Conceptos básicos y ejemplos de configuración de conmutadores
Conocimientos básicos y ejemplos de configuración de conmutadores
1. Conceptos básicos de VLAN
El nombre chino de VLAN (Red de área local virtual) es "Red de área local virtual". ", tenga en cuenta que no es "" (Red privada virtual). La VLAN sirve para dividir lógicamente los dispositivos LAN (nota, no físicamente) en segmentos de red, logrando así la virtualización de la LAN. VLAN es una tecnología de intercambio de datos emergente que divide lógicamente los dispositivos LAN (tenga en cuenta que no está dividido físicamente) en segmentos de red para lograr grupos de trabajo virtuales. Esta tecnología emergente se utiliza principalmente en conmutadores y enrutadores, pero las aplicaciones convencionales todavía están en el conmutador. pero no todos los conmutadores tienen esta función. Sólo los conmutadores con protocolo VLAN de capa 3 o superior tienen esta función. Esto se puede encontrar consultando el manual de instrucciones del conmutador correspondiente.
En 1999, IEEE publicó el borrador del estándar del protocolo 802.1Q para estandarizar la implementación de VLAN. La aparición de la tecnología VLAN permite a los administradores dividir lógicamente diferentes usuarios en la misma LAN física en diferentes dominios de transmisión según los requisitos reales de la aplicación. Cada VLAN contiene un grupo de estaciones de trabajo con las mismas necesidades y sus propiedades son las mismas que las de una LAN formada físicamente. Debido a que está dividida lógicamente, no físicamente, las estaciones de trabajo en la misma VLAN no están restringidas a la misma red física. rango, es decir, estas estaciones de trabajo pueden estar en diferentes segmentos físicos de LAN. A partir de las características de la VLAN, se puede ver que el tráfico de transmisión y unidifusión dentro de una VLAN no se reenviará a otras VLAN, lo que ayuda a controlar el tráfico y, por lo tanto, ayuda a controlar. tráfico, reducir la inversión en equipos, simplificar la gestión de la red y mejorar la seguridad de la red.
El desarrollo de la tecnología de conmutación también ha acelerado la aplicación de nueva tecnología de conmutación (VLAN). Al dividir la red empresarial en segmentos VLAN de red virtual, se puede fortalecer la administración y la seguridad de la red y se puede transmitir datos innecesarios. ser controlado. En una red habilitada para ****, el segmento de red física es un dominio de difusión, mientras que en una red conmutada, el dominio de difusión puede ser una red con un conjunto arbitrariamente elegido de direcciones de red de Capa 2. De esta manera, los grupos de trabajo en la red se pueden dividir según funciones de gestión, rompiendo las restricciones geográficas de las redes habilitadas para ****. Dentro de una misma VLAN, la comunicación entre ellos se produce como si estuvieran en conmutadores separados, independientemente de a qué conmutador estén realmente conectados. Las transmisiones en la misma VLAN solo pueden ser escuchadas por miembros de esa VLAN y no se transmitirán a otras VLAN, controlando así la generación de tormentas de transmisión innecesarias. Los administradores de red pueden configurar el enrutamiento entre VLAN y gestionar completamente el intercambio de información entre diferentes unidades administrativas dentro de la empresa. El conmutador agrupa las VLAN según la dirección MAC de la estación de trabajo del usuario, de modo que los usuarios puedan moverse libremente por la red corporativa y comunicarse fácilmente con otros usuarios en la VLAN independientemente de dónde estén conectados a la red conmutada.
La red VLAN puede estar compuesta por una mezcla de dispositivos de varios tipos de red, tales como: 10M Ethernet, 100M Ethernet, 100M Ethernet y 100M Ethernet: 10M Ethernet, 100M Ethernet, token network, FDDI, CDDI, etc., pueden ser estaciones de trabajo, servidores, concentradores, redes troncales de enlace ascendente, etc.
Además de poder dividir la red en múltiples dominios de transmisión, VLAN también puede controlar eficazmente la aparición de tormentas de transmisión y hacer que la topología de la red sea muy flexible. La topología de la red se ha vuelto muy flexible y también se puede utilizar para controlar el acceso mutuo entre diferentes departamentos y sitios en la red.
