Я тоже обратил внимание, только у меня мало знаний, вот и думал, что это я что то не то понял. В целом - всё очень доходчиво. Респект автору, респект...
Также посмотрите комментарии к моему видео Understanding Cisco STP UPLINK FAST там есть ссылка от Дмитрия на сайт Cisco, дающее дополнительные знания по этому вопросу
Немного не правильно сказал в начале видео некоторых может запутать кто учит ,они могут запутаются .ты оговорился pc1 и pc2 находятся в 10 vlan а так очень грамотно интересно слушать .
Добрый день. В уроке все понятно. Но когда начал стоить лабу на своем компе то уперся в следующий момент. Не могу найти подобный L3 свитч на GNS3. Подскажите какая версия свитча стоит у вас в лабе и если воздожно то сслыку на image или хотябы название...
Приветствую! Подскажите для чего на access портах еще дополнительно вбивать поверх настройку switchport voice vlan 100 Я так понял, что это информация фрейма tag - 3 бита секции 802.1q, состоящая из 4 байт, относящаяся к user priority (CoS)? Но что она функционально делает? Определяет приоритет прохождение телефонного трафика, если да то как это происходит? Хотел бы разобраться на основа примера и схемы подсоединения телефонного аппарата. Или какой тут "телефонный" трафик имеется ввиду?
когда к порту подключается IP телефон с дополнительным портом для компьютера, то телефонный трафик маркируется. Если подключается к коммутатору телефон Cisco, то телефон и коммутатор используют CDP, и в этом случае, коммутатор понимает, что трафик от телефона нужно положить в Voice VLAN. А трафик от компьютера обработать как обычно, т.е. положить в Vlan, назначенный на порту. Если это не Cisco телефон, то его нужно настроить так, чтобы он маркировал (тегировал) трафик телефонии в соответвующий Vlan который на коммутаторе определен как Voice, и тогда коммутатор с настроенным на порту Voice Vlan примет телефонный трафик и обработает его как нужно.
Прошу пояснить данный случай с подключением к коммутатору телефон Cisco: у меня пользователи (Workstation) на одном Vlan WS , а телефоны на другом. Везде я на телефон выделяю отдельный порт в Cisco 2960 с привязкой Vlan VoIP. Если у меня сам телефон Cisco, могу ли я посадить обоих на один порт (2960SPA303Workstation), просто указав оба vlan? Типа: #switchport access Vlan WS, Vlan VoIP
Да, подключить и телефон и компьютер к одному порту можно и нужно. conf t int fa0/10 switchport mode access switchport access vlan 10 switchport access voice vlan 100 не забудьте посмотреть мои ролики по STP и расширениям к ним BPDUGuard и Portfast!
так если подсети разные, то все равно бы не пинговалось? 10 в 20 так и так не пойдут пакеты или я чего-то не понимаю Зачем тут виланы? и можно поподробней про команду инкапсуляции dot1Q2 ? для чего цифра 2 нужна?
Алекс, суть ведь не в том, чтобы сети не пинговались. Суть в разделении широковещательных доменов. Вы же видели мои ролики о вланах, которые называются 100% в мозг. Я там подробно постарался рассказать, как сети работают, как работаю коммутаторы и как они делят домены коллизий и широковещательные домены. Вланы нужны также для улучшения безопасности, разделения трафика, возможности управлять передачей трафика в сети предприятия.
Мое видео рассказывает как настроить вланы и как проверить их работу. Применять эти знания или нет - это решает каждый сам. Но, я рекомендую применять. Наберитесь терпения, посмотрите больше моих видео, вы сложите картинку в голове просто. Я делаю свой канал не для того, чтобы заработать деньги. Я делаю его, чтобы помочь людям. Может быть у меня и будет коммерческий контент, но своих слушателей я буду отбирать лично.
видел и не в коем случае не осуждаю, просто хочу уточнить не более, а так вам огромное спасибо за труды. т.е. правильно ли я понял, что если подсеть одна, например злоумышленник сам поменял ее, то доступа все равно нет, т.к. тег вилана другой?
