Лабораторная работа № 4.

Тема: Использование технологии virtual local area network

Цель работы: создать сеть из двух независимых виртуальных подсетей

Теоретические основы:
VLANs – это виртуальные сети, которые существуют на втором уровне модели OSI. То
есть, VLAN можно настроить на коммутаторе второго уровня. Если смотреть на VLAN,
абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в
кадре, который передается по сети. Метка содержит номер VLAN (его называют VLAN ID или
VID), – на который отводится 12 бит, то есть, VLAN может нумероваться от 0 до 4095. Первый и
последний номера зарезервированы, их использовать нельзя. Обычно, рабочие станции о VLAN
ничего не знают (если не конфигурировать VLAN на карточках специально). О них думают
коммутаторы. На портах коммутаторов указывается в каком VLAN они находятся. В зависимости
от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN. Таким
образом каждый порт имеет PVID (port vlan identifier).Этот трафик может в дальнейшем проходить
через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все
остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного
устройства (маршрутизатора) не может взаимодействовать с другими подсетями.

Зачем нужны VLAN?

• Возможность построения сети, логическая структура которой не зависит от физической. То

есть, топология сети на канальном уровне строится независимо от географического
расположения составляющих компонентов сети.
• Возможность разбиения одного широковещательного домена на несколько
широковещательных доменов. То есть, широковещательный трафик одного домена не
проходит в другой домен и наоборот. При этом уменьшается нагрузка на сетевые
устройства.
• Возможность обезопасить сеть от несанкционированного доступа. То есть, на канальном
уровне кадры с других VLAN будут отсекаться портом коммутатора независимо от того, с
каким исходным IP-адресом инкапсулирован пакет в данный кадр.
• Возможность применять политики на группу устройств, которые находятся в одном VLAN.
• Возможность использовать виртуальные интерфейсы для маршрутизации.

Примеры использования VLAN

• Объединение в единую сеть компьютеров, подключенных к разным коммутаторам.
Допустим, у вас есть компьютеры, которые подключены к разным коммутаторам, но их
нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную
сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой
виртуальной сети будут работать, словно подключены к одному и тому же коммутатору.
Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для
друга.
• Разделение в разные подсети компьютеров, подключенных к одному коммутатору. На
рисунке компьютеры физически подключены к одному свитчу, но разделены в разные
виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут
невидимы друг для друга.

• Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия. На рисунке к роутеру

подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi
точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые
ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях
безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия.
Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в
виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной
сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия
VLAN 1.
Достоинства использования VLAN
• Гибкое разделение устройств на группы
• Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в
разных VLAN, будут изолированы друг от друга. Также можно объединить в одну
виртуальную сеть компьютеры, подключенные к разным коммутаторам.
• Уменьшение широковещательного трафика в сети
• Каждый VLAN представляет отдельный широковещательный домен. Широковещательный
трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах
настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один
широковещательный домен.
• Увеличение безопасности и управляемости сети
• В сети, разбитой на виртуальные подсети, удобно применять политики и правила
безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к
отдельному устройству.
• Уменьшение количества оборудования и сетевого кабеля
• Для создания новой виртуальной локальной сети не требуется покупка коммутатора и
прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые
коммутаторы с поддержкой VLAN.
Тэгированные и нетэгированные порты
Когда порт должен уметь принимать или отдавать трафик из разных VLAN, то он должен
находиться в тэгированном или транковом состоянии. Понятия транкового порта и тэгированного
порта одинаковые. Транковый или тэгированный порт может передавать как отдельно указанные
VLAN, так и все VLAN по умолчанию, если не указано другое. Если порт нетэгирован, то он
может передавать только один VLAN (родной). Если на порту не указано в каком он VLAN, то
подразумевается, что он в нетэгированном состоянии в первом VLAN (VID 1).
Разное оборудование настраивается по-разному в данном случае. Для одного оборудования
нужно на физическом интерфейсе указать в каком состоянии находится этот интерфейс, а на
другом в определенном VLAN необходимо указать какой порт как позиционируется – с тэгом или
без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько VLAN, то в каждом
из этих VLAN нужно прописать данный порт с тэгом. На оборудовании Cisco Systems на
коммутаторах мы просто указываем какие порты какими VLAN нетэгированы (находятся в режиме
access) и какие порты находятся в тэгированном состоянии (находятся в режиме trunk).
Для настройки портов в режим trunk созданы специальные протоколы. Один из таких
имеет стандарт IEEE 802.1Q. Это международный стандарт, который поддерживается всеми
производителями и чаще всего используется для настройки виртуальных сетей. Кроме того,
разные производители могут иметь свои протоколы передачи данных. Например, Cisco создала для
свого оборудования протокол ISL (Inter Switch Lisk).
Trunk Port (Магистральный порт) - это порт, предназначенный для переноса трафика для всех
VLAN, доступных через определенный коммутатор, процесс, известный как транкинг
Магистральные порты помечают кадры уникальными идентифицирующими тегами — тегами
802.1Q или тегами Inter-Switch Link (ISL) - при их перемещении между коммутаторами.
Следовательно, каждый отдельный кадр может быть направлен в назначенный ему VLAN.
Интерфейс Ethernet может функционировать как магистральный порт или как порт доступа, но
не оба одновременно. Магистральный порт может иметь более одного VLAN, настроенного на
интерфейсе. В результате он может одновременно передавать трафик для многочисленных
сетей VLAN. Это большое преимущество, так как для передачи трафика группе VLAN может
использоваться один порт коммутатора. Они очень полезны, если пользователь хочет
обмениваться трафиком между несколькими коммутаторами, имеющими более одного
сконфигурированного vlan.
Межвлановская маршрутизация
Что такое межвлановская маршрутизация? Это обычная маршрутизация подсетей. Разница
только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит.
Допустим у нас есть два VLAN: VID = 10 и VID = 20. На втором уровне эти VLAN осуществляют
разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг
друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать
между собой, необходимо смаршрутизировать трафик этих VLAN. Для этого нам необходимо на
третьем уровне каждому из VLAN присвоить интерфейс, то есть прикрепить к ним IP-адрес.
Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address – 10.0.20.1/24. Эти
адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы
можем трафик хостов с одного VLAN маршрутизировать в другой VLAN. Что дает нам
маршрутизация VLAN по сравнению с простой маршрутизацией посетей без использования
VLAN? А вот что:
• Возможность стать членом другой подсети на стороне клиента заблокирована. То есть, если
хост находится в определенном VLAN, то даже, если он поменяет себе адресацию с другой
подсети, он всеравно останется в том VLAN, котором он был. Это значит, что он не
получит доступа к другой подсети. А это в свою очередь обезопасит сеть от «плохих»
клиентов.
• Мы можем поместить в VLAN несколько физических интерфейсов коммутатора. То есть, у
нас есть возможность на коммутаторе третьего уровня сразу настроить маршрутизацию,
 подключив к нему клиентов сети, без использования внешнего маршрутизатора. Либо мы
можем использовать внешний маршрутизатор подключенный к коммутатору второго
уровня, на котором настроены VLAN, и создать столько сабинтерфейсов на порте
маршрутизатора, сколько всего VLAN он должен маршрутизировать.
• Очень удобно между первым и третьим уровнями использовать второй уровень в виде
VLAN. Удобно подсети помечать как VLAN с определенными интерфейсами. Удобно
настроить один VLANн и поместить в него кучу портов коммутатора. И вообще, много чего
удобно делать, когда есть VLAN.
Порядок выполнения работы:
Схема с одним коммутатором:
1. Запускаем Cisco Packet Tracer;
2. Добавляем коммутатор 2960;
3. Добавляем 4 компьютера;
4. Используем для соединение компьютера и коммутатора «прямой» кабель. Пусть компьютеры
PC0, PC1 принадлежат первому сегменту (смотри свой вариант), а PC2 и PC3 принадлежат
второму сегменту (смотри свой вариант). Обозначим каждый сегмент своим цветом. Для этого
выберем функцию Draw и выделим каждый сегмент (например, эллипсом) как на рисунке;

Рисунок. Схема с одним коммутатором

5. Заходим в настройки коммутатора (вкладка CLI). Переключаемся в привилегированный
режим, режим глобального конфигурирования:
5.1. На данном этапе необходимо определить VLAN, в котором будут находится данные
пользователи. По умолчанию все порты коммутатора находятся в VLAN1, мы определим в другой.
Для этого создадим VLAN2 (команда #vlan 2) и дадим имя в соответствии со своим вариантом
#name <свой вариант>. Выходим из режима VLAN;

