Прежде чем мы приступим к основам VLAN, я бы попросил всех вас поставить это видео на паузу, нажать на иконку в нижнем левом углу, где написано Networking consultant, зайти на нашу страничку Facebook и поставить там лайк. Затем вернитесь к видео и нажмите на иконку King в правом нижнем углу, чтобы подписаться на наш официальный канал на YouTube. Мы постоянно добавляем новые серии, сейчас это касается курса CCNA, затем мы планируем начать курс видеоуроков CCNA Security, Network+, PMP, ITIL, Prince2 и публиковать эти замечательные серии на нашем канале. 

Итак, сегодня мы поговорим об основах VLAN и ответим на 3 вопроса: что такое VLAN, зачем нам нужна VLAN и как её настроить. Я надеюсь, что после просмотра этого видеоурока вы сможете ответить на все три вопроса.

Что такое VLAN? VLAN – это аббревиатура названия «виртуальная локальная сеть». Дальше по ходу нашего урока мы рассмотрим, почему эта сеть виртуальная, но прежде чем мы перейдем к VLAN, нам нужно понять, как работает свитч. Мы еще раз повторим некоторые из вопросов, которые обсудили на предыдущих уроках. 

Сначала обсудим, что представляет собой Multiple Collision Domain, или домен коллизий. Мы знаем, что этот свитч на 48 портов имеет 48 доменов коллизий. Это означает, что каждый из этих портов или устройств, подключенных к этим портам, может взаимодействовать с другим устройством на другом порту независимым образом, не оказывая друг на друга никакого влияния.

Все 48 портов этого свитча являются частями одного широковещательного домена Broadcast Domain. Это означает, что если несколько устройств подключены к нескольким портам, и одно из них ведет широковещательную передачу, то она появится на всех портах, к которым подключены остальные устройства. Именно так работает свитч.

Это как если бы люди сидели в одной комнате близко друг к другу, и когда один из них что-то громко говорит, то его слышат все остальные. Однако это совершенно неэффективно – чем больше людей будет появляться в комнате, тем шумнее она будет становиться и присутствующие перестанут слышать друг друга. Аналогичная ситуация возникает с компьютерами – чем больше устройств подключается к одной сети, тем больше становится «громкость» широкого вещания, что не позволяет установить эффективную связь. 

Мы знаем, что если одно из этих устройств подсоединено к сети 192.168.1.0/24, все остальные устройства являются частью этой же сети. Свитч также должен быть подсоединен к сети с таким же IP-адресом. Но тут у свитча как устройства 2 уровня OSI может возникнуть проблема. Если два устройства подсоединены к одной сети, они легко могут связаться с компьютерами друг друга. Предположим, что в нашей компании работает «плохой парень», хакер, которого я нарисую сверху. Снизу под ним расположен мой компьютер. Так вот, этому хакеру очень легко проникнуть в мой компьютер, поскольку наши компьютеры являются частью одной сети. Вот в чем состоит проблема. 

Если я принадлежу к административному руководству, и этот новый парень сможет получить доступ к файлам на моем компьютере, будет совсем не хорошо. Конечно, на моем компьютере есть файрвол, защищающий от многих угроз, но хакеру не составит труда его обойти. 

Вторая опасность, существующая для всех, кто является членом этого широковещательного домена, состоит в том, что если у кого-то возникнут неполадки с широковещательной передачей, эта помеха повлияет на другие устройства сети. Хотя все 48 портов могут быть подсоединены к разным хостам, сбой в работе одного хоста повлияет на остальные 47, что совсем нам не нужно.
Для решения этой проблемы мы используем концепцию VLAN, или виртуальную локальную сеть. Она работает очень просто, разделяя этот один большой 48-и портовый свитч на несколько меньших свитчей. 

Мы знаем, что подсети делят одну большую сеть на несколько маленьких сетей, и VLAN работает аналогичным образом. Она разделяет 48–и портовый свитч, например, на 4 свитча по 12 портов, каждый из которых является частью новой присоединенной сети. При этом мы можем использовать 12 портов для управления, 12 портов для работы IP-телефонии и так далее, то есть разделить свитч не физически, а логически, виртуально. 

Я выделил три порта верхнего свитча, обозначенных синим цветом, для «синей» сети VLAN10, а три оранжевых порта назначил для VLAN20. Таким образом, любой трафик с одного из этих синих портов будет поступать только на другие синие порты, не затрагивая остальных портов данного свитча. Аналогично будет распространяться и трафик с оранжевых портов, то есть мы будто бы используем два разных физических свитча. Таким образом, VLAN является способом разделения свитча на несколько свитчей для разных сетей. 

