Предыдущие публикации:
Строим сеть. С чего начать?
Выбираем коммутатор для корпоративной сети
Одна из самых популярных и востребованных функциональностей управляемых и настраиваемых коммутаторов — это виртуальные локальные сети (VLAN). Поэтому с неё и начнем.
Планирование виртуальных локальных сетей (VLAN) в корпоративной сети включает в себя идентификацию сегментов сети, определение границ виртуальных локальных сетей и назначение идентификаторов виртуальных локальных сетей. Вот пошаговое руководство, которое поможет вам эффективно спланировать VLAN:
1. Понять требования сети: получите четкое представление о требованиях к сети, включая количество отделов, функциональные области и любые специфические соображения безопасности или производительности. Определите устройства и службы, которые должны быть изолированы или требуют выделенных ресурсов.
2. Определите сегменты сети: разделите сеть на логические сегменты на основе функциональных областей, отделов или требований безопасности. Например, у вас могут быть виртуальные локальные сети для финансов, маркетинга, ИТ, гостевого доступа, серверов, беспроводных устройств или голосового трафика.
3. Определите границы VLAN: примите решение о границах каждой виртуальной локальной сети, определив, какие устройства или пользователи должны быть включены в каждый сегмент. Учитывайте такие факторы, как требования безопасности, коммуникационные потребности и характер сетевого трафика.
4. Назначьте идентификаторы VLAN: назначьте уникальный идентификатор VLAN ID каждой сети VLAN. Идентификаторы VLAN представлены числом в диапазоне от 1 до 4094. Обратите внимание, что VLAN 1 обычно используется как VLAN по умолчанию, а VLAN 4094 зарезервирована для специальных целей, поэтому не используйте их для обычных VLAN.
5. Рассмотрите возможность транкинга VLAN: планируйте транкинг VLAN для передачи нескольких VLAN по одному физическому каналу между коммутаторами или маршрутизаторами. Используйте протокол транкинга IEEE 802.1Q и настройте магистральные порты на коммутаторах так, чтобы обеспечить прохождение трафика VLAN.
6. Определите принадлежность к VLAN: определите, какие порты коммутатора или сетевые интерфейсы будут назначены каждой виртуальной локальной сети. Сюда входят порты, подключенные к компьютерам, серверам, принтерам и другим устройствам. Определите, будет ли порт портом доступа (принадлежащим к одной VLAN) или магистральным портом (несущим несколько VLAN).
7. Рассмотрите маршрутизацию VLAN: определите, как будет осуществляться маршрутизация между виртуальными локальными сетями. Для этого можно использовать коммутатор уровня 3, поддерживающий маршрутизацию между VLAN, или отдельный маршрутизатор. Решите, какие протоколы маршрутизации или статические маршруты будут настроены для обеспечения связи между различными VLAN.
8. Планирование безопасности VLAN: рассмотрите любые требования безопасности для VLAN, такие как списки контроля доступа (ACL), правила брандмауэра на основе VLAN и т.д. Определите соответствующие политики безопасности для применения в каждой VLAN для защиты конфиденциальных данных или ограничения доступа.
9. Документирование конфигурации VLAN: задокументируйте план VLAN, включая идентификаторы VLAN, границы VLAN, членство в VLAN и любые специфические конфигурации VLAN, такие как транкинг или настройки маршрутизации. Эта документация будет полезна при внедрении сети, устранении неполадок и управлении в будущем.
10. Внедрите и протестируйте: после планирования VLAN настройте коммутаторы и сетевые устройства в соответствии с планом VLAN. Протестируйте конфигурации VLAN, чтобы убедиться в правильности подключения, изоляции трафика и соблюдении политик безопасности.
Регулярно пересматривайте и обновляйте план VLAN по мере развития сети и изменения требований. Также важно следовать лучшим отраслевым практикам и консультироваться с сетевыми специалистами, чтобы убедиться, что план VLAN отвечает конкретным потребностям вашей корпоративной сети.
Теперь рассмотрим настройку VLAN на коммутаторе для конкретной задачи.
В сети нужно изолировать трафик между разными группами пользователей, которые подключены к разным коммутаторам. Для каждой группы пользователей создадим отдельную виртуальную сеть (VLAN) на каждом коммутаторе. К портам портам доступа (untagged) подключим станции. Для передачи трафика разных VLAN между коммутаторами настроим магистральные каналы.
Коммутатор 2 и 3:
Создаем VLAN и настраиваем порты доступа:
Switch(config)# vlan 10, 20
Switch(config-vlan)# exit
Switch(config)# interface range ethernet 1/0/1-12
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# exit
Switch(config)# interface range ethernet 1/0/12-24
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
Switch(config-if-range)# exit
Настраиваем магистральный канал к коммутатору 1:
Switch(config)# interface ethernet 1/0/25
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# exit
Коммутатор 1:
Switch(config)# vlan 10, 20
Switch(config-vlan)# exit
Switch(config)# interface range ethernet 1/0/25-26
Switch(config-if-range)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Настройки VLAN проверяются при помощи команды show vlan.
Этот пример был написан для коммутатора D-Link DGS-3130-30TS и подходят для других коммутаторов D-Link со стандартным интерфейсом командной строки.
Для коммутаторов с D-Link-like CLI настройка коммутаторов для этой же схемы будет такой:
Коммутаторы 2 и 3:
config vlan default delete 1-24
create vlan v10 tag 10
create vlan v20 tag 20
config vlan v10 add untagged 1-12
config vlan v10 add tagged 25
config vlan v20 add untagged 12-24
config vlan v20 add tagged 25
Коммутатор 1:
create vlan v10 tag 10
create vlan v20 tag 20
config vlan v10 add tagged 25-26
config vlan v20 add tagged 25-26