Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Zanimljivo
  • Šta je vlan i kako ga koristiti. Sigurnost i odvajanje pristupa mrežnim resursima

Šta je vlan i kako ga koristiti. Sigurnost i odvajanje pristupa mrežnim resursima

27.05.2019 Zanimljivo

VLAN su virtuelne mreže koje postoje na drugom nivou modela OSI... Odnosno, VLAN se može konfigurisati na drugom nivou. Ako pogledate VLAN, apstrahirajući od koncepta "virtuelnih mreža", onda možemo reći da je VLAN samo tag u okviru koji se prenosi preko mreže. Oznaka sadrži VLAN broj (zove se VLAN ID ili VID), - kojem je dodijeljeno 12 bitova, odnosno Welan se može numerisati od 0 do 4095. Prvi i posljednji broj su rezervirani, ne mogu se koristiti. Obično radne stanice ne znaju ništa o VLAN-ovima (osim ako posebno ne konfigurišete VLAN-ove na karticama). Prekidači razmišljaju o njima. Portovi prekidača pokazuju u kojem se VLAN-u nalaze. Ovisno o tome, sav promet koji izlazi kroz port je označen oznakom, odnosno VLAN. Dakle, svaki port ima PVID ( vlan identifikator porta Ovaj saobraćaj tada može proći kroz druge portove komutatora(ova) koji su u ovom VLAN-u i neće ići kroz sve ostale portove. Kao rezultat, stvara se izolirano okruženje (podmreža) koje, bez dodatnog uređaja (rutera), ne može komunicirati s drugim podmrežama.

Zašto su Wehlani potrebni?

  • Sposobnost izgradnje mreže čija logička struktura ne zavisi od fizičke. To jest, topologija mreže na nivou veze se gradi bez obzira na geografsku lokaciju sastavnih komponenti mreže.
  • Mogućnost podjele jedne domene emitiranja na više domena emitiranja. Odnosno, emitirani promet sa jedne domene ne ide na drugu domenu i obrnuto. Ovo smanjuje opterećenje mrežnih uređaja.
  • Mogućnost zaštite mreže od neovlaštenog pristupa. To jest, na sloju veze podataka, okviri iz drugih vilana će biti skraćeni od strane porta komutatora bez obzira na izvornu IP adresu paketa inkapsuliranog u ovom okviru.
  • Mogućnost primjene pravila na grupu uređaja koji se nalaze u istom Vilanu.
  • Mogućnost korištenja virtuelnih interfejsa za rutiranje.

Primjeri korištenja VLAN-a

  • Kombinovanje računara povezanih na različite prekidače u jednu mrežu... Recimo da imate računare koji su povezani na različite prekidače, ali ih je potrebno spojiti u jednu mrežu. Kombinovaćemo neke računare u virtuelnu lokalnu mrežu VLAN 1, a drugi - na mrežu VLAN 2... Zahvaljujući funkciji VLAN računari u svakoj virtuelnoj mreži će raditi kao da su povezani na isti prekidač. Računari iz različitih virtuelnih mreža VLAN 1 i VLAN 2 biće nevidljivi jedno drugom.
  • Razdvajanje računara povezanih na jedan prekidač u različite podmreže. Na slici su računari fizički povezani na jedan prekidač, ali su razdvojeni u različite virtuelne mreže VLAN 1 i VLAN 2... Računari iz različitih virtuelnih podmreža biće nevidljivi jedni drugima.

  • Razdvajanje gostujuće Wi-Fi mreže i poslovne Wi-Fi mreže. Na slici je jedna Wi-Fi pristupna tačka fizički povezana sa ruterom. Na tački su kreirane dvije virtuelne Wi-Fi tačke sa imenima HotSpot i Ured... TO HotSpot laptopovi za goste će biti povezani putem Wi-Fi mreže za pristup internetu i za Ured- laptop računari za preduzeća. Iz sigurnosnih razloga, imperativ je da laptop računari za goste nemaju pristup mreži preduzeća. Za ovo, poslovni računari i virtuelna Wi-Fi pristupna tačka Ured ujedinjeni u virtuelnu lokalnu mrežu VLAN 1 a gostujući laptopovi će biti u virtuelnoj mreži VLAN 2... Gosti laptop računari sa mreže VLAN 2 neće imati pristup mreži preduzeća VLAN 1.

Prednosti korištenja VLAN-a

  • Fleksibilna podjela uređaja u grupe
  • Tipično, jedan VLAN odgovara jednoj podmreži. Računari na različitim VLAN-ovima će biti izolirani jedan od drugog. Takođe možete kombinovati računare povezane na različite prekidače u jednu virtuelnu mrežu.
  • Smanjenje saobraćaja emitovanja na mreži
  • Svaki VLAN predstavlja zaseban domen emitovanja. Emitovani saobraćaj se neće emitovati između različitih VLAN-ova. Ako konfigurišete isti VLAN na različitim prekidačima, onda će portovi različitih komutatora činiti jednu domenu emitovanja.
  • Povećana sigurnost mreže i upravljivost
  • U mreži podijeljenoj na virtuelne podmreže, zgodno je primijeniti politike i sigurnosna pravila za svaki VLAN. Politika će se primijeniti na cijelu podmrežu, a ne na pojedinačni uređaj.
  • Smanjenje količine opreme i mrežnog kabla
  • Da biste kreirali novi VLAN, ne morate kupiti prekidač ili položiti mrežni kabl. Međutim, trebali biste koristiti skuplje upravljane prekidače s omogućenim VLAN-om.