Я нарисовал сверху два свитча, здесь у нас имеется ситуация, когда на левом свитче задействованы соединения только синих портов для одной сети, а на правом — только оранжевых для другой сети, и эти свитчи никак не связаны друг с другом. 

Допустим, вы ходите задействовать больше портов. Представим, что у нас имеется 2 здания, в каждом из которых свой управленческий штат, и два оранжевых порта нижнего свитча используются для управления. Поэтому нам нужно, чтобы эти порты были связаны со всеми оранжевыми портами других свитчей. Аналогичная ситуация с синими портами – все синие порты верхнего свитча должны иметь связь с остальными портами аналогичного цвета. Для этого нам необходимо физически связать эти два свитча в разных зданиях отдельной линией связи, на рисунке это линия между двумя портами зеленого цвета. Как мы знаем, если два свитча соединены физически, у нас образуется магистраль, или транк. 

В чем же заключается разница между обычным и VLAN свитчем? Это не большая разница. Когда вы покупаете новый свитч, то по умолчанию все порты настроены на режим VLAN и являются частью одной сети, обозначаемой как VLAN1. Вот почему когда мы подсоединяем какое-то устройство к одному порту, оно оказывается соединенным со всеми остальными портами, потому что все 48 портов принадлежат одной виртуальной сети VLAN1. Но если мы настроем синие порты на работу в сети VLAN10, оранжевые – в сети VLAN20, а зеленые – VLAN1, то получим 3 разных свитча. Таким образом, использование режима виртуальной сети позволяет нам логически группировать порты под конкретные сети, разделять широковещательную передачу на части и создавать подсети. При этом каждый из портов конкретного цвета принадлежит отдельной сети. Если синие порты будут работать в сети 192.168.1.0 и оранжевые порты будут работать в сети 192.168.1.0, то не смотря на одинаковый IP-адрес, они не будут связаны друг с другом, потому что логически будут принадлежать разным свитчам. А как мы знаем, разные физические свитчи не общаются друг с другом, если не соединены общей линией связи. Таким образом, мы создаем разные подсети для разных VLAN. 

Хочу обратить ваше внимание, что концепция VLAN распространяется только на свитчи. Тот, кто знаком с протоколами инкапсуляции, такими как .1Q или ISL, знает, что ни роутеры, ни компьютеры не имеют никаких VLAN. Когда вы подключает свой компьютер, например, к одному из синих портов, вы ничего не меняете в компьютере, все изменения происходят только на втором уровне OSI, уровне свитча. Когда мы настраиваем порты под работу с конкретной сетью VLAN10 или VLAN20, свитч создает базу данных VLAN. Он «записывает» себе в память, что порты 1,3 и 5 принадлежат VLAN10, 14,15 и 18 порты являются частью сети VLAN20, а остальные задействованные порты являются частями сети VLAN1. Поэтому если какой-то трафик исходит из синего порта 1, он попадает только на порты 3 и 5 этой же сети VLAN10. Свитч «смотрит» в свою базу данных и видит, что если трафик исходит от одного из оранжевых портов, он должен поступать только на оранжевые порты сети VLAN20. 

Однако компьютер ничего не знает об этих сетях VLAN. Когда мы соединяем 2 свитча, то между зелеными портами образуется транк. Термин «транк» актуален только для устройств компании Cisco, остальные производителе сетевых устройств, такие, как Juniper, используют термин Tag port, или «тегированный порт». Я считаю, что название Tag port является более подходящим. Когда из этой сети исходит трафик, транк передает его на все порты следующего свитча, то есть мы соединяем два 48-и портовых свитча и получаем один 96-и портовый свитч. При этом, когда мы отсылаем трафик из VLAN10, он становится тегированным, то есть снабжается меткой, которая показывает, что он предназначен только для портов сети VLAN10. Второй свитч, получив данный трафик, считывает тег и понимает, что это трафик именно для сети VLAN10 и должен поступать только на синие порты. Точно так же «оранжевый» трафик для VLAN20 снабжен тегом, который указывает, что он предназначается для портов VLAN20 второго свитча. 

