こんにちは、ネットワーク ワーカーの友人です。
実際のネットワークでは、VLAN 間の相互アクセスが必要になることがよくあります。
多くのネットワーク ワーカーは通常、Vlanif やワンアーム ルーティングなど、異なる VLAN 内のホスト間の相互アクセスを実現するためのいくつかの方法を選択します。
これらの方法は実際には最も基本的なものであり、HCIA コースではVLAN 間通信を実現する方法を学びます。
すべてのシラバスを読みたい友人はヤン先生を見つけてください。
今日は、VLAN 相互訪問に関する体系的なレビューと概要を説明します。
これら 2 つの方法に基づいて最適化を行い、VLAN 間の相互アクセスを簡単に実現する方法を説明します。
本日の記事閲覧特典:「VLAN解説(要点・難所を詳しく解説)」
あなたのための学習ドキュメントを見つけました。このドキュメントには、古典的な VLAN 関連のケースと完全な設定コマンドが含まれており、いくつかの重要な点や難しい点が詳細に説明されています。
プライベート メッセージ me、メモ"VLAN"、および最初の 30 個のプライベート メッセージが学習ノートを送信します。
01 サブインターフェースによるVLAN間の相互アクセスを実現
レイヤ 2 スイッチング環境では、VLAN はブロードキャスト ドメインです。
同じネットワークセグメント内の IP アドレスが設定されている場合、同じ VLAN 内のノード間で直接通信することができ、この通信をレイヤ 2 通信と呼びます。
異なる VLAN は異なるブロードキャスト ドメイン (通常は異なる論理サブネット) であり、互いに分離されており、直接通信することができません。これは、上の図に示すように、ブロードキャストの分離に役割を果たします。
ただし、実際のネットワークでは、VLAN 間の相互訪問が必要になることがよくあります。
たとえば、同じ会社の異なる部門が異なる VLAN に分割されているため、これらの部門間でデータ交換が必要な場合はどうなるでしょうか。
現時点では、レイヤ 2 スイッチは実現できず、レイヤ 3 デバイス (ルーティングデバイス) が必要になります。
最も簡単な方法の 1 つはルーターを使用することです。
上の図では、スイッチは GE0/0/1 ポートと GE0/0/23 ポートをアクセス タイプとして設定し、VLAN10 に追加します。
アクセス タイプとして GE0/0/2 および GE0/0/24 を設定し、VLAN20 に追加します。
次に、ルーターの GE0/0/1 ポートを VLAN10 ユーザーのゲートウェイとして使用し、GE0/0/2 ポートを VLAN20 ユーザーのゲートウェイとして使用し、ルーターのルーティング機能を使用して 2 つの VLAN 間の相互アクセスを実現します。 。
そうすることは可能だと思われますが、VLAN にはインターフェースを取り出すルーターが必要です。では、イントラネット内に 10 個の VLAN がある場合はどうなるでしょうか?
ルーターは、Yali が非常に大きいことを示しました。
そこで、少し改良された別の方法は次のとおりです。
ルーターの物理インターフェイス上で、同じ要件を達成するために論理サブインターフェイス (サブインターフェイス) を構成します。このソリューションは、ワンアーム ルーティングと呼ばれます。
上の図では、スイッチとルーターの間に必要な物理リンクは 1 つだけです。
このリンクは複数の VLAN のデータを伝送する必要があるため、ルーター (GE0/0/24) に接続されているインターフェイスをスイッチ上でトランク タイプとして設定する必要があります。
ルーター側では、スイッチに接続されている物理インターフェイス (GE0/0/1) が 1 つだけですが、この物理インターフェイスに基づいて複数のサブインターフェイスを作成できます。
サブインターフェース GE0/0/1.10 は VLAN10 に対応し、VLAN10 のタグを認識し、VLAN10 のタグが付いたデータフレームを処理でき、同様に GE0/0/1.20 は VLAN20 に対応します。
このようにして、ルーター上の 1 つの物理インターフェイスだけが複数の VLAN のデータをサポートできます。
サブインターフェイスは、物理インターフェイスに基づいて作成されるソフトウェアの論理インターフェイスです。ルーターは、サブインターフェイスを通常のインターフェイスであるかのように扱います。
サブインターフェイスを使用すると、ハードウェアのコストを大幅に節約できます。
具体的な構成は次のとおりです。
上記の設定が完了すると、スイッチと PC を接続するインターフェイスが対応する VLAN に追加され、PC が相互に通信できるようになります。
上のバンカーの写真から、サブインターフェイスの概念をより鮮明に理解することができます。これは、実際には大きなパイプ内の 2 つの小さなパイプに相当します。
物理インターフェイス上にサブインターフェイスを作成すると、その後の設定は物理インターフェイスではなくサブインターフェイス上で行われることに注意してください。
必要なのは、物理インターフェイスがシャットダウンされていないことを確認することだけです。