Označeni i neoznačeni portovi

Kada port mora biti u mogućnosti da prima ili šalje promet sa različitih VLAN-ova, tada mora biti u označenom ili trunk stanju. Koncepti magistralnog porta i označenog porta su isti. Magistralni ili označeni port može nositi ili pojedinačno specificirane VLAN-ove ili sve zadane VLAN-ove, osim ako nije drugačije navedeno. Ako port nije označen, onda može nositi samo jedan VLAN (nativni). Ako port ne pokazuje u kojem se VLAN-u nalazi, onda se pretpostavlja da je u neoznačenom stanju u prvom VLAN-u (VID 1).

Različita oprema je u ovom slučaju drugačije konfigurisana. Za jednu opremu potrebno je da na fizičkom interfejsu naznačite u kakvom je stanju ovaj interfejs, a na drugoj, u određenom VLAN-u, potrebno je da navedete koji port je pozicioniran kao - sa ili bez oznake. A ako je potrebno da ovaj port prođe nekoliko VLAN-ova kroz sebe, onda u svakom od ovih VLAN-ova trebate registrirati ovaj port sa oznakom. Na primjer, u prekidačima Enterasys Networks moramo naznačiti u kojem VLAN-u se nalazi određeni port i dodati ovaj port na izlaznu listu ovog VLAN-a kako bi promet mogao prolaziti kroz ovaj port. Ako želimo da saobraćaj drugog VLAN-a prolazi kroz naš port, onda dodajemo i ovaj port na izlaznu listu ovog VLAN-a. Na opremi HP(na primjer, prekidači ProCurve) u samom VLAN-u označavamo koji portovi mogu proći promet ovog VLAN-a i dodajemo stanje portova - označeno ili neoznačeno. Najlakši hardverski Cisco Systems... Na takvim prekidačima jednostavno označavamo koji portovi su neoznačeni s kojim VLAN-ovima (nalaze se u pristup) i koji su portovi u označenom stanju (su u prtljažnik).

Za konfiguriranje portova u načinu rada prtljažnik napravljeni su posebni protokoli. Jedan od njih ima standard IEEE 802.1Q. Riječ je o međunarodnom standardu koji podržavaju svi proizvođači i najčešće se koristi za konfiguriranje virtualnih mreža. Osim toga, različiti proizvođači mogu imati svoje vlastite protokole za prijenos podataka. Na primjer, Cisco napravio protokol za moju opremu ISL (Inter switch lisk).

Inter-vlan rutiranje

Šta je inter-WLAN rutiranje? Ovo je normalno rutiranje podmreže. Jedina razlika je u tome što svaka podmreža odgovara VLAN-u na drugom nivou. Šta to znači. Recimo da imamo dva VLAN-a: VID = 10 i VID = 20. Na drugom nivou, ovi VLAN-ovi dijele jednu mrežu na dvije podmreže. Domaćini na ovim podmrežama ne mogu vidjeti jedni druge. Odnosno, saobraćaj je potpuno izolovan. Da bi hostovi mogli međusobno komunicirati, potrebno je usmjeriti promet ovih VLAN-ova. Da bismo to uradili, na trećem nivou treba da dodelimo interfejs svakom VLAN-u, odnosno da im priložimo IP adresu. Na primjer, za VID = 10 IP adresa će biti 10.0.10.1/24, a za VID = 20 IP adresa će biti 10.0.20.1/24. Ove adrese će dalje djelovati kao pristupne mreže za pristup drugim podmrežama. Dakle, možemo usmjeriti promet hosta s jednog VLAN-a na drugi VLAN. Kako se VLAN rutiranje može usporediti s jednostavnim usmjeravanjem posjetitelja koji nisu VLAN? Evo šta:

  • Sposobnost da postanete član druge podmreže na strani klijenta je blokirana. Odnosno, ako je host u određenom VLAN-u, čak i ako promijeni svoju adresu iz druge podmreže, i dalje će ostati u VLAN-u koji je bio. To znači da neće moći pristupiti drugoj podmreži. A to će zauzvrat zaštititi mrežu od "loših" klijenata.
  • Možemo staviti više fizičkih sučelja prekidača u VLAN. Odnosno, imamo mogućnost da odmah konfigurišemo rutiranje na komutatoru trećeg nivoa povezivanjem mrežnih klijenata na njega, bez upotrebe eksternog rutera. Ili možemo koristiti eksterni ruter povezan sa prekidačem drugog sloja, na kojem su konfigurisani VLAN-ovi, i kreirati onoliko podsučelja na portu rutera koliko je ukupni VLAN koji treba da usmjerava.
  • Vrlo je zgodno koristiti drugi sloj u obliku VLAN-a između prvog i trećeg nivoa. Pogodno je označiti podmreže kao VLAN sa određenim interfejsima. Zgodno je konfigurirati jedan VLANn i staviti gomilu komutacijskih portova u njega. I općenito, mnoge stvari su zgodne za raditi kada postoji VLAN.

Nažalost, mnoga savremena preduzeća i organizacije praktično ne koriste tako korisnu, a često i samo potrebnu priliku koju pružaju najsavremeniji svičevi lokalnih mreža (LAN), kao što je organizacija virtuelnih LAN-a (VLAN, VLAN) u okviru mrežne infrastrukture. Teško je reći šta je to izazvalo. Možda nedostatak informacija o prednostima VLAN tehnologije, njena prividna složenost ili nespremnost da se koristi "sirov" alat koji ne garantuje interoperabilnost između mrežnih uređaja različitih proizvođača (iako je VLAN tehnologija standardizovana već godinu dana, a sve vodeći proizvođači aktivne mrežne opreme podržavaju ovaj standard). Stoga je ovaj članak posvećen VLAN tehnologiji. Razmotrit će se prednosti korištenja VLAN-a, najčešći načini organiziranja VLAN-a i interakcija između njih, kao i karakteristike izgradnje VLAN-a kada se koriste svičevi nekih poznatih proizvođača.

zašto je to potrebno

Šta je VLAN? Ovo je grupa računara povezanih na mrežu, logično ujedinjenih u domen za emitovanje iz nekog razloga. Na primjer, računarske grupe se mogu rasporediti u skladu sa organizacionom strukturom preduzeća (po odjelima i
odjela) ili na osnovu rada na zajedničkom projektu ili zadatku.