Мы также упомянули инкапсуляцию, и здесь имеется два метода инкапсуляции. Первый – это .1Q, то есть когда мы организуем транк, мы должны обеспечить инкапсуляцию. Протокол инкапсуляции .1Q – это открытый стандарт, описывающий процедуру тегирования трафика. Есть и другой протокол под названием ISL, Inter-Switch link, разработанный компанией Cisco, который указывает на принадлежность трафика определенной VLAN. Все современные свитчи работают с протоколом .1Q, поэтому, достав новый свитч из коробки, вам не нужно использовать никаких команд инкапсуляции, потому что по умолчанию она осуществляется протоколом .1Q. Таким образом, после создания транка инкапсуляция трафика происходит автоматически, что позволяет считывать теги. 

Теперь давайте приступим к настройке сети VLAN. Создадим сеть, в которой будет 2 свитча и два конечных устройства – компьютеры PC1 и PC2, которые мы соединим кабелями со свитчем #0. Начнем с основных настроек свитча Basic Configuration.

Для этого щелкнем по свитчу и зайдем в интерфейс командной строки, а затем зададим имя хоста, назвав этот свитч sw1. Теперь перейдём к настройкам первого компьютера и зададим статический IP-адрес 192.168.1.1 и маску подсети 255.255. 255.0. Адрес шлюза по умолчанию не нужен, потому что все наши устройства находятся в одной сети. Далее мы проделаем все то же самое для второго компьютера, назначив ему IP-адрес 192.168.1.2. 

Теперь вернемся к первому компьютеру, чтобы пропинговать второй компьютер. Как видим, пингование прошло удачно потому что оба эти компьютеры подсоединены к одному свитчу и являются частью одной и той же сети по умолчанию VLAN1. Если сейчас посмотреть на интерфейсы свитча, мы увидим, что все порты FastEthernet от 1 до 24 и два порта GigabitEthernet настроены на VLAN #1. Однако такая излишняя доступность не нужна, поэтому мы входим в настройки свитча и вводим команду show vlan, чтобы посмотреть на базу данных виртуальных сетей. 

Вы видите здесь название сети VLAN1и то, что все порты свитча принадлежат этой сети. Это означает, что можно подсоединиться к любому порту, и все они смогут «общаться» друг с другом, потому что являются частью одной и той же сети.

Мы изменим эту ситуацию, для этого сначала создадим две виртуальные сети, то есть добавим VLAN10. Для создания виртуальной сети используется команда вида «vlan номер сети».
Как видите, при попытке создать сеть система выдала сообщение с перечнем команд конфигурации VLAN, которые нужно использовать для этого действия: 

exit – применить изменения и выйти из настроек;
name – ввести пользовательское название VLAN;
no – отменить команду или установить её по умолчанию. 

Это означает, что перед тем, как ввести команду создать VLAN, нужно ввести команду name, которая включает режим управления названиями, а затем перейти к созданию новой сети. При этом система выдает подсказку, что номер сети VLAN можно назначить в диапазоне от 1 до 1005. 
Итак, теперь мы вводим команду создать сеть VLAN под номером 20 – vlan 20, а затем задаем ей название для пользователя, которое показывает, что это за сеть. В нашем случае мы используем команду name Employees, или сеть для сотрудников компании. 

Теперь нам нужно назначить для этой VLAN конкретный порт. Мы заходим в режим настроек свитча int f0/1, затем вручную переводим порт в режим Access командой switchport mode access и указываем, какой именно порт нужно перевести в этот режим – это порт для сети VLAN10. 

Мы видим, что после этого цвет точки соединения PC0 и свитча, цвет порта, поменялся с зеленого на оранжевый. Он опять станет зеленым, как только изменения настроек войдут в силу. Попытаемся пропинговать второй компьютер. Мы не вносили никаких изменений в настройки сети для компьютеров, они по-прежнему имеют IP-адреса 192.168.1.1 и 192.168.1.2. Но если мы попытаемся с компьютера PC0 пропинговать компьютер PC1, у нас ничего не получится, потому что теперь эти компьютеры принадлежат к разным сетям: первый к VLAN10, второй – к native VLAN1. 

Вернемся к интерфейсу свитча и настроим второй порт. Для этого я введу команду int f0/2 и повторю для сети VLAN 20 те же шаги, что и при настройке предыдущей виртуальной сети. 
Мы видим, что теперь нижний порт свитча, к которому подсоединен второй компьютер, так же поменял свой цвет с зеленого на оранжевый – должно пройти несколько секунд, прежде чем изменения в настройках войдут в силу и он опять станет зеленым. Если снова запустить пингование второго компьютера, у нас ничего не получится, потому что компьютеры по-прежнему принадлежат к разным сетям, только PC1 теперь является частью не VLAN1, а VLAN20. 
Таким образом, вы разделили один физический свитч на два разных логических свитча. Вы видите, что сейчас цвет порта поменялся с оранжевого на зеленый, порт заработал, но все равно не пингуется, потому что принадлежит к другой сети. 

