Šta je vlan: tehnologija i konfiguracija. Konfiguriranje VLAN-a (Virtuelne lokalne mreže) na Mikrotik mrežnoj opremi

U ovom trenutku mnoge moderne organizacije i preduzeća praktično ne koriste tako korisnu, a često i potrebnu priliku kao što je organizovanje virtuelne (VLAN) u okviru integralne infrastrukture, koju obezbeđuju većina modernih svičeva. To je zbog mnogih faktora, pa je vrijedno razmotriti ovu tehnologiju sa stanovišta mogućnosti njezine upotrebe u takve svrhe.

opći opis

Prvo, vrijedi odlučiti šta su VLAN-ovi. Pod ovim se podrazumeva grupa računara povezanih na mrežu koja su logički grupisana u domen distribucije emitovanih poruka na osnovu određenog atributa. Na primjer, grupe se mogu razlikovati ovisno o strukturi poduzeća ili prema vrsti rada na projektu ili zadatku zajedno. VLAN nude nekoliko prednosti. Za početak, govorimo o mnogo efikasnijem korišćenju propusnog opsega (u poređenju sa tradicionalnim lokalnim mrežama), povećanom stepenu zaštite informacija koje se prenose, kao i o pojednostavljenoj šemi administracije.

Budući da se pri korištenju VLAN-a cijela mreža dijeli na broadcast domene, informacije unutar takve strukture se prenose samo između njenih članova, a ne do svih računala u fizičkoj mreži. Ispostavilo se da je emitovani saobraćaj koji generišu serveri ograničen na unapred definisanu domenu, odnosno da se ne emituje na sve stanice na ovoj mreži. Na ovaj način moguće je postići optimalnu distribuciju propusnog opsega mreže između namenskih grupa računara: serveri i radne stanice iz različitih VLAN-ova jednostavno se ne vide.

Kako se odvijaju svi procesi?

U takvoj mreži informacije su prilično dobro zaštićene od razmjene podataka koja se odvija unutar jedne određene grupe računara, odnosno ne mogu primati promet generiran u nekoj drugoj sličnoj strukturi.

Ako govorimo o tome šta su VLAN-ovi, onda je prikladno napomenuti takvu prednost ove metode organizacije, jer pojednostavljeno umrežavanje utječe na takve zadatke kao što su dodavanje novih elemenata u mrežu, njihovo premještanje, a također i njihovo brisanje. Na primjer, ako se korisnik VLAN-a preseli na drugu lokaciju, mrežni administrator ne mora ponovo povezati kablove. Samo treba da konfiguriše mrežnu opremu sa svog radnog mesta. U nekim implementacijama takvih mreža, kretanje članova grupe može se kontrolisati automatski, čak i bez potrebe za intervencijom administratora. On samo treba da zna kako da konfiguriše VLAN da bi izvršio sve potrebne operacije. On može kreirati nove logičke grupe korisnika čak i bez ustajanja sa svog mjesta. Sve to uvelike štedi radno vrijeme, što može biti korisno za rješavanje ne manje važnih problema.

Metode organizacije VLAN-a

Postoje tri različite opcije: na bazi porta, na bazi L3 ili na bazi MAC-a. Svaka metoda odgovara jednom od tri niža sloja OSI modela: fizičkom, mrežnom i data-linku, respektivno. Ako govorimo o tome šta su VLAN-ovi, onda je vrijedno napomenuti prisustvo četvrtog načina organizacije - zasnovanog na pravilima. Sada se rijetko koristi, iako pruža veliku fleksibilnost. Možete detaljnije razmotriti svaku od navedenih metoda kako biste razumjeli koje karakteristike imaju.

VLAN baziran na portovima

Ovo pretpostavlja logičko grupisanje specifičnih fizičkih portova komutatora odabranih za komunikaciju. Na primjer, može odrediti da određeni portovi, na primjer, 1, 2 i 5 formiraju VLAN1, a brojevi 3, 4 i 6 se koriste za VLAN2 i tako dalje. Jedan port prekidača može se koristiti za povezivanje nekoliko računara, za koje se, na primjer, koristi čvorište. Svi oni će biti definisani kao članovi jedne virtuelne mreže, na koju je registrovan servisni port sviča. Ova čvrsta vezanost članstva u virtuelnoj mreži glavni je nedostatak ove organizacije.

VLAN baziran na MAC adresama

Ova metoda se zasniva na upotrebi jedinstvenih heksadecimalnih adresa sloja veze dostupnih za svaki server ili radnu stanicu na mreži. Ako govorimo o tome šta su VLAN-ovi, onda je vrijedno napomenuti da se ova metoda smatra fleksibilnijom u odnosu na prethodnu, jer je sasvim moguće povezati računala koja pripadaju različitim virtuelnim mrežama na jedan switch port. Osim toga, automatski prati kretanje računara s jednog porta na drugi, što vam omogućava da zadržite klijenta koji pripada određenoj mreži bez intervencije administratora.

Princip rada ovdje je vrlo jednostavan: prekidač održava tablicu korespondencije između MAC adresa radnih stanica i virtualnih mreža. Čim se računar prebaci na neki drugi port, polje MAC adrese se upoređuje sa podacima tabele, nakon čega se donosi ispravan zaključak o pripadnosti računara određenoj mreži. Nedostaci ove metode su složenost konfiguracije VLAN-a, što u početku može uzrokovati greške. Uprkos činjenici da komutator pravi sopstvene tabele adresa, administrator mreže mora da ih sve pregleda da bi odredio koje adrese odgovaraju kojim virtuelnim grupama, nakon čega ih dodeljuje odgovarajućim VLAN-ovima. I tu ima mjesta za greške, što se ponekad dešava u Cisco VLAN-ovima, čija je konfiguracija prilično jednostavna, ali će naknadna preraspodjela biti teža nego u slučaju korištenja portova.

VLAN baziran na protokolima trećeg sloja

Ova metoda se rijetko koristi na prekidačima radnih grupa ili odjela. Tipičan je za okosnice opremljene ugrađenim objektima za rutiranje za glavne LAN protokole - IP, IPX i AppleTalk. Ova metoda pretpostavlja da će grupa portova komutatora koji pripadaju određenom VLAN-u biti povezana s nekom IP ili IPX podmrežom. U ovom slučaju, fleksibilnost je obezbeđena činjenicom da se prelazak korisnika na drugi port, koji pripada istoj virtuelnoj mreži, nadgleda komutatorom i ne treba ga rekonfigurisati. VLAN rutiranje je u ovom slučaju prilično jednostavno, jer svič u ovom slučaju analizira mrežne adrese računara koje su definisane za svaku od mreža. Ova metoda također podržava interakciju između različitih VLAN-ova bez upotrebe dodatnih alata. Postoji i jedan nedostatak ove metode - visoka cijena prekidača u kojima se implementira. VLAN Rostelecom podržava rad na ovom nivou.

zaključci

Kao što ste već shvatili, virtuelne mreže su prilično moćan alat koji može riješiti probleme vezane za sigurnost prijenosa podataka, administraciju, kontrolu pristupa i povećanje efikasnosti korištenja.

Zamislimo sljedeću situaciju. Imamo kancelariju male kompanije sa 100 računara i 5 servera u svom arsenalu. Istovremeno, ova kompanija zapošljava različite kategorije zaposlenih: menadžere, računovođe, kadrovske službenike, tehničke stručnjake, administratore. Neophodno je da svako od odjeljenja radi u svojoj podmreži. Kako razlikovati promet ove mreže? Generalno, postoje dva takva načina: prvi način je da se skup IP adresa podijeli na podmreže i dodijeli vlastitu podmrežu za svako odjeljenje, drugi način je korištenje VLAN-ova.

VLAN (Virtual Local Area Network) je grupa mrežnih čvorova čiji je promet, uključujući emitiranje, potpuno izolovan od prometa drugih mrežnih čvorova na nivou veze. U modernim mrežama, VLAN-ovi su glavni mehanizam za kreiranje logičke mrežne topologije koja je nezavisna od njene fizičke topologije.