Postoje tri glavne prednosti korištenja VLAN-a. Ovo je mnogo efikasnije korišćenje propusnog opsega nego u tradicionalnim LAN mrežama, povećan nivo zaštite prenetih informacija od neovlašćenog pristupa i pojednostavljenje administracije mreže.

Budući da se pri korištenju VLAN-a cijela mreža logično dijeli na broadcast domene, informacije se od strane članova VLAN-a prenose samo na druge članove istog VLAN-a, a ne na sva računala na fizičkoj mreži. Dakle, emitovani saobraćaj (obično generisan od strane servera koji oglašavaju svoje prisustvo i mogućnosti drugim uređajima na mreži) je ograničen na unapred definisanu domenu, umesto da se šalje svim stanicama na mreži. Time se postiže optimalna distribucija propusnog opsega mreže između logičkih grupa računara: radne stanice i serveri iz različitih VLAN-ova „ne vide“ jedni druge i ne ometaju jedni druge.

Pošto se razmena podataka vrši samo unutar određene VLAN mreže, računari iz različitih virtuelnih mreža ne mogu primati saobraćaj generisan u drugim VLAN-ovima. Upotreba analizatora protokola i alata za praćenje mreže za prikupljanje saobraćaja na VLAN-ovima koji nisu na onoj kojoj korisnik to želi predstavlja značajne poteškoće. Zbog toga su u VLAN okruženju informacije koje se prenose preko mreže mnogo bolje zaštićene od neovlašćenog pristupa.

Još jedna prednost korištenja VLAN-a je da pojednostavljuje mrežnu administraciju. Ovo posebno vrijedi za zadatke kao što su dodavanje novih elemenata u mrežu, njihovo premještanje i brisanje. Na primjer, kada se korisnik VLAN-a preseli u drugu prostoriju, čak i ako se nalazi na drugom spratu ili u drugoj zgradi preduzeća, administrator mreže ne mora ponovo da povezuje kablove. Samo treba da postavi mrežnu opremu sa svog radnog mesta. Osim toga, u nekim implementacijama VLAN-a, kretanje članova VLAN-a može se automatski kontrolirati bez potrebe za intervencijom administratora. Mrežni administrator također može obavljati operacije za kreiranje novih logičkih grupa korisnika, dodavanje novih članova grupama preko mreže, bez napuštanja svog radnog mjesta. Sve ovo značajno štedi radno vrijeme administratora, koje se može iskoristiti za rješavanje drugih jednako važnih zadataka.

Metode organizacije VLAN-a

Vodeći proizvođači prekidača odjela i radnih grupa u svojim uređajima po pravilu koriste jedan od tri načina organiziranja VLAN-a: na osnovu portova, MAC adresa ili Layer 3 protokola. Svaka od ovih metoda odgovara jednom od tri niža sloja OSI modela interakcije otvorenog sistema: fizičkom, kanalnom i mrežnom, respektivno. Postoji četvrti način organizovanja VLAN-a - zasnovan na pravilima. Danas se rijetko koristi, iako pruža veliku fleksibilnost u organiziranju VLAN-a, a u bliskoj budućnosti bi mogao biti široko korišten u uređajima. Pogledajmo na brzinu svaku od gore navedenih metoda organizacije VLAN-a, njihove prednosti i nedostatke.

VLAN baziran na portovima. Kao što ime sugerira, VLAN-ovi su organizirani logičkim povezivanjem odabranih fizičkih portova komutatora. Na primjer, mrežni administrator može odrediti da portovi komutatora označeni brojevima 1, 2, 5 formiraju VLAN1, a portovi 3, 4, 6 od VLAN2, itd. Nekoliko računara može biti povezano na jedan komutacijski port (na primjer, preko čvorišta) . Svi će oni pripadati istom VLAN-u - onom kojem je dodijeljen svič port koji ih opslužuje. Ovo čvrsto vezivanje članstva u VLAN-u je nedostatak VLAN-ova baziranih na portovima.

VLAN baziran na MAC adresama. Ova metoda vam omogućava da izgradite VLAN-ove na osnovu jedinstvene heksadecimalne adrese sloja veze koju svaki mrežni adapter ima na serveru ili radnoj stanici na mreži. Ovo je fleksibilniji način organiziranja VLAN-ova u odnosu na prethodni, budući da se uređaji koji pripadaju različitim VLAN-ovima mogu povezati na isti switch port. Osim toga, svič automatski prati kretanje računara od jednog porta komutatora do drugog i omogućava vam da sačuvate pripadnost premještenog računara određenom VLAN-u bez intervencije mrežnog administratora. Radi prilično jednostavno: prekidač održava tabelu korespondencije između MAC adresa računara i virtuelnih mreža. Čim se računar prebaci na drugi port na komutatoru, upoređujući izvorno polje MAC adrese u zaglavlju prvog okvira koji je poslat nakon pomeranja računara sa podacima u svojoj tabeli, prekidač donosi ispravan zaključak o tome da VLAN pripada preselio kompjuter. Nedostatak ove metode VLAN organizacije je početna mukotrpnost konfiguracije VLAN-a, koja je prepuna grešaka. Iako se tabela MAC adresa po prekidačima izgrađuje automatski, mrežni administrator mora sve to pregledati i utvrditi da li ova heksadecimalna MAC adresa odgovara toj i takvoj radnoj stanici, a zatim je dodijeliti odgovarajućoj virtuelnoj mreži. Međutim, naknadna rekonfiguracija VLAN-a baziranih na MAC adresama zahtijevat će znatno manje napora nego u slučaju VLAN-ova baziranih na portovima.