Внесем изменения в нашу схему – отсоединим компьютер PC1 от первого свитча и подключим его ко второму свитчу, а сами свитчи соединим кабелем.

Для того, чтобы установить между ними связь, я войду в настройки второго свитча и создам VLAN10, присвоив ей название Management, то есть сеть управления. Затем я включу режим Access и укажу, что этот режим предназначен для сети VLAN10. Теперь цвет портов, через которые соединены свитчи, изменился с оранжевого на зеленый, потому что они оба настроены на VLAN10. Сейчас нам нужно создать транк между обоими свитчами. Оба эти порта являются Fa0/2, поэтому нужно создать транк для порта Fa0/2 первого свитча, используя команду switchport mode trunk. То же самое нужно проделать для второго свитча, после чего между этими двумя портами образуется транк.

Теперь, если я захочу пропинговать с первого компьютера компьютер PC1, все получится, потому что связь между PC0 и свитчем #0 – это сеть VLAN10, между свитчем #1 и PC1 тоже VLAN10, а оба свитча соединены транком. 

Итак, если устройства расположены в разных сетях VLAN, то они не связаны друг с другом, а если в одной сети, то между ними можно осуществить свободный обмен трафиком. Попробуем добавить к каждому свитчу еще по одному устройству. 

В сетевых настройках добавленного компьютера PC2 я установлю IP-адрес 192.168.2.1, а в настройках PC3 – адрес 192.168.2.2. При этом порты, к которым подсоединены эти два ПК, получат обозначение Fa0/3. В настройках свитча #0 мы установим режим Access и укажем, что данный порт предназначен для VLAN20, и то же самое проделаем для свитча #1.

Если я использую команду switchport access vlan 20, а сеть VLAN20 еще не создана, система выдаст ошибку вида «Access VLAN does not exist”, потому что свитчи настроены на работу только с VLAN10.

Давайте создадим VLAN20. Я использую команду «показать VLAN», чтобы просмотреть базу данных виртуальных сетей. 

Вы видите, что сетью по умолчанию является VLAN1, к которой подсоединены порты от Fa0/4 до Fa0/24 и Gig0/1, Gig0/2. Виртуальная сеть под номером 10 с названием Management подключена к порту Fa0/1, а сеть VLAN под номером 20 с названием по умолчанию VLAN0020 подключена к порту Fa0/3. 

В принципе, название сети не имеет значения, главное, чтобы оно не повторялось для разных сетей. Если я хочу заменить имя сети, которое система присваивает по умолчанию, я использую команду vlan 20 и name Employees. Я могу поменять это имя на другое, например, на IPphones, и если мы пропингуем IP-адрес 192.168.2.2, то увидим, что имя VLAN не имеет никакого значения. 
Последнее, что я хочу упомянуть – это назначение Management IP, о котором мы говорили на последнем уроке. Для этого мы используем команду int vlan1 и вводим IP-адрес 10.1.1.1 и маску подсети 255.255.255.0, а затем добавляем команду no shutdown. Мы назначили Management IP не для всего свитча, а только для портов VLAN1, то есть назначили IP-адрес, с которого осуществляется управление сетью VLAN1. Если мы хотим осуществить управление VLAN2, нам нужно создать соответствующий интерфейс для VLAN2. В нашем случае имеются синие порты VLAN10 и оранжевые порты VLAN20, которым соответствуют адреса 192.168.1.0 и 192.168.2.0.
VLAN10 должна иметь адреса, расположенные в этом же диапазоне, чтобы к ней могли подсоединятся соответствующие устройства. Аналогичная настройка должна быть произведена и для VLAN20. 

В этом окне командной строки свитча показаны настройки интерфейса для VLAN1, то есть native VLAN. 

Для того, чтобы настроить Management IP для VLAN10, мы должны создать интерфейс int vlan 10, а затем добавить IP-адрес 192.168.1.10 и маску подсети 255.255.255.0. 

Для настройки VLAN20, мы должны создать интерфейс int vlan 20, а затем добавить IP-адрес 192.168.2.10 и маску подсети 255.255.255.0. 