VLAN tehnologija je definisana u IEEE 802.1q, otvorenom standardu koji opisuje proceduru označavanja za prenošenje informacija o članstvu u VLAN-u. 802.1q postavlja oznaku unutar ethernet okvira koja prenosi informacije o prometu koji pripada VLAN-u.

Uzmite u obzir polja VLAN TAG-a:

• TPID (Tag Protocol Identifier) ​​- identifikator protokola za označavanje. Označava koji se protokol koristi za označavanje. Za 802.1Q, vrijednost je 0x8100.
• Prioritet - prioritet. Koristi se za postavljanje prioriteta prenesenog saobraćaja (QoS).
• CFI (Canoncial Format Indicator) - označava format MAC adrese (Ethernet ili Token Ring).
• VID (Vlan Indentifier) ​​- VLAN identifikator. Označava kojem VLAN-u okvir pripada. Možete odrediti broj od 0 do 4094.

Prilikom slanja okvira, računar ne zna u kojem se VLAN-u nalazi - svič to radi. Prekidač zna na koji port je računar povezan i na osnovu toga će odrediti u kom se VLAN-u nalazi ovaj računar.

Prekidač ima dvije vrste portova:

• Tagged port (tagged, trunk) - port preko kojeg možete prenositi ili primati saobraćaj od nekoliko VLAN grupa. Kada se prenosi preko označenog porta, okviru se dodaje VLAN oznaka. Koristi se za povezivanje na prekidače, rutere (odnosno one uređaje koji prepoznaju VLAN oznake).
• Untagged port (untagged, access) - port kroz koji se prenose neoznačeni okviri. Koristi se za povezivanje sa krajnjim čvorovima (računari, serveri). Svaki neoznačeni port je na određenom VLAN-u. Kada se saobraćaj prenosi sa ovog porta, VLAN oznaka se uklanja i neoznačeni saobraćaj odlazi na računar (koji ne prepoznaje VLAN). U suprotnom, kada se promet primi na neoznačeni port, na njega se dodaje VLAN oznaka.

Konfiguriranje VLAN-a na Dlink DES-3528 upravljanom prekidaču

DES-3528/3552 xStack serija prekidača uključuje L2 + pristupne prekidače koji se mogu složiti koji bezbedno povezuju krajnje korisnike sa mrežom velikih preduzeća i malih i srednjih preduzeća (SMB). Prekidači pružaju fizičko slaganje, statičko rutiranje, podršku za višestruko emitiranje i napredne sigurnosne funkcije. Sve ovo čini ovaj uređaj idealnim rješenjem pristupnog sloja. Prekidač se lako integriše sa L3 prekidačima jezgre kako bi formirao višeslojnu mrežnu strukturu sa velikom brzinom okosnice i centralizovanim serverima. Prekidači serije DES-3528/3552 opremljeni su sa 24 ili 48 10 / 100Mbps Ethernet portova i podržavaju do 4 Gigabit Ethernet uplink porta.

Razmotrimo principe VLAN konfiguracije na upravljanim Dlink prekidačima. U toku našeg rada proučavaćemo kako da kreiramo, brišemo, menjamo VLAN-ove, dodajemo razne vrste portova (tagovanih i neoznačenih).

Povezivanje sa komutatorom se vrši preko porta konzole pomoću programa HyperTerminal.

Koristite naredbu show vlan da vidite informacije o postojećim VLAN-ovima.

Na gornjoj slici možete vidjeti da je u početku samo jedan zadani VLAN kreiran na prekidaču sa imenom default. Naredba show vlan prikazuje sljedeća polja:

• VID - VLAN identifikator
• VLAN tip - VLAN tip
• Članske luke - uključene luke
• Static Ports - statički portovi
• Current Tagged Ports - trenutno označeni portovi
• Trenutni neoznačeni portovi - trenutni neoznačeni portovi
• Statički označeni portovi - statički označeni portovi
• Static Untagged Ports - statički neoznačeni portovi
• Ukupno unosa - ukupno unosa
• VLAN ime - VLAN ime
• Oglas - status

Kreirajmo novi VLAN koristeći inicijale AA kao ime i broj 22 kao identifikator. Za to ćemo koristiti naredbu create vlan.

Novi VLAN još ne uključuje nijedan port. Koristeći config vlan, promijenite VLAN AA tako da se u njemu pojavljuju označeni portovi 10, 14-17 i neoznačeni portovi 2-5.

Koristite naredbu show vlan za prikaz informacija o kreiranim VLAN-ovima.

Poznato je da označeni portovi mogu pripadati nekoliko VLAN-ova, a neoznačeni portovi mogu pripadati samo jednom VLAN-u. Trenutno su i označeni i neoznačeni portovi uključeni u VLAN default i VLAN AA. Koristite naredbu config vlan da uklonite sve portove koji se koriste u VLAN AA iz VLAN default.

Sa gornje slike možete vidjeti da su sada portovi 2-5, 10, 14-17 samo u VLAN AA.

Razmislite o podjeli mreže na različite VLAN-ove. Kolo je sastavljeno u ormaru za ožičenje i konfigurirana je podmreža 10.0.0.0 / 8.

U početnom trenutku, svi računari su na istoj podmreži i pinguju među sobom. Potrebno ih je razdvojiti tako da PC22, PC20, PC18 budu u jednom VLAN-u, a PC 19, PC21 u drugom VLAN-u. Da biste to učinili, kreirajte dva VLAN-a:

• VLAN = 10 imenovanih net1 (PC18, PC20, PC22)
• VLAN = 20 imenovanih net2 (PC19, PC21)

Za prekidače je razvijen plan konfiguracije porta na osnovu dijagrama. Istovremeno, uzeto je u obzir da se neoznačeni portovi moraju koristiti za računare, a označeni portovi za veze između svičeva. Prilikom konfigurisanja prekidača, označeni portovi su postavljeni u VLAN = 10 i VLAN = 20, a neoznačeni portovi su postavljeni samo u VLAN kojem računar pripada.

Na svakom od prekidača morate konfigurirati portove prema dijagramu. Na slici ispod prikazan je primjer podešavanja SW5. Prvo se kreira vlan sa identifikatorom net1 i oznakom 10. Zatim kreiramo drugi vlan net2 sa oznakom 20. Nakon toga dodajemo portove komutatora u odgovarajući vlan. Port 1 je povezan na PC22, koji je u VLAN 10. To znači da će port 1 biti neoznačen. Drugi port je povezan na SW4 prema šemi i mora proći 10 i 20 VLAN-ova kroz sebe.

Ostali prekidači su konfigurisani analogno.

Koristite naredbu show vlan da vidite svaki od VLAN-ova koje smo kreirali.

VLAN (Virtual Local Area Network) je funkcija u ruterima i prekidačima koja vam omogućava da kreirate više VLAN-ova na jednom fizičkom mrežnom interfejsu (Ethernet, Wi-Fi interfejs).

VLAN je dio većeg LAN-a. Najjednostavniji mehanizam za izolaciju različitih podmreža na What is Ethernet, WI-FI interfejsima. Da bi se organizirao VLAN, mrežni prekidač (Kako odabrati mrežni prekidač (switch, switch)) mora podržavati VLAN tehnologiju i 802.1q protokol.

VLAN prednosti:

povećava broj domena emitovanja, ali smanjuje veličinu svakog domena emitovanja, što zauzvrat smanjuje mrežni saobraćaj i povećava bezbednost mreže (obe posledice su povezane zajedno zbog jednog velikog domena emitovanja);

smanjuje napore administratora da kreiraju podmreže;

smanjuje količinu opreme, budući da se mreže mogu razdvojiti logički, a ne fizički;

poboljšava upravljanje raznim vrstama saobraćaja.

VLAN uslovi

Šta je Native VLAN Ovo je koncept u 802.1Q standardu koji znači VLAN na sviču, gdje svi okviri idu bez oznake, tj. promet se šalje neoznačen. Podrazumevano, ovo je VLAN 1. Na nekim modelima prekidača, kao što je cisco, ovo se može promeniti navođenjem drugog VLAN-a kao izvornog.