VLAN baziran na Layer 3 protokolima. Ova metoda se rijetko koristi na prekidačima odjeljenja i radnih grupa. Tipičan je za prekidače rutiranja oko kičme koji imaju ugrađene mogućnosti rutiranja za glavne LAN protokole - IP, IPX i AppleTalk. U ovoj metodi, grupa portova prekidača koji pripadaju određenom VLAN-u povezana je sa određenom IP podmrežom ili IPX mrežom. Ova fleksibilnost je obezbeđena činjenicom da se prelazak korisnika na drugi port koji pripada istom VLAN-u nadgleda komutator i ne zahteva rekonfiguraciju. Prednost ove metode je i jednostavnost VLAN konfiguracije, koja se može izvršiti automatski, budući da svič analizira mrežne adrese računara povezanih sa svakim VLAN-om. Osim toga, kao što je već spomenuto, uređaji koji podržavaju metod organiziranja VLAN-a na bazi Layer 3 protokola imaju ugrađene mogućnosti rutiranja, što omogućava interoperabilnost između različitih VLAN-ova bez upotrebe dodatnih alata. Nedostatak ove metode je, možda, samo jedan - visoka cijena prekidača u kojima se implementira.

VLAN baziran na pravilima. Pretpostavlja se da komutator ima mogućnost detaljne analize unapred definisanih polja, pa čak i pojedinačnih bitova paketa koji prolaze kroz njega kao mehanizama za izgradnju VLAN-a. Ova metoda pruža gotovo neograničene mogućnosti za kreiranje virtuelnih mreža na osnovu mnogih kriterijuma. Na primjer, čak i po principu uključivanja svih korisnika u VLAN, u čijim računarima su instalirani mrežni adapteri navedenog proizvođača. Uprkos ogromnoj fleksibilnosti, proces konfiguracije VLAN-a zasnovan na pravilima oduzima mnogo vremena. Osim toga, posjedovanje složenih pravila može negativno utjecati na propusnost komutatora, budući da će značajan dio njegove procesorske snage biti potrošen na analizu paketa.

Također, uređaji se mogu automatski premjestiti na VLAN na osnovu podataka o autentifikaciji korisnika ili uređaja koristeći 802.1x protokol.

izgradnja distribuiranih VLAN-ova

Moderni LAN-ovi često sadrže više od jednog prekidača. Računari koji pripadaju istom VLAN-u mogu se povezati na različite prekidače. Dakle, da bi se promet pravilno usmjerio, mora postojati mehanizam koji omogućava komutatorima da razmjenjuju informacije o VLAN pripadnosti uređaja povezanih na njih. Ranije je svaki proizvođač u svojim uređajima implementirao vlasničke mehanizme za razmjenu takvih informacija. Na primjer, 3Com je ovu tehnologiju nazvao VLT (Virtual LAN Trunk), Cisco Systems je nazvao ISL (Inter-Switch Link). Stoga je za izgradnju distribuiranih VLAN-ova bilo potrebno koristiti uređaje istog proizvođača. Situacija se dramatično poboljšala kada je usvojen standard za izgradnju označenih VLAN-ova, IEEE 802.1Q, koji sada dominira svijetom VLAN-ova. Između ostalog, regulira i mehanizam za razmjenu VLAN informacija između prekidača. Ovaj mehanizam vam omogućava da dopunite okvire koji se prenose između prekidača sa poljima koja ukazuju na pripadnost određenom VLAN-u. Danas svi vodeći proizvođači LAN prekidača podržavaju standard 802.1Q u svojim uređajima. Shodno tome, danas je već moguće graditi virtuelne mreže pomoću prekidača različitih proizvođača. Iako, kao što ćete kasnije vidjeti, čak i radeći u skladu sa 802.1Q, svičevi različitih proizvođača pružaju daleko od istih mogućnosti organizacije VLAN-a.

organizacija interakcije između VLAN-ova

Računari smješteni u različitim VLAN-ovima ne mogu međusobno komunicirati direktno. Da biste organizirali ovu interakciju, morate koristiti ruter. Ranije su se za to koristili konvencionalni ruteri. Štaviše, bilo je potrebno da ruter ima onoliko fizičkih mrežnih interfejsa koliko je bilo VLAN-ova. Osim toga, svičevi su morali dodijeliti jedan port iz svakog VLAN-a za povezivanje rutera. S obzirom na visoku cijenu portova rutera, cijena takvog rješenja bila je vrlo visoka. Osim toga, konvencionalni ruter je uveo značajno kašnjenje u prijenosu podataka između VLAN-ova. Danas se za prijenos podataka između VLAN-ova koriste prekidači za rutiranje, koji imaju nisku cijenu po portu i izvode hardversko rutiranje prometa brzinom komunikacijskog kanala. Prekidači rutera su takođe usklađeni sa IEEE 802.1Q standardom, a da bi organizovali komunikaciju između distribuiranih VLAN-ova, moraju da koriste samo jedan port za povezivanje svakog od prekidača radne grupe koji povezuju uređaje koji odgovaraju različitim VLAN-ovima na mrežu. Drugim riječima, informacije se mogu razmjenjivati ​​između uređaja iz različitih VLAN-ova preko jednog porta modernog prekidača za rutiranje.

korištenje zajedničkih mrežnih resursa od strane računara različitih VLAN-ova

Veoma interesantna je mogućnost organizovanja pristupa deljenim mrežnim resursima (mrežni serveri, štampači, itd.) računarima koji pripadaju različitim VLAN-ovima. Prednosti ove funkcije su očigledne. Prvo, nema potrebe za kupovinom rutera ili prekidača za rutiranje ako ne trebate organizirati direktnu razmjenu podataka između računala iz različitih VLAN-ova. Moguće je osigurati interakciju između računara različitih VLAN-ova preko mrežnog servera, kojem svi ili više VLAN-ova imaju pristup. Drugo, uz zadržavanje svih prednosti korištenja VLAN-a, moguće je ne kupovati servere za svaki VLAN posebno, već koristiti općenite.