Зачем это нужно? Если компьютер PC0 и верхний левый порт свитча #0 принадлежат к сети 192.168.1.0, PC2 относится к сети 192.168.2.0 и подключен к порту native VLAN1, который относится к сети 10.1.1.1, то PC0 не может установить связь с этим свитчем по протоколу SSH, потому что они принадлежат к разным сетям. Поэтому для того, чтобы PC0 мог связаться со свитчем по протоколу SSH или Telnet, мы должны предоставить ему доступ Access. Вот зачем нам нужно управление сетью. 

Мы должны иметь возможность связать PC0 с помощью SSH или Telnet с IP-адресом интерфейса VLAN20 и внести любые нужные нам изменения через SSH. Таким образом, Management IP необходим именно для настройки VLAN, потому что каждая виртуальная сеть должна иметь свое собственное управление доступом. 

В сегодняшнем видео мы обсудили много вопросов: основные настройки свитча, создание сетей VLAN, назначение портов VLAN, назначение Management IP для сетей VLAN и настройку транков. Пусть вас не смущает, если вы чего-то не поняли, это естественно, потому что VLAN является очень сложной и обширной темой, к которой мы будем возвращаться в следующих уроках. Я гарантирую, что с моей помощью вы сможете стать «мастерами» VLAN, но смысл этого урока был в том, чтобы разъяснить вам 3 вопроса: что такое сети VLAN, зачем они нам нужны и как их настраивать. 

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Сегодняшний урок мы посвятим продвинутому изучению VLAN. Прежде чем начать, напомню еще раз, чтобы вы не забывали делиться этими видео с друзьями и ставить лайки на нашем канале YouTube и в группе на Facebook. Сегодня мы изучим три темы: Native VLAN, VTP (VLAN Trunk Protocol) и функцию VTP Pruning. Сначала вспомним, что представляет собой транкинг, и затронем темы из двух последних видеоуроков. 

Итак, транк – это соединение, которое мы используем для связи одного свитча с другим свитчем. VLAN – это технология, которая применима только в отношении свитчей, однако любое устройство, говорящее на языке инкапсуляции и связанное со свитчем по протоколу .1Q, понимает всё, что касается VLAN. Компьютеры ничего не знают об этой технологии.

На приведенном рисунке компьютеры PC1, PC2 и PC4 являются частью синей VLAN, как вы помните из предыдущего урока, это VLAN10. Сама по себе линия, обозначенная синим цветом, не имеет никакого отношения к VLAN, потому что VLAN касается только порта свитча. Таким образом, оба порта левого свитча относятся к VLAN10 и любой входящий или исходящий трафик ассоциируется только с этой сетью. Свитч знает, что трафик этих синих портов не имеет никакого отношения к красному порту, потому что это две разные виртуальные линии. 

VLAN это концепция для свитчей, поэтому каждый свитч поддерживает создание и хранение базы данных виртуальных сетей. Это таблица, в которой указано, какой из портов соответствует конкретной VLAN. Таким образом, если свитч получает трафик для PC1, он проверяет, является ли этот трафик частью VLAN10, и направляет его компьютеру. Если трафик с PC1 предназначен для PC4, свитч направит его по транку SW1-SW2. Как только трафик попадает в порт транка первого свитча, он снабжает фрейм заголовком VLAN TAG, в котором содержится идентификатор VLAN ID, в нашем случае это 10. Получив этот трафик, второй свитч считывает информацию фрейма, видит, что это трафик VLAN10, и направляет его на синий порт для PC4. 

Таким образом, транкинг – это процесс передачи трафика между двумя свитчами, а VLAN TAGS – это заголовки фрейма, идентифицирующие конкретную виртуальную сеть и указывающие, в какую сеть должен быть направлен данный трафик. Если по ошибке синий трафик попадет к компьютеру по красной линии, тот даже не будет знать, как его прочитать. Это будто бы кто-то разговаривает на иностранном языке с человеком, который не знает этого языка. Итак, компьютер совершенно не способен распознавать теги VLAN. Компьютер PC3 подсоединен к свитчу через access – порт, а упомянутый нами трафик может пересылаться только через транк-порт. 

Все это особенности 2-го уровня модели OSI, к которому относятся свитчи. Для того, чтобы лучше понять суть VLAN и тегов, мы должны думать, как свитч. Предположим, что свитч – это комната, в которой находятся 5 человек, а вы – хозяин этой комнаты. Три человека под номерами 1,2 и 4 принадлежат к одной группе, а два под номерами 3 и 5 – к другой, и ваша обязанность сделать так, чтобы разговаривать друг с другом могли только люди, принадлежащие к одной и той же группе. 