Termin untagged: samo jedan VLAN može primiti sve pakete koji nisu dodijeljeni nijednom VLAN-u (u terminologiji 3Com, Planet, Zyxel - untagged, u Cisco terminologiji - izvorni VLAN). Prekidač će dodati oznake ovog VLAN-a svim primljenim okvirima koji nemaju oznake.

Prtljažnik VLAN je fizički kanal koji nosi nekoliko VLAN kanala, koji se razlikuju po oznakama (tagovima dodati paketima). Trankovi se obično kreiraju između "označenih portova" VLAN uređaja: switch-switch ili switch-router. (U Cisco dokumentima, termin "trunk" se takođe naziva agregacijom nekoliko fizičkih veza u jednu logičku: Link Aggregation, Port Trunking). Ruter (sloj 3 switch) djeluje kao okosnica za mrežni promet različitih VLAN-ova.

Jednostavno rečeno, vlan je logički kanal unutar fizičkog kanala (kabla), a trunk je skup logičkih kanala (vlans) unutar jednog fizičkog kanala (kabla).

VLAN se mogu identifikovati po:

Porto (najčešća upotreba). Port VLAN vam omogućava da identifikujete određeni port u VLAN-u. Portovi se mogu definisati pojedinačno, u grupama, u celim redovima, pa čak i u različitim svičevima preko trunk protokola. Ovo je najjednostavniji i najčešće korišteni VLAN metod detekcije. Ovo je najčešća upotreba ubrizgavanja VLAN-a zasnovanog na portovima kada radne stanice koriste TCP/IP protokol za dinamičku konfiguraciju (DHCP). Ispod je slika VLAN-a baziranog na portu:

MAC adresa - adresa (vrlo rijetko). VLAN-ovi zasnovani na MAC adresama omogućavaju korisnicima da budu na istom VLAN-u čak i ako se korisnik seli s jedne lokacije na drugu. Ova metoda zahtijeva od administratora da odredi MAC adresu svake radne stanice i zatim unese ove informacije u prekidač. Ovu metodu može biti vrlo teško riješiti ako je korisnik promijenio MAC adresu. Sve promjene konfiguracije moraju biti koordinirane s administratorom mreže, što može uzrokovati administrativna kašnjenja.

ID korisnika (vrlo rijetko)

VLAN Linux i D-Link DGS-1100-08P

Postavljanje DGS-1100-08P... Povežimo se na njega na prvom portu. Dodijelimo mu IP 10.90.91.2. Kreirajmo 3 VLAN-a: vlan1 (port 1 (označen)) za korištenje usluge, odnosno samo za konfiguraciju switch-a, vlan22 (port 1 (označen); portovi 2,3,4 (neoznačeni)), vlan35 (port 1 ( tagovani); portovi 5.6 (neoznačeni)). Portovi 7.8 se ne koriste i onemogućeni su preko menija Port Settings (Speed: Disabled).
Ističemo da ubuduće D-Link DGS-1100-08P (IP 10.90.91.2) možete kontrolisati samo preko vlan1, odnosno u našem slučaju administrator sistema mora da se poveže na prvi port DGS-1100-08P (Kada se povezujete na drugi port - prekidač neće dozvoliti pristup 10.90.91.2).

Kreirajte VLAN pod nazivom vlan22 vezan za eth4 port. Dodijelimo mu IP: 192.168.122.254. ip link dodaj link eth4 ime vlan22 tip vlan id 22 ip adresa dodaj 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 gore

Servisni vlan samo za konfiguraciju prekidača:

ip link dodaj link eth4 ime vlan44 tip vlan id 1 ip adresa dodaj 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 up ip link dodaj vezu eth4 ime vlan35 upiši vlan id 35 ip addr dodaj 192.168.44/35 vlan 43 dev

• Gledamo parametre kreiranog vlan-a u fajlovima ls -l / proc / net / vlan / total 0 -rw ------- 1 root root 0 17. avgust 15:06 config -rw ----- -- 1 root root 0 17. kolovoz 15:06 vlan1 -rw ------- 1 root root 0 17. kolovoz 15:06 vlan22

  Kreiranje vlan-a putem vconfig-a i automatsko učitavanje preko /etc/mreža/interfeja nije uspjelo, stoga kreiramo startup datoteku i upisujemo je u bootstrapping servera. vlan_create.sh #! / bin / sh -e ip link dodaj vezu eth4 ime vlan22 tip vlan id 22 ip adresa dodaj 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 gore

9) Rutiranje: statičko i dinamičko na primjeru RIP, OSPF i EIGRP.
10) Prevod mrežnih adresa: NAT i PAT.
11) Protokoli redundanse prvog skoka: FHRP.
12) Sigurnost računarske mreže i virtuelne privatne mreže: VPN.
13) Globalne mreže i korišteni protokoli: PPP, HDLC, Frame Relay.
14) Uvod u IPv6, konfiguraciju i rutiranje.
15) Upravljanje mrežom i praćenje mreže.

P.S. Možda će se s vremenom lista dopuniti.

U prethodnim člancima već smo radili s mnogim mrežnim uređajima, shvatili po čemu se razlikuju jedni od drugih i ispitali od čega se sastoje okviri, paketi i drugi PDU-ovi. U principu, s ovim znanjem možete organizirati jednostavnu lokalnu mrežu i raditi u njoj. Ali svijet ne miruje. Sve je više uređaja koji opterećuju mrežu ili, još gore, predstavljaju prijetnju sigurnosti. I, po pravilu, "opasnost" se pojavljuje ispred "sigurnosti". Sada ću to pokazati najjednostavnijim primjerom.

Za sada nećemo dirati rutere i različite podmreže. Recimo da su svi čvorovi na istoj podmreži.

Odmah ću dati listu IP adresa:

1. PC1 - 192.168.1.2/24
2. PC2 - 192.168.1.3/24
3. PC3 - 192.168.1.4/24
4. PC4 - 192.168.1.5/24
5. PC5 - 192.168.1.6/24
6. PC6 - 192.168.1.7/24

Imamo 3 odjela: menadžment, računovodstvo, odjel za kadrove. Svako odjeljenje ima svoj prekidač i spojeni su preko centralnog vrha. I sada PC1 pinguje na PC2.

Ako želite da ga vidite u animaciji, otvorite spojler (pokazuje ping od PC1 do PC5).

Rad mreže u jednoj domeni emitovanja

Lepo ha? U prethodnim člancima smo već više puta govorili o radu ARP protokola, ali to je bilo prošle godine, pa ću ukratko objasniti. Pošto PC1 ne zna MAC adresu (ili adresu sloja veze) PC2, on šalje ARP izviđača da ga obavesti. Dolazi do prekidača, odakle se releji na sve aktivne portove, odnosno na PC2 i na centralni prekidač. Od centralnog prekidača će letjeti do susjednih prekidača i tako dalje, dok ne stigne do svih. Ovo nije mala količina prometa uzrokovana jednom ARP porukom. Dobili su ga svi članovi mreže. Veliki i nepotreban promet je prvi problem. Drugo pitanje je sigurnost. Mislim da su primijetili da je poruka stigla čak i do računovodstva čiji kompjuteri uopće nisu učestvovali u tome. Svaki napadač koji se poveže na bilo koji od prekidača imat će pristup cijeloj mreži. U principu, mreže su tako funkcionirale. Računari su bili u istom kanalnom okruženju i bili su odvojeni samo uz pomoć rutera. Ali vrijeme je prolazilo i bilo je potrebno riješiti ovaj problem na nivou data linka. Cisco je, kao pionir, osmislio sopstveni protokol, koji je označavao okvire i određivao pripadnost određenom kanalnom okruženju. To se zvalo ISL (Inter-Switch Link)... Svima se svidjela ideja, a IEEE je odlučio razviti sličan otvoreni standard. Standard je imenovan 802.1q... Dobio je veliku distribuciju i Cisco je odlučio da se prebaci i na njega.
A upravo je VLAN tehnologija zasnovana na radu 802.1q protokola. Počnimo da pričamo o njoj.