Najlakši način da se korisnicima iz različitih VLAN-ova omogući pristup istom serveru je da instalirate više mrežnih adaptera na server i povežete svaki od ovih adaptera za prebacivanje portova koji pripadaju različitim VLAN-ovima. Međutim, ovaj pristup ima ograničenje na broj VLAN-ova (ne možete instalirati mnogo mrežnih adaptera na server), nameće stroge zahtjeve za komponente servera (drajveri mrežnog adaptera zahtijevaju povećanje količine RAM-a, veliko opterećenje CPU-a i I/O sabirnice servera, itd.) i ne doprinosi uštedi troškova (koristeći više mrežnih adaptera i dodatnih portova komutatora).

Pojavom standarda IEEE 802.1Q postalo je moguće prenijeti informacije koje se odnose na sve ili nekoliko VLAN-ova preko jednog porta komutatora. Kao što je gore pomenuto, za ovo, komutator (ili drugi uređaj koji podržava 802.1Q) dodaje polje u okvir koji se prenosi preko mreže, koje jedinstveno identifikuje pripadnost okvira određenom VLAN-u. Jednostavno je moguće spojiti na takav port sa samo jednom komunikacijskom linijom server zajednički za sve VLAN-ove. Jedini uslov je da mrežni adapter servera mora podržavati 802.1Q standard kako bi server mogao znati iz kojeg VLAN-a dolazi zahtjev i, shodno tome, gdje poslati odgovor. Ovako je server podijeljen između VLAN-ova u upravljanim prekidačima na nivou odjela i radne grupe u 3Com, Hewlett-Packard i Cisco Systems.

zaključak

Kao što vidite, VLAN-ovi su moćan alat za umrežavanje koji može riješiti probleme administracije, sigurnosti prijenosa podataka, kontrole pristupa informacijskim resursima i značajno povećati efikasnost korištenja mrežnog propusnog opsega.

Oleg Podukov, šef tehničkog odjela kompanije KOMPLETNA

Danas ću započeti malu seriju članaka o VLAN-ovima. Počnimo od toga šta je, čemu služi, kako ga postaviti, a mi ćemo ići dublje i postepeno istraživati, ako ne i najviše od svih mogućnosti koje nam VLAN pružaju.

Dakle, zapamtite, razgovarali smo o takvom konceptu kao? Mislim da se sećaš. Govorili smo i o tome da postoji nekoliko vrsta adresa:.

Na osnovu toga napravićemo još jedan uvodni koncept. Broadcast domena. Šta je on zaista?

Ako je okvir/paket poslan, emitiran (ako je ovo okvir onda su svi bitovi u polju Destination Address jednaki jedan, ili će u 16. obliku MAC adresa biti: FF FF FF FF FF FF), tada će ovaj okvir biti proslijeđen na sve portove komutatora, osim na onaj s kojeg je ovaj okvir primljen. To će se dogoditi kada, na primjer, našim prekidačem nije upravljano, ili ako se njime upravlja, ali su svi u istom VLAN-u (više o tome kasnije).
Ovo je lista uređaja koji primaju ove okvire emitovanja i naziva se domen emitovanja.

Sada da odlučimo, šta je VLAN?

VLAN - Virtuelna lokalna mreža, tj. neka vrsta virtuelne mreže. čemu služi?

VLAN nam omogućava da podijelimo svoje broadcast domene u jednom prekidaču. One. ako imamo jedan prekidač, dodjeljujemo neke portove jednom VLAN-u, drugi drugom. I imaćemo dva različita domena za emitovanje. Naravno, to ne ograničava mogućnosti. O njima ću dalje, postepeno.

Ukratko, VLAN omogućava administratoru da kreira mrežu fleksibilnije, dijeleći je na neke podmreže (na primjer, mreža računovođa, mreža menadžera i tako dalje), drugim riječima, VLAN pomaže u ujedinjenju uređaja sa nekim zajedničkim skup zahtjeva u jednu grupu, te da ga odvoji od drugih takvih odvojenih grupa.

Odmah ću rezervisati da VLAN-ovi rade na OSI sloju 2.
Zapamtite, kada smo pogledali okvir, tamo nije bilo polja za VLAN. Kako onda možete odrediti kojem VLAN-u pripada određeni okvir?

Postoji nekoliko standarda.

1. IEEE 802.1Q - Ovaj standard je otvoren. Ovaj standard označava ovaj ili onaj okvir, koji je "vezan" za neko VLAN tagovanje.
Označavanje je funkcija prekidača (ili bilo kojeg drugog uređaja koji "razumije" VLAN) koji ubacuje 4-bajtnu oznaku u ethernet okvir. Procedura označavanja ne mijenja podatke zaglavlja, tako da oprema koja ne podržava VLAN tehnologiju može lako prenijeti takav okvir dalje preko mreže uz zadržavanje oznake.

Ovako će okvir izgledati nakon umetanja VLAN oznake.

Na osnovu njihove figure vidimo da se VLAN tag sastoji od 4 polja, opisujemo ih:

- 2 bajta Tag Protocol Identifier (TPID) - ovo je identifikator protokola, u našem slučaju to je 802.1Q, u 16. obliku ovo polje će izgledati: 0x8100.

- Prioritet — polje za postavljanje prioriteta prema standardu 802.1p (o tome u sljedećim člancima). Veličina ovog polja je 3 bita (8 vrijednosti 0-7).

- Indikator kanonskog formata (CFI). Indikator kanonskog formata, veličina ovog polja je 1 bit. Ovo polje označava format mac adrese (1 je konusno, 0 nije kanonsko.)