イーサネット サブインターフェイス テクノロジは、ルーターまたはファイアウォールに導入できます。例を見てみましょう。
上記は非常に単純なネットワーク シナリオであり、サイト イントラネットには 2 つの VLAN (VLAN10 と VLAN20) があります。
現在の要件では、相互アクセスを実現するには VLAN10 と VLAN20 が必要であり、相互アクセス トラフィックはセキュリティ検査のためにファイアウォールを通過する必要があります。
VLAN 10 のネットワーク要素は非常に重要であり、高いセキュリティ レベルのネットワークに属しますが、VLAN 20 のネットワークのセキュリティ レベルは低くなります。
ソリューション:
上図のスイッチはレイヤ 2 モードで動作し、端末に接続されているインターフェイスはアクセス タイプとして設定され、対応する VLAN に追加されます。
同時に、スイッチをファイアウォールに接続するインターフェイス GE0/0/24 はトランク タイプとして設定され、VLAN10 と VLAN20 の通過を許可します。
次に、ファイアウォールの GE0/0/1 に 2 つのサブインターフェイス (GE0/0/1.10 と GE0/0/1.20) を作成します。
サブインターフェイスは図のように構成されており、これら 2 つのサブインターフェイスはそれぞれ VLAN10 と VLAN20 に対応します。
最後に、対応するセキュリティ ドメインにサブインターフェイスを追加することを忘れないでください。
たとえば、VLAN10 ネットワークの方が重要な場合は、ファイアウォールの GE0/0/1.10 インターフェイスを高セキュリティ レベルのエリアに追加できます。
Trust や VLAN20 などは外部からのアクセスを受け入れる必要がある場合があるため、DMZ ドメイン内で計画されており、サブインターフェイス GE0/0/1.20 が DMZ エリアに追加されます。次に、ゾーン間パケット フィルタリング ルールを展開できます。
02 vlan-interfaceによるVLAN間の相互アクセスを実現
サブインターフェイスを理解した後、レイヤー 3 スイッチが VLAN 間のデータ交換をどのように実装するかを見てみましょう。
01 ここから始めて、レイヤー 3 スイッチングの理解と導入を始めましょう
レイヤ 2 スイッチはレイヤ 2 スイッチングを実装できることがわかっており、データ フレームを処理し、フレーム ヘッダーのレイヤ 2 情報を読み取り、独自の MAC アドレス テーブルに従って転送します。
レイヤ 3 スイッチは、レイヤ 2 スイッチに基づいてルーティング モジュールを追加するのと同等であるため、次のルーティング機能をサポートできます。
ルーティング プロトコルのサポート、レイヤー 3 データ転送のサポート、IP ルート ルックアップのサポート、レイヤー 3 インターフェイスのサポートなど。
まず、vlan-interface (略して vlanif)について理解しましょう。
これは論理インターフェイスです。つまり、実際の物理インターフェイスではありません。
スイッチ上に VLAN を作成したら、この VLAN に対応する vlanif を作成できます。
たとえば、VLAN10 を作成すると、VLAN10 に対応する vlanif はインターフェイス vlanif 10 となり、この vlanif10 はレイヤ 3 インターフェイスになります。
この vlanif10 には、VLAN10 の PC ユーザーの IP アドレスと同じネットワーク セグメント上にある IP アドレスを構成できます。
このようにして、VLAN10 のユーザーはゲートウェイをこの vlanif に向けることができます。
VLAN10 内の PC がネットワーク セグメントの外側のネットワークにアクセスする必要がある場合、データはゲートウェイ、つまり vlanif10 に送信され、レイヤー 3 スイッチがルーティング検索とデータ転送を実行します。
実際、この理解プロセスでは、ワンアーム ルーティング モデルをアナロジーとして取り上げることができます。
上の図を見てください。レイヤー 3 スイッチ上に 2 つの VLAN が作成されています。
10 と 20、2 つの VLAN の vlanif にそれぞれの VLAN のユーザー ゲートウェイとしてアドレスを割り当てます。
このように、このスイッチのルーティング テーブルには 2 つの VLAN セグメントのルートが存在します。
次に、2 つの VLAN が訪問を交換したい場合、VLAN10 のユーザーはデータを自分のゲートウェイにスローします。
データが vlanif10 に到着すると、レイヤー 3 スイッチはデータ パケットの宛先アドレス IP を確認し、ルーティング テーブルと照合します。
宛先が VLAN20 のネットワークセグメントであることが分かり、VLAN20 からデータが吐き出され、最終的に宛先 VLAN20 の PC に到達します。
Vlanif の基本構成:
実験的なトポロジを上の図に示します。