Да, именно так! абсолютно верно! Кроме того, если есть желание. А для защиты от злоумышленика и атаки на коммутаторы на 2 уровне, лучше использовать правильно функциональность STP протокола. Это PortFast, BPDU Guard и возможности DTP - no negotiate, а также жестко прописывать тип порта: транк или access. Еще раз спасибо за конструктивную критику. Я провел некоторое исследование: нужно быстрее говорить, оказывается ))
одна маленькая ошибка. изменив порт PC1 с е0/1 на 1/0 вы забыли изменить и принадлежность порт в VLAN100. У вас телефонная связь не поднимется на IPtelef. аппарате через который будет подсоединён комп. Тпереь вопрос по делу. Если у нас есть сервер печати и МФУ, для них создан VLAN 40. Как настроить доступ к ним и продажам , и финансам?
Сильно зависит от возможности принтера быть разделяемым между L3 сегментами сети. Чаще всего, принтеры остаются в том же сегментами (Влан) что и компьютеры. Если нужна ответственная печать, лучше использовать более продвинутые центры печати. Или несколько МФУ для разных групп пользователей
Примерно вот так - создает 3 влана, потом добавляем порт gigabitethernet 1/0/1 к одному из них - это порт доступа. configure terminal vlan 100,200,300 interface gi1/0/1 switchport mode access switchport access vlan 100 end write потрт пропускающий все эти вланы interface gi1/0/2 switchport trund encapsulation dot1q switchport mode trunk switchport trunk allowed vlan add 100,200,300 end write
777 это "глупый" влан, номер можно выбрать любой. В такой влан переводяться все не используемые порты, и неиспользуемые порты рекомендуется еще и выключать. Таким образом, если кто-то "чужой" подключиться в сеть, то есть будет дважды защищена от случайного подключения, даже если порт будет включен кем-то кроме Вас или вами случайно. Нативный влан - это влан в котором передается служебный трафик между транковыми портами, которыми соеденены коммутаторы. По умолчанию влан 1 является также и вланом нативным на транковых портах. Таким образом, наличие влан 1 и на портах доступа и на портах транк, создает верояность создания одого территориально большого броадкастового сегмента (на всех коммутатора есть дефолтный влан 1), таким образом неличие дефолтного влана на транковых портах создает некие неудобства администрирования и угрозу сети. Насколько серьезную? зависит от обстоятельств, конечно. Таким образом, если использовать влан 999 в качестве нативного на транках, влан 1 не сможет распространиться на всю сеть. Ну, и другие причины тоже есть, но эта вроде бы на виду )
Когда нужна маршрутизация между влан, тотсоздается вируальный свитч интерфейс 3го уровня типа INTERFACE VLAN 30, ему назначается ip адесс, и этот интерфейс ассоциируется с vlan 30. Являясь для влан шлюзом по умолчанию.
Добрый день, Native Vlan нужен для работы протоколов Cisco DTP, CDP, VTP, а также его можно использовать в различных сценариях сетевых подключений, например при работе с неуправляемыми коммутаторами, к примеру
Вы пишете вначале, что VLAN NATIVE создаём для транка, а в одном из видео говорили, что нэйтив вообще не нужно использовать, чтобы хакеры не воспользовались. И вообще: транк разве не существует без нэйтива? Причём нейтив и транк? Транк это связь между свитчами, а не что-то иное, если я правильно понял. И его существование не связано с нейтивами никакими.
Евгений, возможно вы не все ролики посмотрели. Транк в коммутаторах Cisco без нативного Vlan не сможет использовать некоторые служебные протоколы. Чтобы не иметь проблем, я рекомендую выделить нативный влан для транков только и больше его нигде не использовать. Посмотрите ролик про нативные вланы. их 2, только перед этим пересмотрите ролики по Vlan'ы и транки. С первого раза и без практики с этим трудно освоится.
Тоже хороший вопрос! Очень важно и очень поможет в будущем описания к интерфейсам, sub интерфейсам. Обычно их может быть от десятка и более в зависимости от размера сети и выполняемых устройством функций. Через 2-3 недели или месяц конфигурационные особенности конкретного оборудования имеют правило "стираться" из памяти: куда это там смотрит интерфейс G0/0.12 или G0/0.10 или G0/1.10, или наоборот G0/0.11 или G0/1.11? А G0/0.101? Или зачем нужен тот или иной Loopback интерфейс, особенно когда в системе их несколько, типа Lo0, Lo100021, lo100031, lo24, Vlan 11, vlan 50, vl124, 3456 и т.п. Отвечаю на вопрос: description сильно облегчают жизнь.