VLAN es un protocolo propuesto para resolver el problema de transmisión y seguridad de Ethernet sobre la base de Ethernet. marcos, se agrega un encabezado de VLAN, los usuarios se dividen en grupos de trabajo más pequeños a través de la ID de VLAN y los usuarios entre diferentes grupos de trabajo están restringidos. La ventaja de la LAN virtual es que puede limitar el rango de transmisión, formar grupos de trabajo virtuales y administrar dinámicamente. Red
2. Método de división de VLAN
La implementación de VLAN en el conmutador se puede dividir aproximadamente en seis categorías:
1. VLAN basada en división de puertos
Este es el tipo de VLAN más utilizado. Este es el método más común de división de VLAN y también es el método más utilizado y eficaz. Actualmente, la mayoría de los conmutadores de protocolo VLAN proporcionan este método de configuración de VLAN. Este método de división de VLAN se basa en el puerto de conmutación del conmutador Ethernet. Divide los puertos físicos del conmutador VLAN y los puertos PVC (circuito virtual permanente) dentro del conmutador VLAN en varios grupos. Cada grupo forma una red virtual. equivalente a un conmutador VLAN independiente
Para diferentes departamentos que necesitan acceder entre sí, se pueden reenviar a través del enrutador y, en la ruta de acceso al sitio, el puerto correspondiente en el conmutador, conmutador de enrutamiento o enrutador más cercano al sitio Realice un filtrado de puertos basado en MAC y configure la dirección MAC para pasar para evitar que intrusos ilegales roben IP desde dentro. La posibilidad de que un intruso robe una dirección IP desde dentro y entre desde otro punto de acceso.
Como se puede ver en el método de segmentación en sí, la ventaja de este método de segmentación es que es muy fácil definir VLAN. miembros, siempre y cuando Todos los puertos se puedan definir como grupos VLAN correspondientes, lo cual es adecuado para redes de cualquier tamaño. La desventaja es que si el usuario abandona el puerto original y se mueve a un nuevo puerto en el switch, el puerto debe redefinirse
2. Segmentación de VLAN basada en la dirección MAC
Este tipo de segmentación de VLAN El método se basa en la dirección MAC de cada host, es decir, cada dirección MAC del host se configura con un grupo al que pertenece. El mecanismo de implementación es que cada tarjeta de red corresponde a una dirección MAC única, y el conmutador VLAN rastrea la dirección que pertenece a la VLAN MAC. Los conmutadores VLAN rastrean las direcciones MAC que pertenecen a una VLAN. Este método de VLAN permite a los usuarios de la red conservar automáticamente su membresía en la VLAN cuando se mueven de una ubicación física a otra
A partir de este mecanismo de división, podemos ver que esta división de VLAN La mayor ventaja de este enfoque es que No es necesario reconfigurar la VLAN cuando la ubicación física del usuario se mueve, es decir, de un conmutador a otro. La desventaja de este método es que todos los usuarios deben configurarse durante la inicialización. Si hay cientos, miles o incluso decenas de miles de usuarios, la configuración será muy tediosa, por lo que este método de división suele ser adecuado para LAN pequeñas. Además, este método de división también reducirá la eficiencia de ejecución del conmutador, porque en cada usuario, el conmutador lo configurará y la tarjeta de red del usuario puede reemplazarse con frecuencia, por lo que la VLAN debe configurarse con frecuencia. >
3. VLAN basada en el protocolo de capa de red
Según el protocolo de capa de red, la VLAN se puede dividir en IP, IPX y VLAN. IP, IPX, DECnet, AppleTalk, Banyan y otras redes VLAN. Esta VLAN basada en protocolo de capa de red permite que los dominios de transmisión abarquen múltiples conmutadores VLAN, lo cual resulta muy atractivo para los administradores de red que desean organizar a los usuarios para aplicaciones y servicios específicos porque su membresía de VLAN permanece sin cambios.
La ventaja de este método es que cuando cambia la ubicación física del usuario, no es necesario reconfigurar la VLAN a la que pertenece, y la capacidad de clasificar las VLAN según el tipo de protocolo es muy importante para los administradores de red. Al mismo tiempo, este método no requiere el uso de etiquetas de trama adicionales para identificar las VLAN, lo que reduce el tráfico en la red. La desventaja de este método es que no es eficiente porque lleva tiempo de procesamiento verificar la dirección de la capa de red de cada paquete de datos (en comparación con los dos primeros métodos) y, en general, el chip de conmutación puede verificar automáticamente la dirección Ethernet de los datos. paquete en el encabezado de la red, pero hacer que el chip verifique el encabezado IP requiere un nivel técnico más alto y requiere más tiempo. Por supuesto, esto está relacionado con el método de implementación de cada fabricante.