U trećem dijelu pokazao sam vam kako izgleda eternet okvir. Pogledajte ga i osvježite pamćenje. Ovako izgleda okvir bez oznake.

Sada pogledajmo označenu.

Kao što vidite, razlika je u tome što je određena Tag... To je ono što nas zanima. Kopajmo dublje. Sastoji se od 4 dijela.

1) TPID (Tag Protocol ID) ili Tagged Protocol Identifier- sastoji se od 2 bajta i uvijek je 0x8100 za VLAN.
2) PCP (Priority Code Point) ili vrijednost prioriteta- sastoji se od 3 bita. Koristi se za određivanje prioriteta saobraćaja. Hladni i bradati sistemski administratori znaju kako pravilno upravljati njime i upravljati njime kada različit promet (glas, video, podaci, itd.)
3) CFI (Canonical Format Indicator) ili Canonical Format Indicator- jednostavno polje koje se sastoji od jednog bita. Ako je 0, onda je ovo standardni format za MAC adresu.
4) VID (engleski VLAN ID) ili VLAN ID- sastoji se od 12 bita i pokazuje u kojem VLAN-u se okvir nalazi.

Želim da vam skrenem pažnju na činjenicu da se okviri označavaju između mrežnih uređaja (prekidači, ruteri itd.), a okviri se ne označavaju između krajnjeg čvora (računar, laptop) i mrežnog uređaja. Stoga, port mrežnog uređaja može biti u 2 stanja: pristup ili prtljažnik.

• Pristupni port ili pristupni port- port koji se nalazi u određenom VLAN-u i prenosi neoznačene okvire. Obično je ovo port okrenut prema korisničkom uređaju.
• Trank port ili trunk port- port za prijenos označenog saobraćaja. Obično se ovaj port diže između mrežnih uređaja.

Sada ću to pokazati u praksi. Otvaram istu laboratoriju. Neću ponavljati sliku, ali odmah otvori prekidač i vidi šta ima sa VLAN-om.

Upisujem tim show vlan.

Nekoliko stolova je poređano. U stvari, samo prvo nam je važno. Sada ću vam pokazati kako da ga čitate.

1 kolona je VLAN broj. Ovdje je inicijalno prisutan broj 1 - ovo je standardni VLAN, koji je inicijalno prisutan na svakom prekidaču. Obavlja još jednu funkciju, o kojoj ću pisati u nastavku. Prisutni su i rezervisani od 1002-1005. Ovo je za druge kanalske medije koji se trenutno ne koriste. Ni njih ne možete izbrisati.

Switch (config) #no vlan 1005 Podrazumevani VLAN 1005 se ne može izbrisati.
Prilikom brisanja, Cisco prikazuje poruku da se ovaj VLAN ne može izbrisati. Dakle, živimo i ne diramo ova 4 VLAN-a.

2 kolone je naziv VLAN-a. Prilikom kreiranja VLAN-a možete, prema vlastitom nahođenju, smisliti smislena imena za njih kako biste ih kasnije identificirali. Već postoji default, fddi-default, token-ring-default, fddinet-default, trnet-default.

3 kolone- status. Ovdje je prikazano stanje VLAN-a. Trenutno je aktivan VLAN 1 ili default, a sljedeća 4 su act/unsup (iako je aktivan, ali nije podržan).

4 kolone- luke. Ovo pokazuje kojim VLAN-ovima pripadaju portovi. Sada, kada još ništa nismo dirali, oni su zadani.

Počnimo s konfiguracijom prekidača. Dobra je praksa da svojim prekidačima date smislena imena. Šta ćemo da radimo. Dovodim ekipu.

Switch (config) #hostname CentrSW CentrSW (config) #
Ostali su konfigurisani na isti način, pa ću vam pokazati ažurirani dijagram topologije.

Počnimo sa SW1. Prvo, napravimo VLAN na prekidaču.

SW1 (config) #vlan 2 - kreirajte VLAN 2 (VLAN 1 je rezervisan po defaultu, pa uzimamo sljedeći). SW1 (config-vlan) #name Dir-ya - ulazimo u VLAN postavke i dajemo mu ime.
VLAN kreiran. Sada pređimo na portove. FastEthernet0 / 1 gleda na PC1, a FastEthernet0 / 2 gleda na PC2. Kao što je ranije spomenuto, okviri između njih moraju se prenositi neoznačeni, tako da ćemo ih staviti u Access stanje.

SW1 (config) #interface fastEthernet 0/1 - idite na podešavanje 1. porta. SW1 (config-if) #switchport način pristupa - stavite port u način pristupa. SW1 (config-if) #switchport pristupni vlan 2 - dodijelite port 2. VLAN-u. SW1 (config) #interface fastEthernet 0/2 - idite na postavku 2. porta. SW1 (config-if) #switchport način pristupa - stavite port u način pristupa. SW1 (config-if) #switchport pristupni vlan 2 - dodijelite port 2. VLAN-u.
Budući da su oba porta dodijeljena istom VLAN-u, i dalje se mogu konfigurirati kao grupa.

SW1 (config) #interfejs raspon fastEthernet 0 / 1-2 - to jest, odaberite bazen i onda je postavka slična. SW1 (config-if-range) #switchport mode pristup SW1 (config-if-range) #switchport access vlan 2
Konfigurisani pristupni portovi. Sada postavimo trunk između SW1 i CentrSW.

SW1 (config) #interface fastEthernet 0/24 - idite na podešavanje 24. porta. SW1 (config-if) #switchport mode trunk - prebacite port u trunk mod. % LINEPROTO-5-UPDOWN: Linijski protokol na sučelju FastEthernet0 / 24, promijenjeno stanje na dolje% LINEPROTO-5-UPDOWN: Linijski protokol na sučelju FastEthernet0 / 24, promijenjeno stanje na gore
Odmah vidimo da je port ponovo konfigurisan. U principu, ovo je dovoljno za rad. Ali sa sigurnosne tačke gledišta, samo onim VLAN-ovima koji su zaista potrebni treba dozvoliti prenos. Hajde da počnemo.

SW1 (config-if) #switchport trunk dozvoljeno vlan 2 - dozvoljeno nam je da prenosimo samo 2. VLAN.
Bez ove naredbe, svi dostupni VLAN-ovi će se prenijeti. Pogledajmo kako se tabela promijenila sa naredbom show vlan.

Pojavio se 2. VLAN sa imenom Dir-ya i vidimo fa0 / 1 i fa0 / 2 portove koji mu pripadaju.

Da biste prikazali samo gornju tabelu, možete koristiti naredbu prikaži vlan brief.

Također možete skratiti izlaz navođenjem specifičnog VLAN ID-a.

Ili njegovo ime.

Sve informacije o VLAN-u pohranjuju se u flash memoriju u datoteci vlan.dat.

Kao što vidite, nijedan tim nema informacije o prtljažniku. Može se vidjeti drugom komandom show interfaces deblo.

Postoje informacije o trunk portovima i koje VLAN-ove prenose. Tu je i kolona Native vlan... Upravo to je promet koji ne treba označavati. Ako neoznačeni okvir stigne na prekidač, on se automatski dodjeljuje Native Vlan-u (po defaultu, au našem slučaju, ovo je VLAN 1). Native VLAN je moguć, a mnogi kažu da ga treba promijeniti iz sigurnosnih razloga. Da biste to učinili, u modu konfiguracije trunk porta, trebate koristiti naredbu - switchport trunk izvorni vlan X, gdje X- broj dodijeljenog VLAN-a. U ovoj topologiji se nećemo mijenjati, ali je korisno znati kako to učiniti.

Ostalo je konfigurirati ostale uređaje.

CentrSW:
Centralni prekidač je ljepilo, što znači da mora biti svjestan svih VLAN-ova. Stoga ih prvo kreiramo, a zatim prenosimo sva sučelja u trunk mod.

