Segmenteren met routers en VLAN's

- [Instructor] Het correct segmenteren van het netwerk met behulp van routers en VLAN's biedt isolatie en bescherming van de subnetwerken. Laten we dit concept verkennen. Switches zijn laag twee-apparaten die verkeer schakelen tussen computers op een LAN. Switches gebruiken een MAC-adres om hosts te identificeren. Schakelaars kapselen frames in het juiste formaat in. Routers zijn laag drie apparaten die verkeer tussen netwerken routeren met behulp van een IP-adres om hosts te identificeren. Routers segmenteren broadcast-domeinen. Bij gebruik van een schakelaar worden apparaten fysiek aan een schakelaar gekoppeld. Uit die schakelaar is een enkel uitzenddomein, wat betekent dat elk apparaat dat op de switch is aangesloten, de uitzending ziet. Zoals u kunt zien, is het verkeer op LAN één fysiek gescheiden van LAN twee en de twee zijn afzonderlijke netwerken. Om van LAN één naar LAN twee te komen, moet het verkeer via een router gaan. Een virtueel LAN verwijdert de fysieke barrière en behandelt de hosts alsof ze allemaal deel uitmaken van hetzelfde subnetwerk, terwijl netwerken binnen netwerken logisch worden gescheiden, waardoor kleinere broadcastdomeinen worden gecreëerd. Hoewel het lijkt alsof een VLAN zich op hetzelfde netwerk bevindt, is elk VLAN een afzonderlijk subnetwerk met een eigen IP-adres. Hier zie je drie computers in het rood geïllustreerd. Ze zouden allemaal deel uitmaken van hetzelfde virtuele lokale netwerk. Ze zijn echter niet aan dezelfde schakelaar bevestigd. Nu een paar dingen over VLAN's. VLAN's maken deel uit van een afzonderlijk IP-subnetwerk. Als gevolg hiervan moet, om het verkeer van het rode VLAN naar het groene VLAN te laten gaan, een laag drie-switch of een router worden gebruikt. VLAN's bieden een aantal voordelen ten opzichte van traditionele LAN's. De prestaties worden verbeterd door uitzendingen en multicasts te verminderen door kleinere broadcastdomeinen te maken. Het gebruik van een VLAN voor Voice over IP is tegenwoordig gebruikelijk. Met een Voice over IP VLAN kunnen we het Voice over IP-verkeer anders behandelen en het verkeer prioriteren. Dit helpt vertragingen bij het leveren van spraakpakketten te voorkomen en latentie en jitter te verminderen. Wanneer we een Cisco-apparaat gebruiken, gebruiken we VLAN Trunking Protocol of VTP, dat wordt gebruikt om VLAN-informatie door te geven aan alle switches. VTP handhaaft consistentie in het hele netwerk door VLAN-informatie te synchroniseren. We kunnen virtuele werkgroepen maken. Als u bijvoorbeeld wilt voorkomen dat de productiemedewerkers YouTube-video's bekijken, kunt u een VLAN maken dat geen internettoegang toestaat. VLAN's kunnen ook worden gebruikt om de toegang tussen VLAN's te beperken. We kunnen ook draadloze beperkingen implementeren door ervoor te zorgen dat een gebruiker die is toegewezen aan een specifiek VLAN altijd verbinding maakt met dat VLAN, ongeacht de locatie. Voordat u VLAN's gebruikt, moet u uw VLAN's configureren op een switch, wat een paar stappen omvat. Nu, zodra u hebt besloten welke VLAN's u nodig hebt, kunt u de switch maken en configureren. We willen bijvoorbeeld vlan 30 maken en de VLAN-studenten een naam geven en andere VLAN's toevoegen zoals u hier ziet. Nadat u de VLAN's hebt gemaakt, moet u de juiste switchpoorten toewijzen, zodat de switch weet hoe de gegevens moeten worden verwerkt. Omdat VLAN's communiceren via switches, moet de switch worden geconfigureerd om VLAN-verkeer tussen switches door te laten gaan met behulp van wat een trunk-lijn wordt genoemd. Laten we dit onderzoeken. Op een switch is de standaard voor een poort de toegangsmodus, die verkeer van een enkel VLAN en reguliere ethernetframes van host naar switch vervoert. Een trunk-lijn is een verbinding tussen switches die verkeer van meerdere VLAN's vervoert. Om een trunk-lijn te gebruiken, moet een schakelaar worden geconfigureerd om trunking mogelijk te maken. Hier zien we het commando om trunking in te schakelen op interface fa0/1. Wanneer u VLAN's gebruikt, moeten VLAN's worden geïdentificeerd met behulp van Inter-Switch Link, ISL of 802.1Q. Dit wordt tagging genoemd. Wanneer een switch vervolgens gegevens van een werkstation ontvangt, worden de gegevens gelabeld met een VLAN-id, zodat deze weet waar ze thuishoren. Tags worden in het frame opgenomen. Laten we eens kijken. Dit is een standaard ethernet frame. Dit heeft natuurlijk het mac-adres van de bron en bestemming, gevolgd door de gegevens. Wanneer we tagging gebruiken, zien we hier een voorbeeld van taggen met behulp van een 802.1Q-frame. Net zoals we eerder zagen, heeft het frame een bron- en doel-MAC-adres, maar vlak voor de gegevens zien we de tag. Een VLAN biedt logische scheiding, zodat verkeer op het ene VLAN niet rechtstreeks toegankelijk is voor hosts op een ander VLAN en verbetert de beveiliging en prestaties op een netwerk.