4. División de VLAN basada en multidifusión IP
La multidifusión IP es en realidad una definición de VLAN, es decir, un grupo de multidifusión IP se considera una VLAN. Este método extiende la VLAN a la. WAN, lo que hace que este método sea más flexible y fácil de expandir a través de enrutadores. Es principalmente adecuado para VLAN compuestas por usuarios de LAN que no se encuentran en la misma área geográfica. Los usuarios de LAN forman VLAN, que no es adecuada para LAN, principalmente porque la eficiencia no es alta.
5. VLAN compuesta por políticas
La VLAN compuesta por políticas puede implementar una variedad de métodos de asignación, incluidos puertos de conmutador VLAN, direcciones MAC, direcciones IP, protocolos de capa de red, etc. Los administradores de red pueden decidir qué tipo de VLAN elegir en función de su modelo de gestión y las necesidades de su organización.
6. Clasificación de VLAN definida por el usuario y no autorizada por el usuario
La VLAN basada en la clasificación definida por el usuario y no autorizada por el usuario se adapta a redes VLAN especiales y se basa en usuarios de red específicos Defina y diseñe una VLAN de acuerdo con los requisitos especiales y permita que los usuarios de grupos que no son VLAN accedan a la VLAN, pero deben proporcionar la contraseña del usuario y ser autenticados por la administración de VLAN antes de poder acceder. Sólo después de la autenticación de administración de VLAN podrá unirse a una VLAN.
3. Ventajas de VLAN
Cualquier tecnología nueva debe tener algunas ventajas clave si quiere ser ampliamente compatible y aplicada. Lo mismo ocurre con la tecnología VLAN. Sus ventajas se reflejan principalmente. en los siguientes varios aspectos:
1. Aumentar la flexibilidad de las conexiones de red
Con la ayuda de la tecnología VLAN, se pueden combinar diferentes ubicaciones, diferentes redes y diferentes usuarios para formar una entorno de red virtual, es tan conveniente de usar como usar una LAN local. La VLAN flexible y efectiva puede reducir el costo de administración de mover estaciones de trabajo o cambiar de ubicación geográfica, especialmente después de que algunas empresas cuyas condiciones comerciales cambian con frecuencia usan VLAN, esta parte de la administración. el costo se reduce considerablemente.
2. Controlar las transmisiones en la red
La VLAN proporciona un mecanismo para establecer un firewall para evitar transmisiones excesivas en la red conmutada. Al utilizar VLAN, se pueden asignar puertos de conmutador o usuarios a un grupo de VLAN específico, que puede estar dentro de una red conmutada o abarcar varios conmutadores, y las transmisiones dentro de una VLAN no se envían fuera de la VLAN. Asimismo, los puertos adyacentes no reciben transmisiones generadas por otras VLAN. Esto reduce el tráfico de transmisión, libera ancho de banda para las aplicaciones de los usuarios y reduce la generación de transmisiones.
3. Mejorar la seguridad de la red
Dado que la VLAN es un dominio de transmisión independiente, las VLAN están aisladas entre sí, lo que mejora en gran medida la utilización de la red y garantiza Para garantizar la seguridad y confidencialidad de En la red, las personas a menudo transmiten algunos datos confidenciales y críticos en la red de área local. Los datos confidenciales deben proporcionar control de acceso y otros medios de seguridad. Un método eficaz y fácil de implementar es limitar el número de usuarios en una red. VLAN para múltiples grupos de transmisión diferentes, administradores de red, prohíbe el acceso no autorizado a aplicaciones en los puertos del conmutador VLAN, puede agrupar aplicaciones según el tipo y los derechos de acceso, aplicaciones restringidas. Los programas y recursos generalmente se colocan en VLAN seguras
IV. Ejemplos de configuración de redes VLAN
Para brindarle una oportunidad real de aprendizaje de ejemplos de configuración, puede configurar una red VLAN para proporcionar una red segura y confiable más detallada.
Para brindarle la oportunidad de aprender ejemplos de configuración reales, a continuación se toma una configuración típica de VLAN de LAN de tamaño mediano como ejemplo para presentar el método más utilizado para configurar VLAN por puerto.
En una empresa hay alrededor de 100 ordenadores. Los principales departamentos que utilizan la red son: departamento de producción (20 ordenadores), departamento de finanzas (15 ordenadores), departamento de recursos humanos (8 ordenadores) y centro de información (. 12 computadoras).