Получается,что LAN -это настройки внешнего интерфейса. VLAN - это настройки внутреннего интерфейса? У каждого коммутатора может быть в обслуживании до 4096 устройств. Для каждого материального интерфейса задаётся один виртуальный. Автор,я прав? Укажите на мою ошибку!
начинайте с азов, постепенно продвигайтесь дальше, практикуйтесь по мере осваивания материалов, иначе никак) Желаю удачи на этом интересном пути познаний)
Спасибо, что делитесь знаниями. Все объяснили, как всегда, подробно и понятно. Успехов!
спасибо за помощь) в понедельник решат мою судьбу ваши видео)
И как прошло? Курсовик или диплом?
@@NetworkerChannel взяли на стаж) спасибо!
Это очень хорошо! Я рад что помог!
как ты там?
@@Мойдвор-х8б Город какой? Ccna не сдали
Спасибо, очень доходчиво и познавательно.
Забыли поменять description для PC1 и не перенастроили VOICE с Et0/1 на Et1/0.
А так спасибо, очень познавательно
Отлично! За внимательность! Спасибо за комментарий!
Я тоже обратил внимание, только у меня мало знаний, вот и думал, что это я что то не то понял. В целом - всё очень доходчиво. Респект автору, респект...
Спасибо огромное за серию роликов про vlan.
Очень хочу послушать подобную качественную лекцию про беспроводные сети wifi)
Добрый день, спасибо за комментарий. Я пока не планировал выкладывать данные по WiFi. Но, планирую частично сделать доступными ролики по Cisco ASA.
@@NetworkerChannel У Вас где-то есть курс? Имею ввиду платформы по типу Udemy ...
@@dvsDesing нет, курса нет. Пока в тестовом варианте делаю по дизайну для ограниченного круга людей.
Также посмотрите комментарии к моему видео
Understanding Cisco STP UPLINK FAST
там есть ссылка от Дмитрия на сайт Cisco, дающее дополнительные знания по этому вопросу
Спасибо
Немного не правильно сказал в начале видео некоторых может запутать кто учит ,они могут запутаются .ты оговорился pc1 и pc2 находятся в 10 vlan а так очень грамотно интересно слушать .
Спасибо за комментарий и позитивную критику!
приезжай в Ташкент, с меня плов
Спасибо! Настоящий плов - это очень вкусно )
Добрый день. В уроке все понятно. Но когда начал стоить лабу на своем компе то уперся в следующий момент. Не могу найти подобный L3 свитч на GNS3. Подскажите какая версия свитча стоит у вас в лабе и если воздожно то сслыку на image или хотябы название...
Приветствую!
Подскажите для чего на access портах еще дополнительно вбивать поверх настройку
switchport voice vlan 100
Я так понял, что это информация фрейма tag - 3 бита секции 802.1q, состоящая из 4 байт, относящаяся к user priority (CoS)?
Но что она функционально делает?
Определяет приоритет прохождение телефонного трафика, если да то как это происходит?
Хотел бы разобраться на основа примера и схемы подсоединения телефонного аппарата. Или какой тут "телефонный" трафик имеется ввиду?
когда к порту подключается IP телефон с дополнительным портом для компьютера, то телефонный трафик маркируется. Если подключается к коммутатору телефон Cisco, то телефон и коммутатор используют CDP, и в этом случае, коммутатор понимает, что трафик от телефона нужно положить в Voice VLAN. А трафик от компьютера обработать как обычно, т.е. положить в Vlan, назначенный на порту. Если это не Cisco телефон, то его нужно настроить так, чтобы он маркировал (тегировал) трафик телефонии в соответвующий Vlan который на коммутаторе определен как Voice, и тогда коммутатор с настроенным на порту Voice Vlan примет телефонный трафик и обработает его как нужно.
Прошу пояснить данный случай с подключением к коммутатору телефон Cisco: у меня пользователи (Workstation) на одном Vlan WS , а телефоны на другом. Везде я на телефон выделяю отдельный порт в Cisco 2960 с привязкой Vlan VoIP. Если у меня сам телефон Cisco, могу ли я посадить обоих на один порт (2960SPA303Workstation), просто указав оба vlan? Типа: #switchport access Vlan WS, Vlan VoIP
Да, подключить и телефон и компьютер к одному порту можно и нужно.
conf t
int fa0/10
switchport mode access
switchport access vlan 10
switchport access voice vlan 100
не забудьте посмотреть мои ролики по STP и расширениям к ним BPDUGuard и Portfast!
