Explicación de los conceptos básicos y ejemplos de configuración del switch
El estándar técnico IEEE 802.1Q relacionado con VLAN fue promulgado e implementado oficialmente por el comité IEEE ya en junio de 1999, y Cisco (Cisco) propuso la primera tecnología VLNA ya en 1996. En los últimos años, la tecnología VLAN ha sido ampliamente admitida y utilizada en redes empresariales de todos los tamaños. Se ha convertido en la tecnología LAN Ethernet más popular en la actualidad. A continuación se muestran la configuración básica del conmutador y los ejemplos que he recopilado. Espero que pueda ayudar a todos.
Conceptos básicos de configuración del conmutador y ejemplos
1. Conceptos básicos de VLAN
El nombre chino de VLAN (Red de área local virtual) es "Red de área local virtual" , tenga en cuenta que no es " "(Red privada virtual) VLAN es una tecnología de intercambio de datos emergente que divide lógicamente los dispositivos LAN (nota, no físicamente) en segmentos de red para lograr grupos de trabajo virtuales. Esta tecnología emergente se utiliza principalmente en conmutadores. y enrutadores, pero la aplicación principal todavía está en los conmutadores, pero no todos los conmutadores tienen esta función. Solo los conmutadores por encima de la tercera capa del protocolo VLAN tienen esta función. Puede saber esto consultando el manual del conmutador correspondiente.
IEEE promulgó el borrador del estándar del protocolo 802.1Q en 1999 para estandarizar la implementación de VLAN. La aparición de la tecnología VLAN permite a los administradores dividir lógicamente diferentes usuarios en la misma LAN física en diferentes dominios de transmisión, cada VLAN contiene un grupo de. estaciones de trabajo de computadora con las mismas necesidades y tiene los mismos atributos que la LAN formada físicamente, ya que está dividida lógicamente, no físicamente, las LAN dentro de la misma VLAN. Cada estación de trabajo no está limitada al mismo rango físico, es decir, estas estaciones de trabajo pueden. estar en diferentes segmentos físicos de LAN De acuerdo con las características de la VLAN, el tráfico de transmisión y unidifusión dentro de una VLAN no se reenviará a otras VLAN, lo que ayuda a controlar el tráfico, reducir la inversión en equipos, simplificar la administración de la red y mejorar la seguridad de la red.
El desarrollo de la tecnología de conmutación también ha acelerado la aplicación de nueva tecnología de conmutación (VLAN). Al dividir la red empresarial en segmentos VLAN de red virtual, se puede fortalecer la gestión y la seguridad de la red y controlar los datos innecesarios. Difusión En una red compartida, un segmento de red física es un dominio de difusión. En una red conmutada, un dominio de difusión puede ser un segmento de red virtual compuesto por un conjunto de direcciones de red de capa 2 (direcciones MAC) seleccionadas arbitrariamente. La división de grupos de trabajo en la red puede romper las restricciones de ubicación geográfica en la red compartida, y este modo de agrupación basado en el flujo de trabajo está completamente dividido según las funciones de administración, lo que mejora en gran medida las funciones de administración de planificación y reorganización de la red en la misma VLAN. Las estaciones de trabajo, sin importar a qué conmutador estén realmente conectadas, la comunicación entre ellas es como si estuvieran en conmutadores independientes. Las transmisiones en la misma VLAN solo pueden ser escuchadas por los miembros de la VLAN y no se transmitirán a otras VLAN. Esto puede controlar bien la aparición de tormentas de transmisión innecesarias. Al mismo tiempo, si no hay enrutamiento, las diferentes VLAN no pueden comunicarse entre sí, lo que aumenta la seguridad entre los diferentes departamentos de la red empresarial. Los administradores de red pueden configurar las VLAN entre los conmutadores. divide las VLAN según la dirección MAC de la estación de trabajo del usuario, por lo que el usuario puede moverse libremente por la red empresarial para trabajar, sin importar dónde acceda a la red de conmutación, puede comunicarse libremente con otros usuarios en la VLAN.
Una red VLAN puede estar compuesta por dispositivos de tipo de red mixto, como: 10M Ethernet, 100M Ethernet, red token, FDDI, CDDI, etc. Puede ser una estación de trabajo, un servidor, un hub o un enlace ascendente de red. backbone Etc.