CentrSW (config) #vlan 2 CentrSW (config-vlan) # ime Dir-ya CentrSW (config) #vlan 3 CentrSW (config-vlan) # ime buhgalter CentrSW (config) #vlan 4 CentrSW (config-vlan) # ime otdel -kadrov CentrSW (config) #opseg interfejsa fastEthernet 0 / 1-3 CentrSW (config-if-range) #switchport mode trunk
Ne zaboravite da sačuvate konfiguraciju. Tim kopiraj run-config startup-config.

SW2 (config) #vlan 3 SW2 (config-vlan) #name buhgalter SW2 (config) #interface range fastEthernet 0 / 1-2 SW2 (config-if-range) #switchport mode pristup SW2 (config-if-range) # switchport access vlan 3 SW2 (config) #interface fastEthernet 0/24 SW2 (config-if) #switchport mode trunk SW2 (config-if) #switchport trunk dozvoljeno vlan 3
SW3:

SW3 (config) #vlan 4 SW3 (config-vlan) #name otdel kadrov SW3 (config) #interface range fastEthernet 0 / 1-2 SW3 (config-if-range) #switchport mode pristup SW3 (config-if-range) #switchport access vlan 4 SW3 (config) #interface fastEthernet 0/24 SW3 (config-if) #switchport mode trunk SW3 (config-if) #switchport trunk dozvoljen vlan 4
Imajte na umu da smo podigli i konfigurisali VLAN, ali smo ostavili isto adresiranje hosta. To jest, gotovo svi čvorovi su na istoj podmreži, ali odvojeni VLAN-ovima. Ne možeš to da uradiš. Svakom VLAN-u mora biti dodijeljena posebna podmreža. Ovo sam uradio isključivo u obrazovne svrhe. Ako bi svako odjeljenje sjedilo na vlastitoj podmreži, onda bi oni bili a priori ograničeni, pošto komutator ne može usmjeravati promet s jedne podmreže na drugu (plus ovo je već ograničenje na nivou mreže). I moramo ograničiti odjele na nivou veze.
Ponovo pingujem PC1 na PC3.

ARP je u toku, koji nam je sada potreban. Hajde da ga otvorimo.

Za sada ništa novo. ARP je inkapsuliran u ethernetu.

Okvir stiže do prekidača i označava se. Sada ne postoji običan ethernet, već 802.1q. Dodata su polja o kojima sam ranije pisao. Ovo TPIDšto je 8100 i ukazuje da je 802.1q. I TCI koji kombinuje 3 polja PCP, CFI i VID... Broj u ovom polju je VLAN broj. Idemo dalje.

Nakon oznake, on šalje okvir na PC2 (pošto je u istom VLAN-u) i na centralni komutator preko trunk porta.

Pošto nije bilo striktno propisano koje vrste VLAN-a treba proslijediti na koje portove, to će poslati na oba switch-a. I ovdje prekidači, nakon što su vidjeli VLAN broj, razumiju da nemaju uređaje s takvim VLAN-om i hrabro ga odbace.

PC1 čeka odgovor koji nikada ne dolazi. Možete ga vidjeti u obliku animacije ispod spojlera.

Animacija

Sada sledeća situacija. Za člana direkcije se angažuje još jedna osoba, ali u kancelariji direkcije nema mjesta i na neko vrijeme se traži da se osoba smjesti u računovodstvo. Mi rješavamo ovaj problem.

Povezali smo računar na FastEthernet 0/3 port sviča i dodelili IP adresu 192.168.1.8/24.
Sada ću konfigurisati prekidač SW2... Pošto računar mora biti u 2. VLAN-u, za koji svič ne zna, kreiraćemo ga na sviču.

SW2 (config) #vlan 2 SW2 (config-vlan) #name Dir-ya
Zatim konfigurišemo FastEthernet 0/3 port, koji gleda na PC7.

SW2 (config) #interface fastEthernet 0/3 SW2 (config-if) #switchport mode pristup SW2 (config-if) #switchport access vlan 2
I posljednja stvar je konfigurirati trunk port.

SW2 (config) #interface fastEthernet 0/24 SW2 (config-if) #switchport trunk dozvoljeno vlan add 2 - obratite pažnju na ovu naredbu. Naime, ključna riječ "dodaj". Ako ne dodate ovu riječ, tada ćete obrisati sve ostale VLAN-ove dozvoljene za prijenos na ovom portu. Stoga, ako ste već podigli trunk na portu i prenijeli su se drugi VLAN-ovi, onda morate dodati ovaj način.
Da bi okviri lijepo išli, ispravit ću centralni prekidač CentrSW.

CentrSW (config) #interface fastEthernet 0/1 CentrSW (config-if) #switchport trunk dozvoljen vlan 2 CentrSW (config) #interface fastEthernet 0/2 CentrSW (config-if) #switchport trunk dozvoljen vlan 2,3 CentrSW (config) #interface fastEthernet 0/3 CentrSW (config-if) #switchport trunk dozvoljeno vlan 4
Provjerite vrijeme. Pingujem sa PC1 na PC7.

Do sada je cijeli put sličan prethodnom. Ali od ovog trenutka (sa donje slike) centralni prekidač će donijeti drugačiju odluku. On prima okvir i vidi da je označen sa 2. VLAN-om. To znači da ga trebate poslati samo na mjesto gdje je to dozvoljeno, odnosno na fa0/2 port.

I tako dolazi do SW2. Otvaramo ga i vidimo da je još uvijek označeno. Ali sljedeći čvor je računar i oznaka mora biti uklonjena. Kliknite na "Outbound PDU Details" da vidite kako će okvir izletjeti iz prekidača.

I zaista. Prekidač će poslati okvir u "čistom" obliku, odnosno bez oznaka.

ARP stiže do PC7. Otvaramo ga i uvjeravamo se da se neoznačeni okvir PC7 prepoznao i da šalje odgovor.

Otvaramo okvir na prekidaču i vidimo da će biti poslan označen za slanje. Nadalje, okvir će putovati istim putem kojim je i došao.

ARP stiže do PC1, kao što je označeno kvačicom na koverti. Sada zna MAC adresu i pokreće ICMP.

Otvaramo paket na prekidaču i vidimo istu sliku. Na nivou veze, okvir je označen prekidačem. Tako će biti sa svakom porukom.

Vidimo da paket uspješno stiže do PC7. Neću pokazivati ​​put nazad, jer je sličan. Ako nekoga zanima, cijeli put možete pogledati u animaciji ispod spojlera ispod. A ako želite sami da zadubite u ovu topologiju, prilažem link do laboratorije.

VLAN logika

Ovo je u osnovi najpopularnija upotreba za VLAN. Bez obzira na njihovu fizičku lokaciju, možete logično kombinirati čvorove u grupe, izolirajući ih na taj način od drugih. Vrlo je zgodno kada zaposleni fizički rade na različitim lokacijama, ali moraju biti ujedinjeni. I naravno, sa sigurnosne tačke gledišta, VLAN-ovi su nezamjenjivi. Glavna stvar je da ograničen broj ljudi ima pristup mrežnim uređajima, ali ovo je posebna tema.
Postignuta ograničenja na nivou podatkovne veze. Saobraćaj se više nikuda ne odvija, već se odvija striktno kako je predviđeno. Ali sada se postavlja pitanje da odjeli moraju međusobno komunicirati. A pošto se nalaze u različitim kanalnim okruženjima, rutiranje dolazi u obzir. Ali prije nego počnemo, hajde da postavimo topologiju u red. Prva stvar na koju možemo staviti ruku je adresiranje čvorova. Ponavljam da svaki odjel mora biti na svojoj podmreži. Ukupno dobijamo:

• Direkcija - 192.168.1.0/24
• Računovodstvo - 192.168.2.0/24
• Služba za ljudske resurse - 192.168.3.0/24

Kada su podmreže definisane, odmah se obraćamo čvorovima.