Networker Channel Спасибо. Обязательно.
Желаю Вам удачи. Следующее видео по дизайну будет адресовать вашу задачу!
так если подсети разные, то все равно бы не пинговалось? 10 в 20 так и так не пойдут пакеты или я чего-то не понимаю
Зачем тут виланы? и можно поподробней про команду инкапсуляции dot1Q2 ? для чего цифра 2 нужна?
Алекс, суть ведь не в том, чтобы сети не пинговались. Суть в разделении широковещательных доменов. Вы же видели мои ролики о вланах, которые называются 100% в мозг. Я там подробно постарался рассказать, как сети работают, как работаю коммутаторы и как они делят домены коллизий и широковещательные домены. Вланы нужны также для улучшения безопасности, разделения трафика, возможности управлять передачей трафика в сети предприятия.
Мое видео рассказывает как настроить вланы и как проверить их работу. Применять эти знания или нет - это решает каждый сам. Но, я рекомендую применять. Наберитесь терпения, посмотрите больше моих видео, вы сложите картинку в голове просто. Я делаю свой канал не для того, чтобы заработать деньги. Я делаю его, чтобы помочь людям. Может быть у меня и будет коммерческий контент, но своих слушателей я буду отбирать лично.
видел и не в коем случае не осуждаю, просто хочу уточнить не более, а так вам огромное спасибо за труды.
т.е. правильно ли я понял, что если подсеть одна, например злоумышленник сам поменял ее, то доступа все равно нет, т.к. тег вилана другой?
Да, именно так! абсолютно верно! Кроме того, если есть желание. А для защиты от злоумышленика и атаки на коммутаторы на 2 уровне, лучше использовать правильно функциональность STP протокола. Это PortFast, BPDU Guard и возможности DTP - no negotiate, а также жестко прописывать тип порта: транк или access. Еще раз спасибо за конструктивную критику. Я провел некоторое исследование: нужно быстрее говорить, оказывается ))
одна маленькая ошибка. изменив порт PC1 с е0/1 на 1/0 вы забыли изменить и принадлежность порт в VLAN100. У вас телефонная связь не поднимется на IPtelef. аппарате через который будет подсоединён комп. Тпереь вопрос по делу.
Если у нас есть сервер печати и МФУ, для них создан VLAN 40. Как настроить доступ к ним и продажам , и финансам?
Сильно зависит от возможности принтера быть разделяемым между L3 сегментами сети. Чаще всего, принтеры остаются в том же сегментами (Влан) что и компьютеры. Если нужна ответственная печать, лучше использовать более продвинутые центры печати. Или несколько МФУ для разных групп пользователей
@@NetworkerChannel с этим проблем нет, так как услугу предоставляет третья сторона. Из-за этого и создан отдельный Vlan.
Добрый день! У меня вопрос. А вы что конкретно используете в качетсве демонстрации? Реальное оборудование? Или GNS3 или еще что-нибудь? Спасибо!
Чаще всего GNS3, в первом ролике и в ролике с ASA, реальное оборудование. Картинки из GNS3 и Microsoft Visio 2016
@@NetworkerChannel спасибо! С асой я понял, что это на ней самой =). Благодарю за ответ!
kak priviazat' opredelennye porty k nuzhnomu VLAN?
Примерно вот так - создает 3 влана, потом добавляем порт gigabitethernet 1/0/1 к одному из них - это порт доступа.