La estructura básica de la red es: toda la red troncal está compuesta por tres conmutadores administrados de red Catalyst 1900 (nombrados respectivamente: Switch1, Switch2 y Switch3): Switch1, Switch2 y Switch3. varios concentradores según sea necesario Se utiliza principalmente para usuarios que no son VLAN, como documentos administrativos, usuarios temporales, etc.), un enrutador Cisco 2514, y toda la red está conectada a Internet externa a través del enrutador Cisco 2514.
Los usuarios conectados se distribuyen principalmente en cuatro departamentos, a saber: Departamento de Producción, Departamento de Finanzas, Centro de Información y Departamento de Recursos Humanos. Los usuarios principales de estos cuatro departamentos se dividen en una VLAN separada para garantizar que los correspondientes. departamentos Los recursos de la red no son robados ni destruidos.
Ahora bien, para las necesidades de seguridad de las partes correspondientes de los recursos de red de la empresa, especialmente para departamentos sensibles como el Departamento de Finanzas y el Departamento de Recursos Humanos, la información en la red no quiere ser accesible también Muchas personas lo desean, por lo que la empresa adopta VLAN para resolver los problemas anteriores. Al dividir la VLAN, la red principal de la empresa se puede dividir en: departamento de producción, departamento de finanzas, departamento de personal y centro de información: producción, finanzas, personal e información. centrar cuatro partes, correspondientes a la VLAN correspondiente. Los nombres de los grupos VLAN correspondientes son Prod, Fina, Huma e Info, y los segmentos de red correspondientes a cada grupo VLAN son los siguientes.
Número de VLAN:
Nombre de VLAN: Número de puerto
2 Prod Switch 1 2-21
3 Fina Switch2 2-16
4 Huma Switch3 2-9
5 Info Switch3 10-21
La razón por la cual el número de VLAN del switch comienza desde "2" es porque el El conmutador tiene una La VLAN predeterminada, VLAN "1", incluye a todos los usuarios conectados al conmutador
El proceso de configuración de VLAN es en realidad muy simple y solo requiere dos pasos:
(1) Nomenclatura del grupo VLAN;
(2) Conecte la VLAN correspondiente actualmente activada en la consola de administración.
Menú de interfaz de usuario
Menú [M]
[K] Línea de comando
[I] Configuración IP
Selección de entrada:
Tenga en cuenta que HyperTerminal utiliza el programa Hypertrm que viene con Windows.
Paso 2: Haga clic en el botón "K", seleccione la opción "[K] Línea de comando" en el menú de la interfaz principal e ingrese la siguiente interfaz de configuración de línea de comando:
Con la sesión del conmutador LI está abierta.
Para finalizar la sesión CLI, ingrese [salir]
Para finalizar la sesión CLI, ingrese [salir].
gt;
En este punto, hemos ingresado al modo de usuario normal del conmutador, al igual que un enrutador. En este modo, solo podemos ver la configuración actual, no podemos cambiarla. la configuración, y los comandos utilizados son muy limitados, por lo que debemos ingresar al "modo privilegiado"
Paso 3: en el mensaje "gt;" del paso anterior, ingrese el comando "modo privilegiado" enable" para ingresar al modo privilegiado. enable "comando para ingresar al modo privilegiado, el formato del comando es "gt enable", al ingresar al modo privilegiado, se le pedirá que configure el interruptor:
#config t
Enter el comando de configuración, uno por línea
(config)#
Paso 4: Por seguridad y comodidad, asignamos un nombre a los tres conmutadores Catalyst 1900 y configuramos la contraseña de inicio de sesión en modo privilegiado. /p>
Switch1(config)# habilitar contraseña nivel 15 XXXXXX
Switch1(config)#
Tenga en cuenta que la contraseña del modo privilegiado debe tener entre 4 y 8 caracteres. la contraseña ingresada aquí se muestra directamente en texto sin formato, preste atención para mantener la confidencialidad del conmutador. El nivel 1 es la contraseña para ingresar a la interfaz de línea de comando. En otras palabras, después de configurar la contraseña de nivel 1, se le pedirá. ingrese la contraseña la próxima vez que se conecte al conmutador e ingrese K. Esta contraseña es la contraseña para la configuración del nivel 1, mientras que el nivel 15 es la contraseña del modo privilegiado que se le solicita que ingrese después de ingresar el comando "enable". 1 y la contraseña de nivel 15 es la contraseña del modo privilegiado que debe ingresar después de ingresar el comando "enable".