Продолжим обсуждение концепции native VLAN. Как уже говорилось, каждый порт свитча ассоциируется с определенной VLAN.

Например, два порта первого свитча связаны с VLAN10, третий access-порт с VLAN20, а четвертый – это транк-порт. Точно так же SW2 связан с PC4 через порт VLAN10, с PC5- через access-порт VLAN20 и с хабом через транк-порт. Однако у нас имеется одна проблема – свитчи дорого стоят, поэтому часто используется схема, при которой два свитча связаны друг с другом через хаб. Два свитча соединены с хабом с помощью транков, но сам хаб ничего не знает о концепции VLAN, он просто копирует сигнал. Как мы уже сказали, если трафик VLAN напрямую направить к компьютеру, он его отбросит, потому что не поймет, что это такое. Как же нам быть с компьютером PC6, который соединен с хабом напрямую, если он собирается установить связь с компьютером PC4? 

Компьютер PC6 отправляет трафик, который поступает на свитч SW2. Получив этот трафик, свитч видит, что фрейм не имеет тега VLAN и не знает, в какую сеть его направить – VLAN10 или VLAN20. Для такого случая компания Cisco создала технологию, которая носит название Native VLAN, и по умолчанию VLAN1 является Native VLAN. 

Предположим, у нас имеется ещё один компьютер, я нарисую его над свитчем SW2, и этот ПК соединен со свитчем через порт VLAN1. Такой же компьютер расположен над SW1 и тоже соединен с ним через VLAN1. Я нарисую еще один компьютер под правым свитчем.

Два компьютера, соединенные со свитчем SW2 через VLAN1, могут общаться друг с другом, но не способны связаться с другими компьютерами. Когда свитч получает через транк нетегированный трафик, он считает, что этот трафик адресован сети VLAN1, или Native VLAN, и направляет его компьютерам, подсоединенным к портам VLAN1. Аналогичным образом, когда свитч получает нетегированный трафик PC6, он адресует его сети VLAN1. 

Что произойдет, если у нас на красной линии VLAN20 имеется IP-телефон Cisco, который подсоединен к компьютеру PC5 и свитчу SW2? Это типичная схема расположения офисного сетевого оборудования. В данном случае также используется концепция Native VLAN. Как я говорил, компьютер не знает, что такое VLAN, а телефон – знает. Вопрос состоит в том, сможем ли мы отсылать данные и голосовой сигнал по одной и той же VLAN. Это очень опасная ситуация, потому что если компьютер находится на одной линии связи с IP-телефоном, хакер легко может подсоединиться к такому каналу связи и использовать Wireshark для перехвата голосовых пакетов. Далее он может конвертировать эти голосовые пакеты в звуковой файл и подслушать любой телефонный разговор. Поэтому на практике голосовой трафик и трафик с данными никогда не передаются по одной и той же линии VLAN. Как же это можно настроить?

Мы превращаем порт, к которому подсоединен IP-телефон, в транк-порт, и считаем, что любой трафик, проходящий через этот порт – это голосовой трафик сети VLAN30. Любой IP-телефон Cisco использует протокол инкапсуляции 802.1q, который принято называть сокращенно .1Q или Dot 1Q. Таким образом, когда трафик с телефона попадает в соответствующий порт, свитч понимает, что это голосовой трафик VLAN30. У нас должен иметься другой телефон, который подсоединен к свитчу SW, который тоже является частью VLAN30.

Что же в этом случае происходит с компьютером PC4, который подсоединен к свитчу через access- порт? Ведь весь трафик, которым этот компьютер обменивается со свитчем, принадлежит синей VLAN10. Однако компьютер PC5 соединен со свитчем через транк, а для транка мы не настраиваем никакой VLAN! В этом случае порт работает в режиме trunk, а не access, поэтому мы не можем использовать команду switchport access VLAN#. Здесь используется та же концепция, что и в случае с компьютером PC6 – если свитч получает нетегированный трафик, он направляет его на порт сети native VLAN, по умолчанию это VLAN1. 

Возникает вопрос, можно ли изменить native VLAN. Ответ – да, вы можете это сделать, например, в случае с красной линией можно поменять native VLAN на VLAN20, и тогда свитч будет направлять красный трафик от PC5 в сеть VLAN20. Поскольку оба свитча связаны транком, свитч SW2, получив трафик VLAN20, посчитает его трафиком native VLAN и отправит свитчу SW1 как нетегированный. 