configure terminal
vlan 100,200,300
interface gi1/0/1
switchport mode access
switchport access vlan 100
end
write
потрт пропускающий все эти вланы
interface gi1/0/2
switchport trund encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan add 100,200,300
end
write
Здравствуйте. Вы объясните зачем виланы 777,999
777 это "глупый" влан, номер можно выбрать любой. В такой влан переводяться все не используемые порты, и неиспользуемые порты рекомендуется еще и выключать. Таким образом, если кто-то "чужой" подключиться в сеть, то есть будет дважды защищена от случайного подключения, даже если порт будет включен кем-то кроме Вас или вами случайно. Нативный влан - это влан в котором передается служебный трафик между транковыми портами, которыми соеденены коммутаторы. По умолчанию влан 1 является также и вланом нативным на транковых портах. Таким образом, наличие влан 1 и на портах доступа и на портах транк, создает верояность создания одого территориально большого броадкастового сегмента (на всех коммутатора есть дефолтный влан 1), таким образом неличие дефолтного влана на транковых портах создает некие неудобства администрирования и угрозу сети. Насколько серьезную? зависит от обстоятельств, конечно. Таким образом, если использовать влан 999 в качестве нативного на транках, влан 1 не сможет распространиться на всю сеть. Ну, и другие причины тоже есть, но эта вроде бы на виду )
а зачем вланам ип адреса? влан же работает на 2м уровне
Когда нужна маршрутизация между влан, тотсоздается вируальный свитч интерфейс 3го уровня типа INTERFACE VLAN 30, ему назначается ip адесс, и этот интерфейс ассоциируется с vlan 30. Являясь для влан шлюзом по умолчанию.
Как 2 лайка поставить?!
Одного лайка достаточно) Главное, чтобы в работе помогло!
для чего нужен native vlan?
Добрый день, Native Vlan нужен для работы протоколов Cisco DTP, CDP, VTP, а также его можно использовать в различных сценариях сетевых подключений, например при работе с неуправляемыми коммутаторами, к примеру
Вы пишете вначале, что VLAN NATIVE создаём для транка, а в одном из видео говорили, что нэйтив вообще не нужно использовать, чтобы хакеры не воспользовались. И вообще: транк разве не существует без нэйтива? Причём нейтив и транк? Транк это связь между свитчами, а не что-то иное, если я правильно понял. И его существование не связано с нейтивами никакими.
Евгений, возможно вы не все ролики посмотрели. Транк в коммутаторах Cisco без нативного Vlan не сможет использовать некоторые служебные протоколы. Чтобы не иметь проблем, я рекомендую выделить нативный влан для транков только и больше его нигде не использовать. Посмотрите ролик про нативные вланы. их 2, только перед этим пересмотрите ролики по Vlan'ы и транки. С первого раза и без практики с этим трудно освоится.
Спасибо за урок, но в наушниках слушать не очень удобно, звук\громкость не ровные: иногда тихо, а иногда оглушает 🙂
Спасибо. Видимо настроение было такое. Волнистое )) хаха
УРОК 8
зачем команда description?
Тоже хороший вопрос! Очень важно и очень поможет в будущем описания к интерфейсам, sub интерфейсам. Обычно их может быть от десятка и более в зависимости от размера сети и выполняемых устройством функций. Через 2-3 недели или месяц конфигурационные особенности конкретного оборудования имеют правило "стираться" из памяти: куда это там смотрит интерфейс G0/0.12 или G0/0.10 или G0/1.10, или наоборот G0/0.11 или G0/1.11? А G0/0.101? Или зачем нужен тот или иной Loopback интерфейс, особенно когда в системе их несколько, типа Lo0, Lo100021, lo100031, lo24, Vlan 11, vlan 50, vl124, 3456 и т.п. Отвечаю на вопрос: description сильно облегчают жизнь.
Спс за ответ
Точно легче будет разбиратся во всем )))
Получается,что LAN -это настройки внешнего интерфейса. VLAN - это настройки внутреннего интерфейса? У каждого коммутатора может быть в обслуживании до 4096 устройств. Для каждого материального интерфейса задаётся один виртуальный. Автор,я прав? Укажите на мою ошибку!
Я понимаю, что у вас знания автоматические за годы работы, но все же слишком быстро для понимания моего неокрепшего в этом отношении мозга))
начинайте с азов, постепенно продвигайтесь дальше, практикуйтесь по мере осваивания материалов, иначе никак) Желаю удачи на этом интересном пути познаний)
Надеюсь, что ты не преподаватель... :-)
Хотя... лучшего я не нашел.
не совсем понял, это значит, хороший ролик или плохой? Я практик, и преподаю паралельно, как хобби. А теперь и работа )
@@NetworkerChannel На троечку... 🙂
@@ОлегПервомайский-с2ы А что нужно было-то? Расклад как в CCIE? Чего не хватает до пятёрочки? )
@@NetworkerChannel Возможно, это я бестолковый... 🙂
@@ОлегПервомайский-с2ы Обычно так говорят о себе далеко не самые глубые люди ))))