1. PC1:
   IP: 192.168.1.2
   Maska: 255.255.255.0 ili / 24
   Gateway: 192.168.1.1
2. PC2:
   IP: 192.168.1.3
   Maska: 255.255.255.0 ili / 24
   Gateway: 192.168.1.1
3. PC3:
   IP: 192.168.2.2
   Maska: 255.255.255.0 ili / 24
   Gateway: 192.168.2.1
4. PC4:
   IP: 192.168.2.3
   Maska: 255.255.255.0 ili / 24
   Gateway: 192.168.2.1
5. PC5:
   IP: 192.168.3.2
   Maska: 255.255.255.0 ili / 24
   Gateway: 192.168.3.1
6. PC6:
   IP: 192.168.3.3
   Maska: 255.255.255.0 ili / 24
   Gateway: 192.168.3.1
7. PC7:
   IP: 192.168.1.4
   Maska: 255.255.255.0 ili / 24
   Gateway: 192.168.1.1

Sada o promjenama u topologiji. Vidimo da je dodat ruter. On će samo prenijeti promet sa jednog VLAN-a na drugi (drugim riječima, rutu). U početku nema veze između njega i prekidača, jer su interfejsi onemogućeni.
Čvorovi su dodali parametar kao što je adresa mrežnog prolaza. Oni koriste ovu adresu kada trebaju poslati poruku hostu na drugoj podmreži. Shodno tome, svaka podmreža ima svoj vlastiti gateway.

Ostaje da konfigurišem ruter, a ja otvaram njegov CLI. Po tradiciji, dat ću smisleno ime.

Router (config) #hostname Gateway Gateway (config) #
Dalje, idemo na konfigurisanje interfejsa.

Gateway (config) #interface fastEthernet 0/0 - idite na traženi interfejs. Gateway (config-if) #bez isključivanja - omogućite ga. % LINK-5-CHANGED: Interfejs FastEthernet0 / 0, promijenjeno stanje na gore% LINEPROTO-5-UPDOWN: Linijski protokol na interfejsu FastEthernet0 / 0, promijenjeno stanje na gore
Sada pažnja! Uključili smo interfejs, ali nismo okačili IP adresu na njega. Činjenica je da je potrebna samo veza ili kanal sa fizičkog interfejsa (fastethernet 0/0). Ulogu gateway-a će obavljati virtuelni interfejsi ili podinterfejsi. Trenutno postoje 3 tipa VLAN-a. To znači da će postojati 3 podsučelja.Počnimo s konfiguracijom.

Gateway (config) #interface fastEthernet 0 / 0.2 Gateway (config-if) #encapsulation dot1Q 2 Gateway (config-if) #ip adresa 192.168.1.1 255.255.255.0 Gateway (config) #netconfig Gateway. ) #encapsulation dot1Q 3 Gateway (config-if) #ip adresa 192.168.2.1 255.255.255.0 Gateway (config) #interface fastEthernet 0 / 0.4 Gateway (config-if) #encapsulation dot12. .3.1 255.255.255.0
Ruter je konfigurisan. Idemo do centralnog prekidača i konfiguriramo trunk port na njemu tako da prosljeđuje označene okvire ruteru.

CentrSW (config) #interface fastEthernet 0/24 CentrSW (config-if) #switchport mode trunk CentrSW (config-if) #switchport trunk dozvoljeno vlan 2,3,4
Konfiguracija je završena i idemo na praksu. Pingujem sa PC1 na PC6 (tj. 192.168.3.3).

PC1 nema pojma ko je PC6 ili 192.168.3.3, ali zna da se nalaze na različitim podmrežama (kako on razumije, to je opisano u prethodnom članku). Stoga će on poslati poruku kroz zadani gateway, čija je adresa navedena u njegovim postavkama. Iako PC1 zna IP adresu podrazumevanog gatewaya, nedostaje mu MAC adresa za potpunu sreću. I on koristi ARP.

Bilješka. Kada okvir stigne u CentrSW, prekidač ga ne emituje samo nikome. Emituje samo one portove na kojima je dozvoljen prolaz 2. VLAN-a. Odnosno, na ruter i na SW2 (postoji korisnik koji sjedi u 2. VLAN-u).

Ruter se prepoznaje i šalje odgovor (prikazano strelicom). I obratite pažnju na donji okvir. Kada je SW2 primio ARP sa centralnog switch-a, on ga na sličan način nije poslao na sve računare, već je poslao samo PC7, koji je u 2. VLAN-u. Ali PC7 ga odbacuje jer nije za njega. Tražimo dalje.

ARP je stigao do PC1. Sada zna sve i može poslati ICMP. Još jednom, skrećem vam pažnju na činjenicu da će odredišna MAC adresa (sloj veze) biti adresa rutera, a odredišna IP adresa (mrežni sloj) će biti PC6 adresa.

ICMP stiže do rutera. Pogleda u svoj sto i shvati da ne poznaje nikoga pod adresom 192.168.3.3. Ispušta pristižući ICMP i pušta ARP-a da izviđa.

PC6 se prepoznaje i šalje odgovor.

Odgovor stiže do rutera i on dodaje unos u svoju tabelu. Možete pogledati ARP tabelu pomoću naredbe pokazati arp.
Idemo dalje. PC1 nije zadovoljan što niko ne odgovara i šalje sljedeću ICMP poruku.

Ovaj put ICMP stiže bez problema. Ići će istim putem nazad. Samo ću vam pokazati krajnji rezultat.

Prvi paket se izgubio (kao rezultat ARP-a), a drugi je stigao bez problema.
Kome je stalo da vidi u animaciji, dobrodošli ispod spojlera.

InterVLAN rutiranje

Dakle. Postigli smo da ako su čvorovi u istoj podmreži i u istom VLAN-u, onda će ići direktno kroz prekidače. U slučaju kada je potrebno prenijeti poruku u drugu podmrežu i VLAN, ona će se prenijeti preko Gateway rutera, koji vrši "inter-vlan" rutiranje. Ova topologija se zove "Ruter na štapiću" ili "Ruter na štapiću"... Kao što razumete, veoma je zgodno. Napravili smo 3 virtuelna interfejsa i pokrenuli različite okvire sa oznakama preko iste žice. Bez upotrebe podinterfejsa i VLAN-a, bilo bi neophodno koristiti poseban fizički interfejs za svaku podmrežu, što nije nimalo isplativo.

Inače, ovo pitanje je vrlo dobro raščlanjeno u ovom videu (video traje oko 3 sata, tako da je link vezan upravo za taj trenutak). Ako nakon čitanja i gledanja videa poželite da ga dovršite vlastitim rukama, prilažem link za preuzimanje.

Bavili smo se VLAN-ovima i prešli smo na jedan od protokola koji radi s tim.
DTP (Dynamic Trunking Protocol) ili na ruskom dinamički trunk protokol je vlasnički protokol kompanije Cisco koji se koristi za implementaciju trunk režima između prekidača. Iako u zavisnosti od države, mogu pregovarati i u pristupnom režimu.

DTP ima 4 režima: dinamički automatski, dinamički poželjan, trank, pristup. Hajde da vidimo kako se uklapaju.

Načini rada	Dynamic auto	Poželjna dinamička	Prtljažnik	Pristup
Dynamic auto	Pristup	Prtljažnik	Prtljažnik	Pristup
Poželjna dinamička	Prtljažnik	Prtljažnik	Prtljažnik	Pristup
Prtljažnik	Prtljažnik	Prtljažnik	Prtljažnik	Nema konekcije
Pristup	Pristup	Pristup	Nema konekcije	Pristup

Odnosno, lijeva kolona je 1. uređaj, a gornji red je 2. uređaj. Po defaultu, prekidači su u "dinamičkom automatskom" načinu rada. Ako pogledate tabelu mapiranja, tada se dva prekidača u "dinamičkom automatskom" načinu usklađuju u "pristupni" način. Hajde da to proverimo. Napravio sam novu laboratoriju i dodao 2 prekidača.

Neću ih još povezivati. Moram se uvjeriti da su oba prekidača u "dinamičkom automatskom" načinu rada. Provjerit ću sa timom show interfaces switchport.