Получив этот трафик, свитч SW1 распознает его как нетегированный native трафик, и поскольку его native VLAN — это VLAN1, отправит данный трафик в эту сеть. Если мы меняем native VLAN, то должны делать это с осторожностью, чтобы убедиться, что все native VLAN во всех свитчах изменились правильным образом, иначе это может вызвать множество проблем.

Это был короткий обзор native VLAN, а теперь мы перейдем к проприетарному протоколу VTP (VLAN Trunking Protocol). В первую очередь вы должны запомнить, что, не смотря на свое название, VTP не является протоколом транкинга. 

Из предыдущих уроков мы знаем, что имеется всего 2 протокола транкинга: проприетарный протокол Cisco под названием ISL и общепринятый протокол 802.1q. 

VTP также является проприетарным протоколом Cisco, но не занимается транкингом в смысле создания магистральных подключений. Предположим, что мы создали VLAN10 на порту первого свитча, к которому подсоединен компьютер. Далее у нас имеется транк SW1-SW2 и транк SW2-SW3. Когда транк-порт SW1 получает трафик компьютера, он знает, что это трафик VLAN10 и пересылает его второму свитчу. Однако второй свитч не знает, что такое VLAN10, потому что к нему не подсоединено ничего кроме транка, поэтому, чтобы принять этот трафик и отправить его дальше, он создает на своих портах VLAN10. Свитч 3 поступит аналогично – получив трафик по транку, он создаст VLAN10.

Можно создать на SW3 два access-порта, и оба будут VLAN10. Предположим, что на всех 3-х свитчах я хочу создать ещё одну сеть – VLAN20. Это станет возможно только после того, как будут созданы порты для VLAN20. Чем больше устройств, компьютеров и свитчей добавляется в вашу сеть, тем сложнее становится создание новых VLAN, поэтому Cisco автоматизировала данный процесс, создав VTP.

Если мы создаем новую VLAN, назовем её VLAN30, на одном из свитчей, то на всех остальных свитчах, соединенных транком, автоматически создается такая же сеть VLAN30. 

Дополненная, обновленная база данных VLAN просто рассылается по всем свитчам, после чего вам остается только создать access-порт для компьютера. Без этого протокола вам придется вручную перенастраивать все свитчи. Недостатком VTP является то, что если вы вносите изменения в базу данных VLAN, у неё изменяется revision number — номер ревизии. Обычно, когда вы используете свитч прямо из коробки, все настройки имеют нулевой номер ревизии. Когда вы добавляете новую VLAN, например, десятую, база данных SW1 получает номер ревизии #1. В этом случае второй свитч говорит: «ок, у тебя ревизия 1, а у меня ревизия 0, значит я должен поменять номер своей ревизии на 1 и перекопировать все данные из твоей таблицы VLAN в свою таблицу». То же самое проделывает третий свитч. 

Допустим, теперь 2 свитч добавляет себе VLAN20 и меняет номер ревизии на 2, тогда то же самое должны проделать первый и третий свитч. Каждый раз, когда вы изменяете номер ревизии, протокол проверяет, у кого этот номер выше, и меняет все остальные номера ревизии на этот номер, одновременно обновляя свою таблицу VLAN. Причем VTP безоговорочно доверяет свитчу с наибольшим номером ревизии. 

Представим себе такую ситуацию. В компанию приходит новый сотрудник и обнаруживает где-нибудь в углу свитч, который используется для обучения персонала. Он ничего об этом не знает, видит, что данный свитч выглядит новее, и решает подключить его к общей сети. Он настраивает этот свитч, подключает его, например, к свитчу SW2 и создает транк. И как только он его включает, вся ваша сеть падает! Все перестает работать, потому что связь между компьютерами и свитчами полностью пропадает. 

Почему же это произошло? Максимальный номер ревизии свитчей компании 50, потому что в компании имеется всего 5 VLAN – 10,20,30,40,50. Новый свитч использовался для обучения, к нему подсоединялось больше сетей, в настройки вносилось много изменений, в результате чего его revision number увеличился до 100. При этом у него в базе данных VLAN имеется всего одна сеть под номером 105. 

