VLAN (英語の略語。仮想ローカルエリアネットワーク)-仮想ローカルエリアネットワークは、物理的な場所に関係なく、ブロードキャストドメインに接続されているかのように相互作用する共通の要件を持つホストのグループです。 VLANには物理ローカルエリアネットワークと同じプロパティがありますが、端末が同じ物理ネットワーク上にない場合でも端末をグループ化できます。 このような再編成は、物理的に移動するデバイスの代わりにソフトウェアに基づいて実行できます。
Ciscoデバイスでは、VTP(VLAN Trunking Protocol)がVLANドメインを提供して管理を簡素化します。 VTPは、ターゲットVLANポートを持つスイッチのみにVLANトラフィックを向けることにより、トラフィックをパージします。 シスコのスイッチは主にISL(Inter-Switch Link)プロトコルを使用して、情報の相互運用性を確保しています。
デフォルトでは、各スイッチポートには管理VLAN1または管理VLANがあります。 管理ネットワークは削除できませんが、追加のVLANを作成し、これらの代替VLANにポートを追加で割り当てることができます。
ネイティブVLANは、すべてのタグなしパケットが受信するVLAN番号を決定する各ポートのパラメーターです。
これは何のためですか?
いくつかの状況があります。
1.状況を想像してみてください。大規模なネットワークがあり、このネットワークのカバレッジエリアに2つのオフィスがあり、それらを1つの物理ネットワークに結合する必要があります。 もちろん、この状況はVPN-sで解決できますが、約100メガビットの暗号化されたトラフィックには酸っぱくない鉄が必要なので、vlan-sを駆動します。
2.都市によって地理的に分割された多くのサブネットがあり、各サブネットのインターフェイスを設定する必要があります。最初はネットワークカードで対処できますが、ネットワークには成長する特性があり、たとえばそのような状況で何をしたいですか?
serv:~# ifconfig | grep eth | wc -l
152
serv:~#
3.クライアントは、4、8、16などのブロックを発行する必要があります。 など アドレス。
4.ネットワーク内のブロードキャストトラフィックの量を減らす
各VLANは個別のブロードキャストドメインです。 たとえば、スイッチはOSIモデルのレイヤー2デバイスです。 VLANがないスイッチ上のすべてのポートは、同じブロードキャストドメインにあります。 スイッチでVLANを作成するということは、スイッチを複数のブロードキャストドメインに分割することを意味します。 同じVLANが異なるスイッチ上にある場合、異なるスイッチのポートは同じブロードキャストドメインを形成します。
そして、これが必要になるかもしれない他の多くの理由/状況。
5.ネットワークセキュリティと管理性の向上
ネットワークがVLANに分割されると、セキュリティポリシーとルールを適用するタスクが簡素化されます。 VLANを使用すると、ポリシーを単一のデバイスではなくサブネット全体に適用できます。 さらに、あるVLANから別のVLANへの移行には、レベル3デバイスの通過が含まれます。このデバイスには、原則として、VLANからVLANへのアクセスを許可または禁止するポリシーが適用されます。
どうすればこれをすべて実行できますか?
簡単!
VLANトラフィックのタグ付け
ネットワークにトラフィックを送信するとき、コンピューターは、どのVLANにあるかさえ知りません。 これはスイッチが考えるものです。 スイッチは、特定のポートに接続されているコンピューターが対応するVLANにあることを認識しています。 特定のVLANのポートに到着するトラフィックは、別のVLANのトラフィックと違いはありません。 つまり、特定のVLANに属するトラフィックに関する情報はありません。
ただし、異なるVLANからのトラフィックがポートを通過できる場合、スイッチは何らかの方法でそれを区別する必要があります。 これを行うには、トラフィックの各フレームに特別な方法でマークを付ける必要があります。 タグは、どのVLANトラフィックが属するかについて話す必要があります。
このようなマークを付ける最も一般的な方法は、オープンIEEE 802.1Q標準で説明されています。 Cisco SystemsのISLプロトコルなど、同様の問題を解決する独自のプロトコルがありますが、その人気ははるかに低い(そして低下している)。
通常、構成はサーバーとスイッチで行われます。
デフォルトでは、すべてのネットワークデバイスは最初の(1、デフォルト)vlan-eにあります。
ネットワーク1で2番目のVLANを選択します
サーバーのOSに応じて、vlan-sの構成は異なります。
この記事では、異なるオペレーティングシステム上でvlan-sを構成するさまざまな方法をできるだけ簡潔かつ明確に説明しようとします。
それでは、別のOSで同じタスクを実行してみましょう。64個のアドレスのアドレススペース、10.10.10.0 / 26で2番目のVLANを構成します。
まず、マスク、ブロードキャストアドレス、ゲートウェイを計算する必要があります。ipcalcが助けになります:)
Address: 10.10.10.0 00001010.00001010.00001010.00 000000
Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000
Wildcard: 0.0.0.63 00000000.00000000.00000000.00 111111
=>
Network: 10.10.10.0/26 00001010.00001010.00001010.00 000000 (Class A)
Broadcast: 10.10.10.63 00001010.00001010.00001010.00 111111
HostMin: 10.10.10.1 00001010.00001010.00001010.00 000001
HostMax: 10.10.10.62 00001010.00001010.00001010.00 111110
Hosts/Net: 62 (Private Internet)
ゲートウェイを10.10.10.1にします
マスク255.255.255.192または26
ブロードキャスト10.10.10.63
合計で、10.10.10.2〜10.10.10.62の顧客用に61のアドレスを受け取ります。
Debianライク:
vlanパッケージを提供する必要があります
# apt-get install vlan
次に、/ etc / network /に移動します
インターフェイスを使用してファイルを編集します。
# nano interfaces
auto eth0.2 # . eth0 vlan
iface eth0.2 inet static
address 10.10.10.1
netmask 255.255.255.192