Paso 5: Establezca el nombre de la VLAN Debido a que las cuatro VLAN pertenecen a conmutadores diferentes. el comando para nombrar la VLAN es "vlan vlan number name vlan name". Configure VLAN 2 y 3 en Switch1, Switch2 y Switch3. Los códigos para , 4 y 5 son:
Switch1 (config)#vlan. 2 nombre Prod
Switch2 (config)#vlan 3 nombre Fina
Switch3 (config )#vlan 4 nombre Huma
Switch3 (config)#vlan 5 nombre Información
Tenga en cuenta que la configuración anterior se completa de acuerdo con las reglas de la Tabla 1
Paso 6: en el paso anterior, configuramos grupos de VLAN para cada conmutador. Necesitamos asignar estas VLAN a los números de puerto del switch especificados en la Tabla 1. El comando para el número de puerto correspondiente es "vlan-membership static/dynamic VLAN number", en este comando debe elegir entre asignación "estática" y "dinámica". , pero normalmente se elige "estático".
La configuración de la aplicación del número de puerto VLAN es la siguiente:
(1) La configuración del número de puerto VLAN del conmutador denominado "Switch1" es la siguiente:
Switch1 (config)#int e0 /2
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/3
Switch1(config- if)#vlan- membresía estática 2
Switch1(config-if)#vlan membresía estática 2
Switch1(config-if)#int e0/4
Switch1(config-if)#vlan-membership static 2
?
Switch1(config-if)#int e0/20
Switch(config-if)#int e0/20
if)#vlan- membresía estática 2
Switch1(config-if)#int e0/21
Switch1(config-if)#vlan-membership estática 2
Switch1(config -if)#
Tenga en cuenta que "int" es la abreviatura del comando "nterface" y e0/3 "es la abreviatura del comando "ethernet 0/2", lo que indica módulo 0 y puerto 2 del switch
(2) El número de puerto VLAN del switch llamado "Switch2" se configura de la siguiente manera:
Switch2(config)#int e0. /2
Switch2(config-if )#vlan-membership static 3
Switch2(config-if)#int e0/3
Switch2(config- if)#vlan-membership estático 3
Switch2(config-if)#int e0/4
Switch2(config-if)#int e0/4
Switch2(config-if)#vlan-membership static 3
?
Switch2(config-if)#int e0/15
Switch2(config-if)#int e0/15
if)#vlan-membership estático 3
Switch2(config-if)#int e0/16
Switch2(config-if)#vlan-membership estático 3
Switch2(config-if)#
(3) La configuración del número de puerto VLAN del conmutador llamado "Switch3" es la siguiente (incluida la configuración de dos grupos VLAN). Primero veamos la configuración. de VLAN 4 (Huma).
Código:
Switch3(config)#int e0/2
Switch3(config-if)#vlan-membership static 4
Switch3(config-if) #int e0/3
Switch3( config-if)#vlan-membership static 4
Switch3(config-if)#int e0/4
Switch3 (config-if)#vlan-membership estático 4
?
Switch3(config-if)#int e0/8
Switch3(config-if) #vlan-membership estático 4
Switch3(config-if)#int e0/9
Switch3( config-if)#vlan-membership estático 4
Switch3(config-if)#
El siguiente es el código de configuración de VLAN5(Info):
Switch3(config)#int e0/10
Switch3 (config -if)#vlan-membership estático 5
Switch3(config-if)#int e0/11
Switch3(config-if)#vlan-membership estático 5
Switch3(config-if)#int e0/12
Switch3(config-if)#vlan-membership estático 5
?
Switch3( config-if)#int e0/20
Switch3(config-if)#vlan-membership estático 5
Switch3(config-if)#int e0/21
Switch3 (config-if)#vlan-membership static 5
Switch3(config-if)#
Ok, hemos definido el puerto del switch correspondiente según la Tabla 1 VLAN. Para verificar nuestra configuración, podemos usar el comando "show vlan" en modo privilegiado para mostrar la configuración anterior.
Lo anterior es una introducción a la configuración de VLAN del conmutador Cisco Catalyst 1900. La configuración de VLAN de otros conmutadores es básicamente similar; consulte el manual del conmutador correspondiente.
Los conceptos básicos y ejemplos de configuración del conmutador se explican en los siguientes capítulos. ¿Cambiar conceptos básicos y ejemplos de configuración? También quiero leer:
1. Explicación del ejemplo de configuración básica del conmutador Cisco
2. Tutorial de aprendizaje sobre la operación de configuración del conmutador Cisco
3. Tutorial de configuración del conmutador Cisco
4. Método de configuración de entrada del switch Cisco
5. Notas de estudio del ingeniero de redes 2015: Switch y su configuración
6.
6. Cisco Ejemplo de configuración de espejo de conmutación
6.