- VLAN ID, zapravo, ovo je ono što smo danas okupili za 🙂 VLAN identifikator. Veličina polja je 12 bita, može imati vrijednost od 0 do 4095.

Prilikom korištenja VLAN-a (tagiranja) po standardu 802.1Q, vrše se promjene u okviru, stoga je potrebno preračunati FCS vrijednost, što zapravo radi prekidač.

U standardu 802.1Q postoji koncept kao što je Native VLAN, po defaultu Native VLAN ID je jednak jedan (može se promijeniti), Native VLAN karakterizira činjenica da ovaj VLAN nije označen.

2. Inter-switch-link (ISL). Protokol koji je razvio Cisco i može se koristiti samo na sopstvenoj opremi.
Ovaj protokol je razvijen čak i prije usvajanja 802.1Q.
ISL trenutno više nije podržan na novom hardveru, ali ipak možete naići na ovaj protokol u radu, pa se moramo upoznati s njim.

Za razliku od 802.1Q, gdje je izvršeno jednostavno označavanje okvira (ubacivanje 4 bajta u okvir), ovdje se koristi tehnologija enkapsulacije, odnosno dodaje se zaglavlje koje sadrži informacije o VLAN-u. VLAN ISL, za razliku od 802.1Q, podržava do 1000 VLAN-ova.

Pogledajmo okvir u grafičkom obliku, kako izgleda ova inkapsulacija.

Ovdje odmah možemo vidjeti prvi i možda najosnovniji nedostatak ISL-a - povećava okvir za 30 bajtova (26 bajta zaglavlje i 4 bajta FCS).

Razmotrimo ISL Header detaljnije, da vidimo šta je tamo pohranjeno u toliko bajtova!

  • Adresa odredišta (DA) - adresa primaoca, ovdje je naznačena posebna multicast adresa, koja označava da je okvir inkapsuliran korištenjem ISL-a. Multicast adresa može biti 0x01-00-0C-00-00 ili 0x03-00-0c-00-00.
  • Tip - dužina polja 4 bita, označava protokol koji je inkapsuliran u okviru. Može imati nekoliko vrijednosti:

0000 - Ethernet
0001 - Token-Ring
0010 - FDDI
0011 - bankomat

U našem slučaju, pošto razmatramo Ethernet, ova vrijednost će biti jednaka svim 0.

  • USER je vrsta "skraćenog" analoga polja Priority u 802.1Q, koji se koristi za postavljanje prioriteta okvira. Iako polje zauzima 4 bita, može imati 4 vrijednosti (u 802.1Q - 8).
  • Izvorna adresa (SA) - adresa izvora, ovo mjesto se zamjenjuje vrijednošću MAC adrese porta sa kojeg je ovaj inkapsulirani okvir poslan.
  • LEN je dužina okvira. Ne uzima u obzir polja kao što su: DA, TYPE, USER, SA, LEN, FCS. Dakle, ispada da je ova vrijednost jednaka inkapsuliranom okviru - 18 bajtova.
  • AAAA03 (SNAP) - SNAP i LLC (ovo polje sadrži vrijednost AAAA03).
  • HSA - Visoki bitovi izvorne adrese - 3 visoka bajta MAC adrese (zapamtite da ovi bajtovi sadrže kod proizvođača), za Cisco je 00-00-0C
  • VLAN - konačno došao do samog glavnog polja. Ovdje je zapravo specificiran VLAN ID. Polje je veličine 15 bita.
  • BPDU je skraćenica za Bridge Protocol Data Unit i Cisco Discovery Protocol. Polje za BPDU i CDP protokole. Šta je to i zašto, saznat ćemo u sljedećim člancima.
  • INDX - Indeks, naznačen je indeks porta pošiljaoca, koristi se u dijagnostičke svrhe.
  • RES - Rezervisano za Token Ring i FDDI. Rezervirano polje za Token Ring i FDDI. Polje ima 16-bitnu veličinu. Ako se koristi ethernet protokol onda se sve nule stavljaju u ovo polje.
  • Enkapsulirani okvir je običan okvir koji je inkapsuliran. Ovaj okvir ima svoja polja, kao što su DA, SA, LEN, FCS i tako dalje.
  • FCS - vlastiti ISL FCS (pošto je okvir potpuno promijenjen, potrebna je nova provjera okvira, za to su namjenjena posljednja 4 bajta).

Možemo izvući neke zaključke u korist 802.1Q.

  1. Označavanje dodaje samo 4 bajta u okvir, za razliku od ISL-a (30 bajtova).
  2. 802.1Q je podržan na bilo kojoj opremi koja podržava VLAN, dok ISL radi samo na Cisco uređajima, i to ne na svim.

U ovom članku smo brzo pogledali koncept VLAN-a. Dalje ćemo razumjeti detalje.

Još jedan mali alat koji može malo povećati upotrebljivost: baner. Ovo je oglas koji će tsiska prikazati prije autorizacije na uređaju.

Switch (config) #banner motd q Unesite TEKST poruku. Završite znakom "q". To je samo baner. q Prekidač (konfiguracija) #
Nakon motd, navedete znak koji će služiti kao signal da je linija završena. U ovom primjeru stavljamo “q”.

O sadržaju banera. Postoji takva legenda: haker je provalio u mrežu, tamo nešto razbio / ukrao, uhvaćen je, a na suđenju je oslobođen i pušten. Zašto? Ali zato što je na graničnom ruteru (između interneta i interne mreže) na baneru ispisana riječ “Dobro došli”. “Pa, pošto pitaju, ušao sam”)). Stoga se smatra dobrom praksom da na baneru napišete nešto poput “Pristup odbijen!”.