Además de dividir la red en múltiples dominios de transmisión, VLAN puede controlar eficazmente la aparición de tormentas de transmisión y hacer que la topología de la red sea muy flexible. También se puede utilizar para controlar el acceso mutuo. entre diferentes departamentos y diferentes sitios
VLAN es un protocolo propuesto para resolver el problema de transmisión y seguridad de Ethernet. Agrega un encabezado de VLAN a la trama de Ethernet. Utilice VLAN ID para dividir a los usuarios en grupos de trabajo más pequeños y restringirse mutuamente. acceso entre usuarios en diferentes grupos de trabajo. Cada grupo de trabajo es una LAN virtual. La ventaja de una LAN virtual es que puede limitar el rango de transmisión y formar grupos de trabajo virtuales para la administración dinámica.
2. Método de división de VLAN <. /p>
El método de implementación de VLAN en el conmutador se puede dividir aproximadamente en seis categorías:
1. VLAN basada en la división de puertos
Esta es la VLAN más utilizada Método de división, y también es el más utilizado y efectivo actualmente, la mayoría de los conmutadores de protocolo VLAN proporcionan este método de configuración de VLAN. Este método de división de VLAN se basa en Se divide por el puerto de conmutación del conmutador Ethernet. Los puertos físicos en el conmutador VLAN y los puertos PVC (circuito virtual permanente) dentro del conmutador VLAN se dividen en varios grupos. Cada grupo forma una red virtual, que es equivalente a un conmutador VLAN independiente.
Cuando diferentes departamentos lo necesitan. para acceder entre sí, se pueden reenviar a través de enrutadores y combinarse con filtrado de puertos basado en direcciones MAC para apuntar al puerto correspondiente del conmutador, conmutador de enrutamiento o enrutador más cercano al sitio en la ruta de acceso al sitio En Internet, configuración. un conjunto de direcciones MAC transitables puede evitar que intrusos ilegales roben direcciones IP desde dentro e invadan otros puntos de acceso accesibles.
A partir de este método de división en sí, podemos ver que esto La ventaja de este método de división es que Es muy sencillo definir miembros de VLAN, siempre que todos los puertos estén definidos como grupos de VLAN correspondientes, es adecuado para redes de cualquier tamaño. Su desventaja es que si un usuario abandona el puerto original y llega a uno nuevo, un puerto determinado. del conmutador debe redefinirse
2. Divida la VLAN según la dirección MAC
Este método de dividir la VLAN se basa en la dirección MAC de cada host, es decir, cada host con una La dirección MAC configura a qué grupo pertenece. El mecanismo que implementa es que cada tarjeta de red corresponde a una dirección MAC única. El conmutador VLAN rastrea la dirección que pertenece a la VLAN MAC. Este método de VLAN permite a los usuarios de la red moverse desde una ubicación física. al moverse a otra ubicación física, automáticamente conserva su membresía en la VLAN a la que pertenece
Se puede ver en este mecanismo de división que la mayor ventaja de este método de división de VLAN es que cuando la ubicación física del usuario la ubicación se mueve, es decir, de Cuando se cambia un conmutador a otro, no es necesario reconfigurar la VLAN porque se basa en usuarios en lugar de puertos del conmutador. La desventaja de este método es que durante la inicialización, se deben configurar todos los usuarios. Si hay cientos o incluso más Para miles de usuarios, la configuración es muy agotadora, por lo que este método de división suele ser adecuado para LAN pequeñas. Este método de división también reduce la eficiencia de ejecución del conmutador, porque puede haber muchos grupos de VLAN. cada puerto del conmutador ha guardado las direcciones MAC de muchos usuarios, lo cual es bastante difícil de consultar. Además, para los usuarios que usan computadoras portátiles, sus tarjetas de red pueden cambiarse con frecuencia, por lo que la VLAN debe configurarse con frecuencia.
3. Según los protocolos de capa de red, las VLAN se dividen según los protocolos de capa de red.
Las VLAN se dividen según los protocolos de capa de red y se pueden dividir en IP, IPX, DECnet, AppleTalk, Banyan y otras redes VLAN compuestas por redes. Los protocolos de capa pueden crear dominios de transmisión. Abarcar múltiples conmutadores VLAN es muy atractivo para los administradores de red que desean organizar a los usuarios para aplicaciones y servicios específicos. Además, los usuarios pueden moverse libremente dentro de la red pero su membresía de VLAN permanece sin cambios.
La ventaja de este método es que cuando cambia la ubicación física del usuario, no es necesario reconfigurar la VLAN a la que pertenece, y las VLAN se pueden dividir según tipos de protocolo, lo cual es muy importante para la red. administradores Además, este método no requiere etiquetas de trama adicionales para identificar las VLAN, lo que puede reducir el tráfico de la red. La desventaja de este método es que es ineficiente, porque verificar la dirección de la capa de red de cada paquete de datos requiere tiempo de procesamiento (en comparación con el tiempo de procesamiento). Los dos métodos anteriores), los chips de conmutación generales pueden verificar automáticamente el encabezado de la trama Ethernet de los paquetes de datos en la red, pero para que el chip verifique el encabezado de la trama IP, requiere mayor tecnología y requiere más tiempo. Por supuesto, esto es diferente. de la implementación de varios fabricantes Método relacionado.