После того, как SW Training подсоединился к SW2 через транк, второй свитч увидел, что у новичка больший номер ревизии, и принял решение изменить свой номер на высший. При этом он скопировал себе таблицу VLAN нового свитча, автоматически удалив все имеющиеся у него сети VLAN10,20,30…., заменив их одной VLAN105, которой до этого не было в существующей сети. Точно также поступили первый и третий свитч, изменив себе номер ревизии с 50 на 100 и удалив из базы данных старые сети, потому что они не содержались в таблице VLAN свитча SW Training.
У свитча SW1 были созданы access-порты для сети VLAN10, но после обновления ревизии эта сеть пропала. Свитчи устроены таким образом, что если access-порт настроен на работу с сетью, которой нет в базе данных VLAN, данный порт программно отключается. То же самое произошло с сетями VLAN20 и VLAN30 – свитчи не нашли их в обновленной базе данных виртуальных сетей и просто отключили соответствующие access-порты, после чего существующая локальная сеть компании вышла из строя. 

Уверяю вас, что подобное не редко происходит на практике. Лично я дважды был свидетелем события, когда сеть прекращала работу из-за того, что кто-то подключил новый свитч. Так что будьте осторожны, потому что VTP – это очень мощная штука. Cisco считает, что из-за возможности возникновения подобной проблемы VTP лучше вообще не использовать. 

Существует механизм предотвращения сбоя сети, вызванного ошибкой использования VTP. Это механизм доменов VTP, работающий таким образом: если домен одного из свитчей в сети отличается от домена других свитчей, работающих по протоколу VTP, репликация базы данных VLAN этого свитча проводиться не будет. Однако, не смотря на этот механизм, Cisco не советует пользоваться данным протоколом без особой необходимости. 

Однако если вы уверены, что VTP поможет вам при создании сети и что вы сможете ответственно подойти к настройке свитчей, можете попробовать его использовать. VTP имеет 3 режима: Server, Client и Transparent. 

Режим VTP Server позволяет вносить изменения в сеть, то есть создавать, удалять и изменять VLAN из командной строки свитча. По умолчанию этот режим установлен во всех свитчах Cisco. 
Я нарисовал три свитча, первый из них находится в режиме Server, а два других – в режиме Client. Вы можете создать новую VLAN только на первом свитче, после чего база данных будет реплицирована на втором и третьем свитче. Если вы попробуете проделать это со вторым свитчем, то получите ответ: «Я не являюсь сервером, поэтому вы не можете внести подобные изменения в мои настройки». Вот в чем заключается механизм, предотвращающий внесение изменений. Таким образом, вы можете выбрать сервером один из свитчей, внести изменения в его настройки, и они будут повторены на свитчах – клиентах. Однако что делать, если вы не намерены использовать VTP?

Для полного отказа от использования этого протокола вам нужно перевести свитч в режим Transparent. При этом вы не отключаете режим VTP, просто свитч больше не генерирует объявления VTP, не обновляет базы данных VLAN и всегда использует configuration revision number 0. 

Допустим, мы используем режим Transparent для второго свитча. При получении VTP –информации он увидит, что данный протокол на него не распространяется, и просто передаст эту информацию следующему свитчу, который находится в режиме Client, ничего не обновляя в своих собственных настройках. Таким образом, режим Transparent означает отказ от использования VTP конкретным свитчем.

Итак запомните, что режим Server позволяет вносить изменения, режим Client – получать эти изменения, а режим Transparent предотвращает применение изменений по протоколу VTP, передавая их дальше по сети.

Теперь поговорим о концепции под названием VTP Pruning. Предположим, что на свитче SW1 существует две сети VLAN30, красная сеть VLAN20 и две синих сети VLAN10. 

Свитч SW2 не имеет порта для VLAN30. Однако по умолчанию SW1 передает тегированный трафик VLAN10,20 и 30 по транку. Как администратор сети вы знаете, что у свитча SW2 нет VLAN30, однако должны обеспечить корректную передачу любого трафика. Для этого вы используете дополнительную информацию для трафика, исходящего из SW1, с помощью VTP Pruning. Вы настраиваете первый свитч таким образом, что он может передать по транку только трафик сетей VLAN10 и VLAN20, исключая возможность передачи по транку трафика сети VLAN30. Вот что представляет собой концепция VTP Pruning. На следующем видеоуроке мы рассмотрим, как осуществить настройки, о которых я сегодня рассказал. 

Итак, мы обсудили три концепции: Native VLAN, VTP и VTP Pruning. Надеюсь, что вы поняли все из того, что услышали. Если это не так, просмотрите урок еще столько раз, сколько посчитаете нужным, и не стесняйтесь задавать мне вопросы по электронной почте или в комментариях к данному видео. 

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?