Da organizujete svoje znanje tačku po tačku, pogledajmo šta treba da uradite:

1) Konfigurirajte ime hosta. Ovo će vam pomoći u budućnosti na stvarnoj mreži da se brzo krećete gdje se nalazite.
Switch (config) #hostname HOSTNAME

2) Kreirajte sve vlan-ove i dajte im ime
Switch (config) #vlan VLAN-NUMBER Switch (config-vlan) #name NAME-OF-VLAN

3) Konfigurišite sve pristupne portove i dajte im ime
Prekidač (config-if) #description OPIS-INTERFACE Prekidač (config-if) #switchport način pristupa Prekidač (config-if) #switchport pristup vlan VLAN-BROJ

Ponekad je zgodno konfigurirati interfejse u serijama:

Msk-arbat-asw3 (config) #opseg interfejsa fastEthernet 0/6 - 10 msk-arbat-asw3 (config-if-range) #description FEO msk-arbat-asw3 (config-if-range) #switchport način pristupa msk- arbat-asw3 (config-if-range) #switchport access vlan 102

4) Konfigurirajte sve trunk portove i dajte im ime:
Switch (config-if) #description DESCRIPTION-OF-INTERFACE Switch (config-if) #switchport mode trunk Switch (config-if) #switchport trunk dozvoljen vlan VLAN-BROJEVI

5) Ne zaboravite sačuvati:
Prebacite # copy running-config startup-config

Ukupno: šta smo postigli? Svi uređaji u jednoj podmreži mogu vidjeti jedni druge, ali ne mogu vidjeti uređaje u drugoj. U sljedećem dijelu ćemo se pozabaviti ovim problemom, kao i statičkim usmjeravanjem i L3 prekidačima.
Općenito, ova lekcija se može završiti na ovome. U videu možete još jednom vidjeti kako su vlan-ovi konfigurisani. Kao domaći zadatak, konfigurišite vlans na serverskim prekidačima.

Ovdje možete preuzeti konfiguraciju svih uređaja:
Lift-me-Up_Configuration.zip
I naš RT projekat:
Lift-me-UP_v2-VLANs.pkt

P.S.
Važan dodatak: u prethodnom dijelu, govoreći o native vlanu, malo smo vas dezinformisali. Na cisco opremi takva shema rada je nemoguća.
Podsjetimo da smo predložili prijenos neoznačenih okvira 101. vlan-a na prekidač msk-rubl-asw1 i primanje ih tamo u prvom.
Činjenica je da, kao što smo gore spomenuli, sa stanovišta cisco-a, isti vlan broj mora biti konfiguriran s obje strane na prekidačima, inače počinju problemi sa STP protokolom i možete vidjeti upozorenja o neispravnoj konfiguraciji u logovima . Stoga prenosimo 101. vlan na uređaj na uobičajen način, okviri će biti označeni i, shodno tome, 101. vlan također mora biti kreiran na msk-rubl-asw1.

Još jednom želimo napomenuti da uz svu našu želju nećemo moći pokriti sve nijanse i suptilnosti, stoga si ne postavljamo takav zadatak. Stvari kao što su način na koji se gradi MAC adresa, vrijednosti polja Ether Type ili čemu služi CRC na kraju okvira, morate sami naučiti. Dodaj oznake

VLAN (Virtual Local Area Network) omogućava prekidačima ili ruterima da kreiraju više VLAN-ova na jednom fizičkom mrežnom interfejsu. Jednostavan i zgodan način odvajanja saobraćaja između klijenata ili baznih stanica koristeći VLAN.

VLAN tehnologija znači da se mrežnom okviru (sloj 2) dodaje dodatno zaglavlje oznake koje sadrži servisne informacije i VLAN ID. Vrijednosti VLAN ID-a mogu biti u rasponu od 1 do 4095. U ovom slučaju, 1 je rezerviran kao zadani VLAN.

Kada radite sa VLAN-ovima, važno je razumjeti šta je označeni i neoznačeni promet. Označeni saobraćaj (sa vlan ID-om) uglavnom ide između prekidača i servera. Obični računari (posebno oni koji koriste Windows) ne razumiju označeni promet. Stoga, na onim portovima koji gledaju direktno na radne stanice ili u mrežu s neupravljanim prekidačem, izdaje se neoznačeni promet. One. oznaka je odsječena od mrežnog okvira. Ovo se takođe dešava ako je port konfigurisan sa VLAN ID = 1.

Postoji i koncept koji se zove prtljažnik. Trank je port na komutatoru koji prenosi saobraćaj sa različitim oznakama. Tipično, trunk se konfiguriše između prekidača kako bi se omogućio pristup VLAN-ovima sa različitih prekidača.

Korištenje VLAN-a na Mikrotik opremi

Mikrotik ruteri i svičevi podržavaju do 250 VLAN-ova na jednom Ethernet interfejsu. Može se kreirati ne samo na Ethernet interfejsu, već i na Bridge-u, pa čak i na EoIP tunelu. VLAN se može ugraditi u drugi VLAN interfejs koristeći “Q-in-Q” tehnologiju. Možete napraviti 10 ili više ugniježđenih VLAN-ova, samo se MTU veličina svaki put smanjuje za 4 bajta.

Pogledajmo upotrebu VLAN-a koristeći primjer. Zadatak:

  • Kreirajte VLAN za HOTSPOT (172.20.22.0/24)
  • Kreirajte VLAN za VIOP telefoniju (172.21.22.0/24)
  • Izolujte mreže 172.20.22.0/24, 172.21.22.0/24 jednu od druge i od pristupa mreži 10.5.5.0/24
  • Dodijelite Ether2 port za rad u 172.20.22.0/24 mreži (VLAN)
  • Dodijelite Ether3, Ether4 za rad u 172.21.22.0/24 mreži (VLAN)

Početni podaci:

  • Internet na Ether1, dodijeljen Brigde interfejsu - Ethernet
  • Lokalna mreža (10.5.5.0/24), dodijeljena Brigde interfejsu - LAN
Kreiranje VLAN interfejsa

Kreirajte VLAN2 (ID = 2), VLAN3 (ID = 3) i dodijelite ih Bridge LAN interfejsu. LAN interfejs će delovati kao trank veza.