4. División de VLAN basada en multidifusión IP
La multidifusión IP es en realidad una definición de VLAN, es decir, un grupo de multidifusión IP se considera una VLAN. Se ha ampliado a WAN, por lo que este método tiene mayor flexibilidad y es fácil de expandir a través de enrutadores. Es principalmente adecuado para usuarios de LAN que no están en el mismo rango geográfico para formar una VLAN, principalmente porque. no es eficiente.
5. Divida las VLAN según las políticas
Las VLAN basadas en políticas pueden implementar una variedad de métodos de asignación, incluidos puertos de conmutador VLAN, direcciones MAC, direcciones IP, protocolos de capa de red, etc. Administradores de red Puede decidir qué tipo de VLAN elegir según su propio modo de administración y las necesidades de su unidad.
6. Divida la VLAN según la definición del usuario y la autorización de no usuario.
Dividir la VLAN según la definición de usuario y la autorización de no usuario significa que para adaptarse a una red VLAN especial, según usuarios de red específicos Defina y diseñe VLAN según los requisitos especiales, y permita que los usuarios del grupo que no pertenecen a VLAN accedan a la VLAN, pero deben proporcionar la contraseña de usuario y pueden unirse a una VLAN solo después de haber sido autenticados por la administración de VLAN.
3. Ventajas de VLAN
Para que cualquier tecnología nueva sea ampliamente compatible y aplicada, debe haber algunas ventajas clave. Lo mismo ocurre con la tecnología VLAN. Sus ventajas se reflejan principalmente. en los siguientes aspectos:
1. Aumenta la flexibilidad de las conexiones de red
Con la ayuda de la tecnología VLAN, se pueden combinar diferentes ubicaciones, diferentes redes y diferentes usuarios para formar una red virtual. En un entorno de red tan conveniente, flexible y efectivo como usar una LAN local, VLAN puede reducir los costos de administración de mover o cambiar la ubicación geográfica de la estación de trabajo, especialmente después de que algunas empresas con cambios frecuentes en las condiciones comerciales usan VLAN, esta parte de la administración. el costo se reduce considerablemente.
2. Controlar las transmisiones en la red
La VLAN puede proporcionar un mecanismo para establecer un firewall para evitar transmisiones excesivas en la red conmutada. Al utilizar VLAN, se puede controlar un determinado puerto de conmutador o usuario. asignado a un determinado grupo de VLAN específico. Este grupo de VLAN puede estar en una red de conmutación o abarcar varios conmutadores. Las transmisiones en una VLAN no se enviarán fuera de la VLAN. De manera similar, los puertos adyacentes no recibirán transmisiones generadas por otras VLAN. manera Puede reducir el tráfico de transmisión, liberar ancho de banda para las aplicaciones de los usuarios y reducir la generación de transmisiones.
3. Aumentar la seguridad de la red
Debido a que una VLAN es un dominio de transmisión independiente y las VLAN están aisladas entre sí, esto mejora enormemente la utilización de la red y garantiza la seguridad y la confidencialidad de la red. A menudo se transmiten algunos datos confidenciales y críticos en la LAN. Los datos confidenciales deben proporcionar control de acceso y otros medios de seguridad. Un método eficaz y fácil de implementar es segmentar la red en varios grupos de transmisión diferentes. Los administradores de red limitan el número de usuarios en una. VLAN y prohíbe el acceso no autorizado a los puertos de conmutación de aplicaciones en la VLAN. Los puertos de conmutación se pueden agrupar según los tipos de aplicaciones y los privilegios de acceso. Las aplicaciones y recursos restringidos generalmente se colocan en ejemplos de configuración de red VLAN.
Para brindarle una oportunidad real de aprender ejemplos de configuración, a continuación se tomará una configuración típica de VLAN LAN de tamaño mediano como ejemplo para presentarle la clasificación de VLAN por puerto más utilizada. .
Una determinada empresa tiene alrededor de 100 ordenadores. Los departamentos que utilizan principalmente la red son: departamento de producción (20), departamento de finanzas (15), departamento de recursos humanos (8) y centro de información (12).