5.2. Теперь настроим интерфейс. PC0 подключен к порту Fast Ethernet0/1, а PC1 к порту Fast
Ethernet0/2. Данные порты необходимо определить в только что созданный VLAN2. Для этого
заходим в настройки интерфейса Fast Ethernet0/1 с помощью команды #interface Fast
Ethernet 0/1. Определяем, что данный порт функционирует в режиме Access (команда
#switchport mode access), и определяем VLAN2 (команда #switchport access VLAN 2).
Аналогично настраиваем порт Fast Ethernet0/2. Выходим из режима конфигурирования.
Проделанную работу можно проверить с помощью команды #show VLAN или #show VLAN
brief. Из рис. 13 можно увидеть, что порты Fast Ethernet 0/1 и Fast Ethernet 0/2 определены в
VLAN2;
5.3. Проделать аналогичные действия для сегмента в VLAN3 с названием в соответствии со
своим вариантом. Для нашего случая результат приведен на рисунке;
 Рис. 13. Настройка портов fastEthernet0/1 и fastEthernet0/4
5.4. В режиме режим конфигурации устройства назначим VLAN 2 IP адреса, выполним в
команду #interface vlan 2 и назначим IP адрес командой #ip address (ip адрес по
варианту) (маска сети по варианту) выйдем из режима конфигурирования интерфейса и
выполним те же действия для конфигурирования VLAN 3. По окончании конфигурирования
сохранить конфигурацию
5.5. Зададим IP адреса для компьютеров в сегментах сети (для PC0 и PC1 зададим IP адрес из
диапазона VLAN2, а для PC2 и PC3 зададим IP адрес из диапазона VLAN3.
5.6. Проверим правильность настройки коммутатора и компьютеров в сегментах сети. Заходим в
Command Prompt на одном из ПК для сегмента VLAN2 и с помощью команды ping проверяем
доступность соседнего ПК, и проверим также доступность одного из ПК из другого сегмента
(VLAN3). Аналогично проведите проверку со вторым сегментом.

Схема с двумя коммутаторами

В предыдущей схеме мы рассмотрели вариант одного коммутатора который имеет
разделение на vlan. Представим что появился еще один этаж и на нем свой коммутатор который
тоже имеет свои vlan, встает вопрос как подключить два коммутатора. Для этого есть vlan trunk.
1. Создадим еще одну сеть, состоящую из одного коммутатора и 4 компьютеров, аналогично
имеющейся. Соединим два коммутатора перекрестным кабелем к портам GigabitEthernet.
2. Добавим IP адреса, для компьютеров PC4 и PC5 – из диапазона VLAN2 и PC6 и PC7 – из
диапазона VLAN3 в соответствии со своим вариатом. И объединим эти в два сегмента на разных
коммутаторах;
 Рис. Схема с двумя коммутаторами
3. Сохраним настройки коммутаторов.

4. Настроим Trunk порт:

4.1. Режим конфигурирования. Набираем команду #interface gigabitEthernet 0/1,

#switchport mode trunk. Указываем VLAN, которые мы хотим передавать через наше
физическое соединение с помощью команды #switchport trunk allowed vlan 2,3

4.2. Настраиваем Trunk порт для второго коммутатора

5. Проверьте взаимодействие данных компьютеров. C помощью команды ping проверить

доступность компьютеров принадлежащих одному VLAN, подключенных к разным коомутаторам.
6. Ответить на контрольные вопросы.

Список команд необходимых в для выполнения задания:

# enable
# show interface
# configure terminal
# show vlan
# vlan <номер vlan>
# name <имя vlan>
# interface fastEthernet 0/1
# interface gigabitEthernet 0/1
# interface vlan <номер vlan>
# switchport access vlan <номер vlan>
# switchport mode trunk
# switchport trunk allowed vlan 2,3
# write memory
# ip address <ip адрес по вариантам> <netmask по вариантам>
# end
# exit
 Название Название IP NET NETMASK IP NET NETMASK
Вариант vlan2 vlan3 VLAN2 VLAN2 VLAN3 VLAN3
Продавцы / Администраторы /
1 Sellers Administrators 10.0.0.0/26 255.255.255.192 172.20.10.0/23 255.255.254.0
Администраторы
2 / Administrators Кадровики / HR 192.168.0.0/24 255.255.255.0 10.100.10.0/23 255.255.254.0
Маркетологи / Бухгалтерия /
3 Marketers Accounting 172.16.0.0/27 255.255.255.224 192.168.0.0/24 255.255.255.0
Научный отдел / Инженеры /
4 Scienes Engineers 10.0.1.0/28 255.255.255.240 192.168.10.0/25 255.255.255.128
Администрация /
5 Кадровики / HR Administration 192.168.10.0/25 255.255.255.128 172.18.10.0/24 255.255.255.0
Бухгалтерия / Транспортники /
6 Accounting Transporters 172.16.2.0/28 255.255.255.240 192.168.56.0/24 255.255.255.0
Технологи /
7 Technologists Логисты / Logistics 10.2.2.0/24 255.255.255.0 172.30.250.0/24 255.255.255.0
Инженеры / Финансисты /
8 Engineers Financiers 192.168.12.0/26 255.255.255.192 10.2.2.0/24 255.255.255.0
Программисты / Менеджеры /
9 Programmers Managers 172.17.4.0/26 255.255.255.192 10.10.4.0/25 255.255.255.128
Менеджеры / Научный отдел /
10 Managers Scienes 10.10.4.0/25 255.255.255.128 172.24.8.0/25 255.255.255.128
Лаборатория / Программисты /
11 Laboratory Programmers 192.168.34.0/27 255.255.255.224 172.16.0.0/27 255.255.255.224
Администрация /
12 Administration Продавцы / Sellers 172.18.10.0/24 255.255.255.0 192.168.12.0/26 255.255.255.192
Логисты / Технологи /
13 Logistics Technologists 10.10.11.0/27 255.255.255.224 172.17.4.0/26 255.255.255.192
Транспортники / Лаборатория /
14 Transporters Laboratory 192.168.48.0/28 255.255.255.240 172.29.200.0/26 255.255.255.192
Финансисты / Маркетологи /
15 Financiers Marketers 172.20.10.0/23 255.255.254.0 10.100.250.0/26 255.255.255.192
Продавцы / Финансисты /
16 Sellers Financiers 10.12.10.0/29 255.255.255.248 192.168.100.0/26 255.255.255.192
Администраторы Транспортники /
17 / Administrators Transporters 192.168.56.0/24 255.255.255.0 10.0.0.0/26 255.255.255.192
Маркетологи / Технологи /
18 Marketers Technologists 172.24.8.0/25 255.255.255.128 192.168.62.0/25 255.255.255.128
Научный отдел /
19 Scienes Продавцы / Sellers 10.100.10.0/23 255.255.254.0 192.168.34.0/27 255.255.255.224
Программисты /
20 Кадровики / HR Programmers 192.168.62.0/25 255.255.255.128 10.10.11.0/27 255.255.255.224
Бухгалтерия / Научный отдел /
21 Accounting Scienes 172.29.200.0/26 255.255.255.192 192.168.110.0/27 255.255.255.224
Технологи / Менеджеры /
22 Technologists Managers 10.100.250.0/26 255.255.255.192 192.168.48.0/28 255.255.255.240
Инженеры / Маркетологи /
23 Engineers Marketers 192.168.100.0/26 255.255.255.192 172.31.100.0/27 255.255.255.224
Программисты /
24 Programmers Логисты / Logistics 172.30.250.0/24 255.255.255.0 10.0.1.0/28 255.255.255.240
Менеджеры / Лаборатория /
25 Managers Laboratory 10.250.250.0/28 255.255.255.240 172.16.2.0/28 255.255.255.240
Лаборатория /
26 Laboratory Кадровики / HR 192.168.110.0/27 255.255.255.224 10.200.250.192/27 255.255.255.224
Администрация / Инженеры /
27 Administration Engineers 172.31.255.0/28 255.255.255.240 10.250.250.0/28 255.255.255.240
Логисты / Бухгалтерия /
28 Logistics Accounting 10.200.250.192/27 255.255.255.224 172.31.255.0/28 255.255.255.240
Транспортники / Администрация /
29 Transporters Administration 192.168.200.0/28 255.255.255.240 10.12.10.0/29 255.255.255.248
Финансисты / Администраторы /
30 Financiers Administrators 172.31.100.0/27 255.255.255.224 192.168.200.0/28 255.255.255.240
Контрольные вопросы:
1. Преимущества и недостатки технологии VLAN?
2. Что означает тэгированный порт?
3. Что означает транковый порт?
4. Обязательно назначать интерфейсам VLAN на коммутаторе IP адреса из диапазона VLAN,
будут ли работать подсети без этого? Если будут работать то почему?