/ interfejs vlan add name = VLAN2 vlan-id = 2 interfejs = LAN / interfejs vlan add name = VLAN3 vlan-id = 3 interfejs = LAN

Kreiranje sučelja mosta

Kreirajte BridgeVLAN2, BridgeVLAN3 sučelje za VLAN:

/ naziv dodavanja mosta interfejsa = BridgeVLAN2 / ime dodavanja mosta interfejsa = BridgeVLAN3

Povezivanje VLAN interfejsa sa Bridge konekcijama

Povezujemo VLAN interfejse (VLAN2, VLAN3) sa Bridge (BridgeVLAN2, BridgeVLAN3) konekcijama:

/ port za premošćivanje interfejsa dodati interfejs = VLAN2 most = BridgeVLAN2 / port za premošćavanje interfejsa dodati interfejs = VLAN3 most = BridgeVLAN3

Kreirajte IP adresiranje

Dodijelite IP adresu svakom BridgeVLAN2 / BridgeVLAN3 sučelju - 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3):

/ ip adresa add address = 172.20.22.1 / 24 interfejs = BridgeVLAN2 / ip adresa add adresa = 172.21.22.1 / 24 interfejs = BridgeVLAN3

Kreiranje skupa adresa

Podesite opseg izdatih IP adresa za mreže (172.20.22.0/24, 172.21.22.0/24):

/ ip pool add name = poolVLAN2 opsezi = 172.20.22.2-172.20.22.254 / ip pool add name = poolVLAN3 opsezi = 172.21.22.2-172.21.22.254

Konfiguracija DHCP servera

Da bi uređaji primili mrežna podešavanja, automatski ćemo konfigurisati DHCP server za lokalne mreže (172.20.22.0/24, 172.21.22.0/24):

/ ip dhcp-server add name = dhcpVLAN2 sučelje = BridgeVLAN2 adresa-pool = poolVLAN2 onemogućen = ne / ip dhcp-server add name = dhcpVLAN3 sučelje = BridgeVLAN3 adresa-pool = poolVLAN3 onemogućen = ne / ip dhcp-server mreža add address20. .22.0 / 24 gateway = 172.20.22.1 / ip dhcp-server mreža add address = 172.21.22.0 / 24 gateway = 172.21.22.1

Konfigurisanje zaštitnog zida. Pristup internetu za VLAN mreže

Imam sigurnosnu postavku napravljenu za ovo. Stoga, kako bi uređaji iz lokalnih mreža (172.20.22.0/24, 172.21.22.0/24) imali pristup internetu, za njih dodajemo pravilo:

/ ip filter firewall dodati lanac = naprijed akciju = prihvatiti src-adresu = 172.20.22.0 / 24 comment = "Pristup Internetu sa LAN-a" / ip filter firewall dodati lanac = naprijed akciju = prihvatiti src-adresu = 172.21.22.0 / 24 komentara = "Pristup Internetu sa LAN-a"

Izolacija VLAN-ova

Neophodno je da VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24) mreže budu izolovane jedna od druge i od pristupa glavnoj lokalnoj mreži 10.5.5.0/24. Izrađujemo liste lokalnih mreža (LOCAL):

/ lista adresa-ip zaštitnog zida dodana lista = LOKALNA adresa = 10.5.5.0 / 24 / lista adresa ip zaštitnog zida dodaj lista = LOKALNA adresa = 172.20.22.0 / 24 / lista adresa ip adresa zaštitnog zida dodaj lista = LOKALNA adresa = 172.21.22.0 / 24

Kreirajte pravila za blokiranje pristupa lokalnim mrežama (LOCAL) sa mreža 172.20.22.0/24, 172.21.22.0/24. Pravila zabrane, moramo ih staviti iznad dozvoljenih:

/ ip filter firewall add chain = naprijed djelovanje = ispusti src-address = 172.20.22.0 / 24 dst-address-list = LOCAL / ip firewall filter add chain = naprijed radnju = ispusti src-address = 172.21.22.0 / 24 dst-address -list = LOKALNO

Distribucija VLAN-ova na portovima Mikrotik rutera

Dodjeljujemo portove rutera da rade u određenom VLAN-u. Ether2 port - BridgeVLAN2, ether3 portovi, ether4 - BridgeVLAN3:

/ port za premošćivanje interfejsa add interface = ether2 bridge = BridgeVLAN2 / port za premošćavanje interfejsa add interface = ether3 bridge = BridgeVLAN3 / port za most interfejsa add interface = ether4 bridge = BridgeVLAN3

Informacije: nije potrebno dodijeliti Bridge vezu svakom portu da pripada određenom VLAN-u. Dovoljno je postaviti Bridge vezu na samo jedan port, a zatim koristiti Master port za označavanje VLAN članstva i ostalih portova.

Ovo završava dodavanje i konfiguraciju VLAN-ova. Kao rezultat, dobili smo dvije izolovane mreže sa pristupom Internetu. Stvorene VLAN mreže postavili smo u Trunk konekciju, što će omogućiti, ako je potrebno, segmentiranje VLAN mreže na drugi ruter, to je lako učiniti. Dodijelili smo potrebne portove rutera za rad u odgovarajućim VLAN mrežama.

Top srodni članci

Ažurirajte Android OS na Samsung telefonu Ažurirajte softver na Samsung telefonu
Ažurirajte Android OS na Samsung telefonu Ažurirajte softver na Samsung telefonu
Koji pametni telefoni će se nadograditi na Android 7
Koji pametni telefoni će se nadograditi na Android 7
Dizajn, materijali karoserije, dimenzije
Dizajn, materijali karoserije, dimenzije
Kategorije:
© 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.