La estructura básica de la red es: la parte media de toda la red utiliza tres conmutadores administrados Catalyst 1900 (llamados respectivamente: Switch1, Switch2 y Switch3. Cada conmutador está conectado a varios concentradores según sea necesario, principalmente para aplicaciones que no son de red, como documentos administrativos, usuarios temporales, etc.), un enrutador Cisco 2514, y toda la red está conectada a Internet externa a través del enrutador Cisco 2514.
Los usuarios conectados se distribuyen principalmente en cuatro departamentos, a saber: Departamento de Producción, Departamento de Finanzas, Centro de Información y Departamento de Recursos Humanos. Los usuarios de estos cuatro departamentos se dividen principalmente en VLAN por separado para garantizar que los recursos de la red. los departamentos correspondientes no están bloqueados por apropiación indebida o destrucción.
Ahora, para satisfacer las necesidades de seguridad de las partes correspondientes de los recursos de red de la empresa, especialmente para departamentos sensibles como el Departamento de Finanzas y el Departamento de Recursos Humanos, la información en la red no quiere demasiada las personas pueden entrar y salir a voluntad, por lo que la empresa adopta el método de VLAN para resolver los problemas anteriores. A través de la división de VLAN, la red principal de la empresa se puede dividir en cuatro partes principales: departamento de producción y departamento financiero. , departamento de personal y centro de información Los nombres de los grupos VLAN correspondientes son: Prod, Fina, Huma, Info, los segmentos de red correspondientes a cada grupo VLAN son los siguientes.
Número de VLAN
Nombre de VLAN número de puerto
2 Prod Switch 1 2-21
3 Fina Switch2 2-16
4 Huma Switch3 2-9
5 Info Switch3 10-21
Nota: La razón por la que el número de VLAN del conmutador comienza desde "2" es porque el conmutador tiene una VLAN predeterminada, es decir, VLAN "1", que incluye a todos los usuarios conectados al conmutador
El proceso de configuración de VLAN es realmente muy simple y solo requiere dos pasos:
( 1) Asigne un nombre a cada grupo de VLAN;
(2) Asigne la VLAN correspondiente al puerto del conmutador correspondiente
El siguiente es el proceso de configuración específico:
Paso 1 : Configure el Hyper Terminal, conéctese al conmutador 1900 y configure la VLAN del conmutador a través del Hyper Terminal. Después de que la conexión sea exitosa, aparecerá la interfaz de configuración principal como se muestra a continuación (el conmutador ha completado la configuración de la información básica antes). this):
1 usuario(s) ahora activo(s) en Management Console.
Menú de interfaz de usuario
[M] Menús
[ K] Línea de comando p>
[I] Configuración IP
Ingresar selección:
Tenga en cuenta que HyperTerminal se realiza utilizando el programa "Hypertrm" que viene con el sistema Windows .
Paso 2: Haga clic en el botón "K", seleccione la opción "[K] Línea de comando" en el menú de la interfaz principal e ingrese la siguiente interfaz de configuración de línea de comando:
LI La sesión con el interruptor está abierta.
Para finalizar la sesión CLI, ingrese [Salir].
>
En este punto ingresamos al modo de usuario normal de el switch, al igual que el enrutador, este modo solo puede ver la configuración actual, no puede cambiar la configuración y los comandos que se pueden usar son muy limitados, por lo que debemos ingresar al "modo privilegiado"
Paso 3: En el paso anterior ">" ingrese el comando de modo privilegiado "habilitar" debajo del símbolo para ingresar al modo privilegiado. El formato del comando es "> habilitar". Se ingresa la configuración:
#config t
Ingrese los comandos de configuración, uno por línea. Termine con CNTL/Z
(config)#
Paso 4: Por seguridad y conveniencia, le damos a estos 3 respectivamente un nombre al switch Catalyst 1900 y configuramos la contraseña de inicio de sesión para el modo privilegiado. Lo siguiente solo usa Switch1 como ejemplo para introducir el código de configuración de la siguiente manera:
(config)#hostname Switch1
Switch1(config) # habilitar nivel de contraseña 15 XXXXXX
Switch1(config)#
Tenga en cuenta que los usuarios privilegiados La contraseña del modo debe tener entre 4 y 8 caracteres. Tenga en cuenta que la contraseña ingresada aquí está en texto sin formato. Se muestra directamente. Tenga en cuenta que el interruptor de seguridad utiliza el tamaño del nivel para determinar la autoridad de la contraseña. Es decir, después de configurar la contraseña de nivel 1, la próxima vez se conecta al conmutador e ingresa K. Después de eso, se le pedirá que ingrese una contraseña. Esta contraseña es la contraseña establecida en el nivel 1. 15 es la contraseña del modo privilegiado que se le solicita que ingrese después de ingresar el comando "habilitar".