Rezultat ove naredbe je vrlo velik, pa sam ga oprezao i istaknuo interesantne točke. Počnimo sa Administrativni način rada... Ova linija pokazuje u kojem od 4 načina rada dati port na sviču. Uvjerite se da su portovi na oba prekidača u "Dynamic auto" modu. I linija Operativni način rada pokazuje na koji način rada su pristali da rade. Još ih nismo spojili, tako da su neaktivni.

Odmah ću vam dati dobar savjet. Kada testirate bilo koji protokol, koristite filtere. Onemogućite prikaz rada svih protokola koji vam nisu potrebni.

Stavio sam CPT u režim simulacije i filtrirao sve protokole osim DTP-a.

Mislim da je tu sve jasno. Povezujem prekidače kablom i, kada su veze podignute, jedan od prekidača generiše DTP poruku.

Otvaram ga i vidim da je DTP inkapsuliran u Ethernet okviru. On ga šalje na multicast adresu "0100.0ccc.cccc", koja se odnosi na DTP, VTP, CDP protokole.
I obratiću pažnju na 2 polja u DTP zaglavlju.

1) DTP Type- ovdje pošiljalac ubacuje prijedlog. Odnosno, na koji način želi da pristane. U našem slučaju, on predlaže da se dogovorimo o "pristupu".
2) MAC adresa susjeda- u ovo polje upisuje MAC adresu svog porta.

Šalje i čeka reakciju komšije.

Poruka stiže do SW1 i generira odgovor. Gdje također pregovara o načinu "pristupa", ubacuje svoju MAC adresu i šalje je na put do SW2.

DTP uspješno stiže. U teoriji, morali su da se dogovore u načinu "pristup". Provjerit ću.

Očekivano, pregovarali su u "pristupnom" načinu.
Neko kaže da je tehnologija zgodna i koristi je. Ali ja jako obeshrabrujem korištenje ovog protokola na mojoj mreži. Nisam jedini koji ovo preporučuje, a sada ću objasniti zašto. Poenta je da ovaj protokol otvara veliku sigurnosnu rupu. Otvoriću laboratoriju koja se bavila radom "Rutera na štapiću" i tamo dodati još jedan prekidač.

Sada ću ući u postavke novog prekidača i hard kodirati port da radi u trunk modu.

New_SW (config) #interface fastEthernet 0/1 New_SW (config-if) #switchport mode trunk
Složim ih i vidim kako se uklapaju.

Sve je tačno. "Dinamički automatski" i "trunk" načini su usklađeni sa prtljažnik... Sada čekamo da neko bude aktivan. Recimo da je PC1 odlučio nekome poslati poruku. Generira ARP i pušta u mrežu.

Preskočimo njegov put do trenutka kada dođe do SW2.

I evo zabavnog dijela.

On ga šalje na novo spojeni prekidač. Objašnjavam šta se desilo. Čim se sa njim dogovorimo oko prtljažnika, on počinje da mu šalje sve pristigle okvire. Iako dijagram pokazuje da prekidač ispušta okvire, to ništa ne znači. Možete spojiti bilo koji sniffer na prekidač ili umjesto prekidača i mirno gledati šta se dešava na mreži. Čini se da je presreo bezopasni ARP. Ali ako pogledate dublje, možete vidjeti da su MAC adresa "0000.0C1C.05DD" i IP adresa "192.168.1.2" već poznate. To jest, PC1 se izdao bez razmišljanja. Napadač sada zna za takav računar. Osim toga, zna da sjedi u 2. VLAN-u. Onda može mnogo. Najobičnije je promijeniti svoju MAC adresu, IP adresu, brzo se dogovoriti u Accessu i imitirati PC1. Ali najzanimljivija stvar. Uostalom, možda ovo nećete odmah shvatiti. Obično, kada registrujemo način rada porta, on se odmah prikazuje u konfiguraciji. ulazim prikaži run-config.

Ali ovdje su postavke porta prazne. ulazim show interfaces switchport i skrolovanje do fa0 / 4.

I evo vidimo da je prtljažnik dogovoren. Show running-config ne pruža uvijek sveobuhvatne informacije. Stoga zapamtite i druge komande.

Mislim da je jasno zašto ne možete vjerovati ovom protokolu. Čini se da to olakšava život, ali u isto vrijeme može stvoriti veliki problem. Zato se oslonite na ručnu metodu. Prilikom konfigurisanja, odmah odredite za sebe koji portovi će raditi u trunk modu, a koji u pristupu. Najvažnije, uvijek isključite pregovore. Tako da prekidači ne pokušavaju da se dogovore ni sa kim. Ovo se radi naredbom "switchport nonegotiate".

Pređimo na sljedeći protokol.

VTP (VLAN Trunking Protocol) je vlasnički protokol kompanije Cisco koji se koristi za razmenu informacija o VLAN-ovima.

Zamislite situaciju da imate 40 prekidača i 70 VLAN-ova. Iz dobrog razloga, morate ih ručno kreirati na svakom prekidaču i registrovati koji portovi magistralnog kanala će dozvoliti prijenos. Ovo je mukotrpan i dug posao. Stoga ovaj zadatak može preuzeti VTP. Vi kreirate VLAN na jednom prekidaču, a svi ostali su sinhronizovani sa njegovom bazom. Pogledajte sljedeću topologiju.

Ovdje se nalaze 4 prekidača. Jedan od njih je VTP server, a druga 3 su klijenti. Oni VLAN-ovi koji će biti kreirani na serveru se automatski sinhronizuju na klijentima. Objasniću kako VTP radi i šta može da uradi.

Dakle. VTP može kreirati, modificirati i brisati VLAN-ove. Svaka takva akcija dovodi do činjenice da se broj revizije povećava (svaka akcija povećava broj za +1). Zatim šalje najave u kojima je naznačen broj revizije. Kupci koji prime ovu najavu upoređuju svoj broj revizije sa onim koji je stigao. A ako je primljeni broj veći, oni sinhronizuju svoju bazu sa njim. U suprotnom, oglas se ignoriše.

Ali to nije sve. VTP ima uloge. Podrazumevano, svi prekidači rade kao server. Reći ću vam o njima.

1. VTP server... On sve zna da uradi. Odnosno, kreira, mijenja, briše VLAN-ove. Ako dobije oglas u kojem je revizija starija od njega, onda se sinhronizuje. Stalno šalje najave i reemituje od komšija.
2. VTP klijent- Ova uloga je već ograničena. Ne možete kreirati, mijenjati ili brisati VLAN-ove. Sav VLAN prima i sinhronizuje sa servera. Povremeno obavještava susjede o svojoj VLAN bazi.
3. VTP Transparent- ovo je tako nezavisna uloga. Može kreirati, mijenjati i brisati VLAN samo u svojoj bazi. Nikome ništa ne nameće i ni od koga ništa ne prihvata. Ako primi nekakvu reklamu, prosljeđuje je, ali se ne sinkronizira sa svojom bazom. Ako se u prethodnim ulogama, sa svakom promjenom, povećavao broj revizije, tada je u ovom modu broj revizije uvijek 0.

To je sve za VTP verziju 2. U VTP verziji 3, dodata je još jedna uloga - VTP Off... On ne emituje nikakva saopštenja. Ostatak rada je sličan načinu rada Transparent.

Čitamo teoriju i prelazimo na praksu. Provjerimo da li je centralni prekidač u Server modu. Unesite naredbu prikaži vtp status.

Vidimo da VTP režim rada: Server. Također možete primijetiti da je VTP verzija druga. Nažalost, CPT verzija 3 nije podržana. Verzija revizije je nula.
Sada konfigurirajmo donje prekidače.

SW1 (config) #vtp mode client Postavljanje uređaja na VTP CLIENT mod.
Vidimo poruku da je uređaj prešao u klijentski način rada. Ostali su konfigurisani na isti način.