broadcast 10.10.10.63
インターフェースを上げる:
# ifup eth0.2
赤い帽子のような:
red-hutには、vlan設定ユーティリティが必要です。vconfigユーティリティを配置します
[root@notebook ~]# yum search vconfig
vconfig.i686 : Linux 802.1q VLAN configuration utility
[root@notebook ~]# yum install -y vconfig
2番目のVLANをeth0に追加します。
[root@notebook ~]# vconfig add eth0 2
/ etc / sysconfig / network-scriptsに移動し、インターフェイスファイルを作成して編集します
[root@notebook ~]# cd /etc/sysconfig/network-scripts
[root@notebook ~]# touch ifcfg-eth0.2
[root@notebook ~]# nano ifcfg-eth0.2
DEVICE=eth0.2
VLAN_TRUNK_IF=eth0
BOOTPROTO=static
IPADDR=10.10.10.1
NETMASK=255.255.255.192
BROADCAST=10.10.10.63
ONBOOT=yes
インターフェースを上げる
[root@notebook ~]# ifup eth0.2
BSDライク:
ifconfig vlan_device vlan vlan_id vlandev parent_device
ifconfig vlan0 vlan 2 vlandev xl0
ifconfig vlan0 inet 10.10.10.1 netmask 255.255.255.192
インターフェイスを自動的にロードするには、/ etc / rc.confを編集します。
cloned_interfaces="vlan0" #You need a recent STABLE for this else use:
#network_interfaces="lo0 vlan0"
ifconfig_vlan0="inet 10.10.10.1 netmask 255.255.255.192 vlan 24 vlandev xl0"
#Note: If you do not assign an IP Adress to your parent device, you need to
#start it explicitly:
ifconfig_xl0="up"
次に、ネットワークスイッチを設定する、より興味深いポイントに移りましょう。
なぜなら 2番目のレベルのスイッチは異なります。構成方法の例をいくつか示しますが、異なるスイッチでは異なるメニューがそれに応じて異なるように構成され、通常は複雑なことはなく、構成の原則は同じです。 Servの状況は1番目のポートに含まれています。2番目のVLANを4,5,6ポートに送信し、2番目のポートにタグを付けて送信する必要があります。
D-Linkで:
config vlan default delete 1-26
config vlan default add untagged 1,3,7-24
create vlan Offices tag 2
config vlan Offices add tagged 1,2
config vlan Offices add untagged 4,5,6
save
4ホールのネットワークデバイスに固執し、10.10.10.0 / 26の範囲からアドレスを登録し、Corny pingで確認しようとします。
アソテルで
set 1qvlan create 2 Offices # 2-
set 1qvlan modify -4-5-6 1 0 # 4,5,6-
set 1qvlan modify +1+2 2 1 # 2- 1,2
set 1qvlan modify +4+5+6 2 0 # 2- 4,5,6
set 1qvlan pvid 4 2 # 4 2- , 5,6
set 1qvlan pvid 5 2
set 1qvlan pvid 6 2
EdgeCore / LinkSysで
Vty-0#configure
Vty-0(config)#vlan database
Vty-0(config-vlan)#
Vty-0(config-vlan)#vlan 2 name Offices media ethernet state active
Vty-0(config-vlan)#exit
Vty-0(config)#interface ethernet 1/1
Vty-0(config-if)#switchport mode trunk
Vty-0(config-if)#switchport allowed vlan add 2 tagged
Vty-0(config-if)#exit
Vty-0(config)#interface ethernet 1/2
Vty-0(config-if)#switchport mode trunk
Vty-0(config-if)#switchport allowed vlan add 2 tagged
Vty-0(config-if)#exit
Vty-0(config)#interface ethernet 1/4
Vty-0(config-if)#switchport mode access
Vty-0(config-if)#switchport allowed vlan add 2 untagged
Vty-0(config-if)#switchport native vlan 2
Vty-0(config-if)#exit
Vty-0(config)#interface ethernet 1/5
Vty-0(config-if)#switchport mode access
Vty-0(config-if)#switchport allowed vlan add 2 untagged
Vty-0(config-if)#switchport native vlan 2
Vty-0(config-if)#exit
Vty-0(config)#interface ethernet 1/6
Vty-0(config-if)#switchport mode access
Vty-0(config-if)#switchport allowed vlan add 2 untagged
Vty-0(config-if)#switchport native vlan 2
Vty-0(config-if)#exit
Vty-0(config)#exit
Vty-0#copy running-config startup-config
;
Vty-0#show running-config
ps私は、可能な限り簡潔かつ明確に機器のセットアップの原則を示すことを試みました。