Paso 5: Establezca el nombre de VLAN Debido a que las cuatro VLAN pertenecen a diferentes conmutadores, el comando de nomenclatura de VLAN es "vlan número de vlan nombre nombre de vlan". Configure 2 y 3 en Switch1, Switch2, Switch3 y conmutadores. Los códigos de las VLAN números 4 y 5 son:
Switch1 (config)#vlan 2 nombre Prod
Switch2 (config)#vlan 3 nombre Fina
Switch3 (config)#vlan 5 nombre Información
Tenga en cuenta que la configuración anterior se lleva a cabo de acuerdo con las reglas de la Tabla 1 p>
Paso del Capítulo 6: En el paso anterior, configuramos grupos de VLAN para cada conmutador. Ahora el comando para corresponder estas VLAN a los números de puerto del conmutador especificados en la Tabla 1 es "número de VLAN estática/dinámica de membresía de vlan". En este comando, "static Debe elegir uno de los métodos de asignación "(static)" y "dynamic" (dinámico), pero generalmente se elige el método "static" (estático). La configuración de la aplicación del número de puerto VLAN es la siguiente:
(1) Named El número de puerto VLAN del switch "Switch1" se configura de la siguiente manera:
Switch1(config)#int e0/2
Switch1 (config-if)#vlan-membership estático 2
Switch1(config-if)#int e0/3
Switch1(config-if)#vlan-membership estático 2 p>
Switch1(config-if)#int e0 /4
Switch1(config-if)#vlan-membership static 2
?
Switch1(config-if)#int e0/20
Switch(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/21 p>
Switch1(config-if)#vlan- membresía estática 2
Switch1(config-if)#
Nota "int" es la abreviatura de "nterface" comando, que significa interfaz. "e0/3" es "ethernet 0/2" " es la abreviatura de ", que representa el puerto 2 del módulo 0 del conmutador.
(2) El número de puerto VLAN de el conmutador denominado "Switch2" está configurado de la siguiente manera:
Switch2(config)#int e0/2
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#int e0/3
Switch2(config -if)#vlan-membership estático 3
Switch2(config-if)#int e0/ 4
Switch2(config-if)#vlan-membership estático 3
?
Switch2(config-if)#int e0/15
Switch2(config-if)#vlan-membership estático 3
Switch2( config-if)#int e0/16
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#
( 3) El número de puerto VLAN del switch llamado "Switch3" se configura de la siguiente manera (incluye la configuración de dos grupos de VLAN ), primero mire el código de configuración de VLAN 4 (Huma):
Switch3(config)#int e0/2
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#int e0/3
Switch3(config -if)#vlan-membership estático 4
Switch3(config-if) #int e0/4
Switch3(config-if)#vlan-membership static 4
?
Switch3(config-if)#int e0/8
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#int e0/9
Switch3(config-if) #vlan-membership static 4
Switch3(config-if)#
A continuación se muestra el código de configuración de VLAN5(Info):
Switch3(config) #int e0/10
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#int e0/11
Switch3 (config-if)#vlan-membership estático 5
Switch3(config-if)#int e0/12
Switch3(config-if)#vlan-membership estático 5 p>
?
Switch3(config-if)#int e0/20
Switch3(config-if)#vlan-membership estático 5
Switch3(config-if)#int e0/21
Switch3(config-if)#vlan-membership estático 5
Switch3(config-if)#
Bien, hemos definido las VLAN para los puertos de los conmutadores correspondientes de acuerdo con los requisitos de la Tabla 1. Para verificar nuestra configuración, podemos usar el comando "show vlan" para mostrar la configuración que acabamos de realizar y verificar si es correcta. .
Lo anterior es una introducción a la configuración de VLAN del conmutador Cisco Catalyst 1900. El método de configuración de VLAN de otros conmutadores es básicamente similar. Simplemente consulte el manual del conmutador correspondiente.
¿Has leído? Conceptos básicos de configuración de conmutadores y explicación con ejemplos. También quieres leer:
1. Explicación de configuración básica de conmutadores Cisco con ejemplos
> 2. Tutorial sobre las operaciones de configuración del switch CISCO
3. Explicación detallada del tutorial de configuración del switch Cisco
4. Cómo comenzar con la configuración del switch Cisco
5. Notas de estudio para ingenieros de redes de 2015: conmutadores y su configuración
6. Introducción a los ejemplos de configuración de duplicación de conmutadores de Cisco