PC1 と PC2 はそれぞれ VLAN10 と VLAN20 にあり、2 つの VLAN のユーザーが相互に通信できるように 3 層スイッチ SW の設定を完了する必要があります。
SWの構成は以下の通りです。
#创建VLAN10及20,将GE0/0/1划分到vlan10,GE0/0/2划分到vlan20:
[SW] vlan batch 10 20
[SW] interface GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1] port link-type access
[SW-GigabitEthernet0/0/1] port default vlan 10
[SW] interface GigabitEthernet 0/0/2
[SW-GigabitEthernet0/0/2] port link-type access
[SW-GigabitEthernet0/0/2] port default vlan 20#为vlanif10及vlanif20配置IP地址,作为vlan10及vlan20用户的网关
[SW] interface vlanif 10
[SW-vlanif10] ip address 192.168.10.254 24
[SW] interface vlanif 20
[SW-vlanif10] ip address 192.168.20.254 24上記の構成を完了すると、PC1 は 192.168.10.0/24 ネットワーク セグメントに自身の IP アドレスを設定します。
同時に、ゲートウェイを 192.168.10.254 に設定し、PC2 の IP アドレスを 192.168.20.0/24 に設定し、ゲートウェイを 192.168.20.254 に設定すると、両者は相互に通信できるようになります。
02 レイヤ 3 スイッチとルーターのシンプルなネットワーク
実験的なトポロジを上の図に示します。
PC1 と PC2 はそれぞれ VLAN10 と VLAN20 にあり、それらのデフォルト ゲートウェイはレイヤ 3 スイッチ SW2 に設定されています。
SW1 は、レイヤ 2 スイッチング機能のみを備えたアクセス レイヤ スイッチです。SW2 は Router とのレイヤ 3 相互接続を実現しており、両者間の相互接続に使用される VLAN は VLAN99 です。
上記のトポロジについて、理解を助けるために論理図を描くことができます。
SW1の構成は以下のとおりです。
[SW1] vlan batch 10 20
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20#连接SW2的接口,配置为Trunk类型
[SW1] interface GigabitEthernet 0/0/22
[SW1-GigabitEthernet0/0/22] port link-type trunk
[SW1-GigabitEthernet0/0/22] port trunk allow-pass vlan 10 20SW2の構成は以下の通りです。
[SW2] vlan batch 10 20 99
[SW2] interface GigabitEthernet 0/0/22 #连接SW2的接口
[SW2-GigabitEthernet0/0/22] port link-type trunk
[SW2-GigabitEthernet0/0/22] port trunk allow-pass vlan 10 20
[SW2] interface GigabitEthernet 0/0/24 #连接路由器的接口
[SW2-GigabitEthernet0/0/24] port link-type access
[SW2-GigabitEthernet0/0/24] port default vlan 99
#
[SW2] interface vlanif 10
[SW2-vlanif10] ip address 192.168.10.254 24
[SW2] interface vlanif 20
[SW2-vlanif20] ip address 192.168.20.254 24
[SW2] interface vlanif 99
[SW2-vlanif99] ip address 192.168.99.1 24#为SW2配置默认路由,下一跳是路由器
[SW2] ip route-static 0.0.0.0 0.0.0.0 192.168.99.2ルーターの構成は次のとおりです。
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 192.168.99.2 24
#记得为路由器配置静态路由指向vlan10及vlan20对应的网段,否则回程数据就会有问题:
[Router] ip route-static 192.168.10.0 24 192.168.99.1
[Router] ip route-static 192.168.20.0 24 192.168.99.1仕上げ: Lao Yang丨 10 年以上の上級ネットワーク エンジニア、乾物を改善するためにネットワーク ワーカーを増やす、公式アカウントに注目してください: ネットワーク エンジニア クラブ