó hiếm khi được sử dụng, mặc dù nó mang lại tính linh hoạt cao hơn. Bạn có thể xem xét từng phương pháp được liệt kê chi tiết hơn để hiểu chúng có những tính năng gì.

VLAN dựa trên cổng

Điều này liên quan đến sự kết hợp logic của các cổng chuyển mạch vật lý nhất định được chọn để liên lạc. Ví dụ: nó có thể xác định rằng một số cổng nhất định, ví dụ: 1, 2 và 5 tạo thành VLAN1 và các số 3, 4 và 6 được sử dụng cho VLAN2, v.v. Một cổng chuyển đổi có thể được sử dụng để kết nối một số máy tính mà chúng sử dụng, chẳng hạn như một hub. Tất cả chúng sẽ được xác định là thành viên của cùng một mạng ảo mà cổng phục vụ của switch được đăng ký. Sự ràng buộc cứng nhắc như vậy đối với tư cách thành viên mạng ảo là nhược điểm chính của sơ đồ tổ chức như vậy.

Vlan dựa trên địa chỉ MAC

Phương pháp này dựa trên việc sử dụng các địa chỉ cấp liên kết thập lục phân duy nhất có sẵn trên mỗi máy chủ hoặc máy trạm trên mạng. Nếu chúng ta nói về Vlan là gì, thì cần lưu ý rằng phương pháp này được coi là linh hoạt hơn so với phương pháp trước, vì hoàn toàn có thể kết nối các máy tính thuộc các mạng ảo khác nhau với một cổng chuyển mạch. Ngoài ra, nó còn tự động theo dõi chuyển động của máy tính từ cổng này sang cổng khác, cho phép bạn duy trì liên kết máy khách với một mạng cụ thể mà không cần sự can thiệp của quản trị viên.

Nguyên lý hoạt động ở đây rất đơn giản: switch duy trì một bảng tương ứng giữa các địa chỉ MAC của máy trạm và mạng ảo. Ngay khi máy tính chuyển sang một số cổng khác, trường địa chỉ MAC sẽ được so sánh với dữ liệu trong bảng, sau đó đưa ra kết luận chính xác về việc máy tính có thuộc một mạng cụ thể hay không. Nhược điểm của phương pháp này là cấu hình VLAN phức tạp, ban đầu có thể gây ra lỗi. Do switch xây dựng các bảng địa chỉ một cách độc lập nên quản trị viên mạng phải xem xét tất cả để xác định địa chỉ nào tương ứng với nhóm ảo nào, sau đó gán chúng cho các VLAN thích hợp. Và đây là nơi có thể xảy ra lỗi, điều này đôi khi xảy ra trong các VLAN của Cisco, cấu hình của chúng khá đơn giản nhưng việc phân phối lại sau đó sẽ khó khăn hơn so với trường hợp sử dụng cổng.

Vlan dựa trên giao thức lớp 3

Phương pháp này hiếm khi được sử dụng trong các chuyển đổi cấp nhóm làm việc hoặc cấp phòng ban. Nó điển hình cho các mạng đường trục được trang bị các công cụ định tuyến tích hợp cho các giao thức mạng cục bộ chính - IP, IPX và AppleTalk. Phương pháp này giả định rằng một nhóm cổng chuyển đổi thuộc về một Vlan cụ thể sẽ được liên kết với một số mạng con IP hoặc IPX. Trong trường hợp này, tính linh hoạt được cung cấp bởi thực tế là việc chuyển động của người dùng sang một cổng khác thuộc cùng một mạng ảo được giám sát bởi bộ chuyển mạch và không yêu cầu cấu hình lại. Định tuyến Vlan trong trường hợp này khá đơn giản, vì switch trong trường hợp này phân tích địa chỉ mạng của các máy tính được xác định cho từng mạng. Phương pháp này cũng hỗ trợ tương tác giữa các Vlan khác nhau mà không cần sử dụng các công cụ bổ sung. Có một nhược điểm của phương pháp này - chi phí cao của các thiết bị chuyển mạch được triển khai. Rostelecom VLAN hỗ trợ hoạt động ở cấp độ này.

kết luận

Như bạn đã hiểu, mạng ảo là một công cụ khá mạnh có thể giải quyết các vấn đề liên quan đến bảo mật truyền dữ liệu, quản trị, kiểm soát truy cập và tăng hiệu quả sử dụng.