Da bi uređaji razmjenjivali oglase, moraju biti u istoj domeni. I tu postoji jedna posebnost. Ako uređaj (u režimu servera ili klijenta) ne pripada nijednoj domeni, tada će po prvom primljenom oglasu otići na oglašenu domenu. Ako je klijent član neke domene, onda neće prihvatiti oglase sa drugih domena. Otvorimo SW1 i uvjerimo se da ne pripada nijednoj domeni.

Vodimo računa da ovo bude prazno.

Sada idemo na centralni prekidač i prenosimo ga na domenu.

CentrSW (config) #vtp domena cisadmin.ru Promjena imena VTP domene iz NULL u cisadmin.ru
Vidimo poruku da je prenesen na domenu cisadmin.ru.
Hajde da proverimo status.

I zaista. Naziv domene je promijenjen. Imajte na umu da je broj revizije trenutno nula. Promijenit će se čim kreiramo VLAN na njemu. Ali prije nego što ga kreirate, morate staviti simulator u način simulacije da vidite kako će generirati oglase. Kreiramo 20. VLAN i vidimo sljedeću sliku.

Čim se VLAN kreira i broj revizije se poveća, server generiše reklame. Ima ih dva. Prvo, otvorimo onu lijevo. Ovo saopštenje se na ruskom zove "Sažetak oglasa" ili "sažetak saopštenja". Ovu najavu generira prekidač svakih 5 minuta, gdje se govori o nazivu domene i trenutnoj reviziji. Da vidimo kako to izgleda.

U okviru Etherneta uočite odredišnu MAC adresu. To je isto kao gore kada je DTP generisan. To jest, u našem slučaju, samo oni koji imaju pokrenut VTP će odgovoriti na to. Sada pogledajmo sljedeće polje.

Evo samo svih informacija. Idemo kroz najvažnija polja.

• Upravljačko ime domene - naziv samog domena (u ovom slučaju cisadmin.ru).
• Identitet ažuriranja - identifikator programa za ažuriranje. Ovo je obično mjesto gdje se upisuje IP adresa. Ali pošto adresa nije dodijeljena prekidaču, polje je prazno
• Vremenska oznaka ažuriranja - vrijeme ažuriranja. Vrijeme na prekidaču se nije promijenilo, tako da je fabričko vrijeme tu.
• MD5 Digest - MD5 hash. Koristi se za provjeru vjerodajnica. Odnosno, ako VTP ima lozinku. Nismo promijenili lozinku, tako da je heš zadana vrijednost.

Sada pogledajmo sljedeću generiranu poruku (ona desno). Zove se "Podskup oglas" ili "Detaljno oglašavanje". Ovo su tako detaljne informacije o svakom prenošenom VLAN-u.
Mislim da je ovde jasno. Odvojeno zaglavlje za svaki tip VLAN-a. Lista je toliko duga da nije stala na ekran. Ali oni su upravo takvi, osim imena. Neću se gnjaviti, što znači da neću koristiti svaki kod. A u CPT-u su više konvencija.
Da vidimo šta će se dalje desiti.

Klijenti dobijaju oglase. Oni vide da je broj revizije veći od njihovog i sinhronizuju bazu. I šalju poruku serveru da je VLAN baza promijenjena.

Kako VTP radi

Ovako VTP u osnovi radi. Ali ima veoma velike nedostatke. A ovi nedostaci su u smislu sigurnosti. Objasnit ću na primjeru iste laboratorije. Imamo centralni switch na kojem se kreiraju VLAN-ovi, a zatim ih preko multicast-a sinkronizira sa svim switchevima. U našem slučaju, on govori o VLAN-u 20. Predlažem da još jednom pogledate njegovu konfiguraciju.

Bilješka. VTP poruka stiže do servera, gdje je broj revizije veći od njegovog. Razumije da se mreža promijenila i potrebno joj se prilagoditi. Provjerimo konfiguraciju.

Konfiguracija centralnog servera se promijenila i sada će emitovati upravo to.
Sada zamislite da nemamo jedan VLAN, već stotine. Na tako jednostavan način možete postaviti mrežu. Naravno, domen se može zaštititi lozinkom i napadaču će biti teže nanijeti štetu. Zamislite situaciju da vam je prekidač pokvaren i da ga hitno trebate zamijeniti. Vi ili vaš kolega trčite u skladište po staru centralu i zaboravite provjeriti broj revizije. Ispada da je veći od ostalih. Već ste vidjeli šta se dalje dešava. Stoga preporučujem da ne koristite ovaj protokol. Posebno u velikim korporativnim mrežama. Ako koristite VTP verziju 3, slobodno stavite prekidače u "Off" mod. Ako se koristi druga verzija, prebacite se na "transparentni" način rada. Dodaj oznake

Na stranicama naše stranice više puta smo koristili termin VLAN u uputama za konfiguriranje različitih rutera i kreiranje korporativne mreže. Međutim, moderna vlan tehnologija zahtijeva detaljnu studiju, pa je sljedeća serija članaka posvećena karakteristikama i konfiguraciji "vlana" na različitim uređajima.

Ovaj materijal je svojevrsna "uvodna riječ", a ovdje ćemo pogledati šta je VLAN i kako VLAN tehnologija pomaže u konfiguraciji mreže.

Vlan: šta je?

VLAN je tehnologija koja vam omogućava da konfigurišete više virtuelnih domena emitovanja unutar jedne fizičke domene emitovanja.

Drugim rečima, posedujući od više ili jednog prekidača, moguće je, na taj način, razlikovati računare korisnika na osnovu pripadnosti određenom odeljenju ili, u slučaju servera, prema određenim ulogama i specifičnostima njihovog rada.

U ovom slučaju, nekoliko problema se rješava istovremeno:

• - smanjuje se broj zahtjeva za emitovanje;

• - poboljšava, jer isključuje mogućnost prisluškivanja saobraćaja od strane zaposlenih trećih lica koji nisu uključeni u ovaj specifični VLAN;
• - postaje moguće geografski disperzirati različite odjele i odjele na osnovu pripadnosti. Odnosno, na primjer, zaposleni u Odjeljenju za ljudske resurse, koji nisu u istoj zgradi, moći će da se "vide" unutar svoje podmreže.

Mrežna arhitektura koristi VLAN-ove za pružanje mrežne segmentacije usluga, koju obično izvode ruteri, koji filtriraju emitirani promet između različitih VLAN-ova, poboljšavaju sigurnost mreže, izvode agregaciju podmreže i smanjuju zagušenje mreže. Prekidači ne mogu proslijediti promet između VLAN-ova zbog ograničenja koje nameće domena emitiranja.

Neki prekidači mogu imati funkcije OSI sloja 3, pohranjivanje i korištenje za prijenos prometa između podmreža. U ovom slučaju, virtuelni interfejs određenog VLAN-a sa određenim i kreira se na prekidaču. Ovo sučelje djeluje kao uređaj za uređaje u ovom VLAN-u.

Čemu služi vlan?

U mrežama zasnovanim na emitiranom prometu koji se šalje svim uređajima da pronađu ravnopravne korisnike, kako broj ravnopravnih uređaja raste, raste i količina emitiranog prometa (koji potencijalno može gotovo u potpunosti zamijeniti teret na mreži).

VLAN-ovi, s druge strane, pomažu u smanjenju mrežnog prometa formiranjem više broadcast domena, cijepanjem velike mreže na nekoliko manjih nezavisnih segmenata sa malim brojem zahtjeva za emitiranje koji se šalju svakom uređaju cijele mreže kao cjeline.

VLAN tehnologija takođe pomaže u stvaranju više Layer 3 OSI mreža na istoj fizičkoj infrastrukturi. Na primjer, ako je distributer IP adresa uključen u svič u određenom VLAN-u, uređaji će primati adrese samo unutar ovog VLAN-a. Ako je DHCP server omogućen putem trank-a sa skupom od nekoliko VLAN-ova, uređaji iz svih ovih VLAN-ova će moći dobiti adrese.

VLAN radi na 2., kanalnom, sloju OSI mrežnog modela, slično IP podmrežama, koje rade na 3., mrežnom, sloju. Obično svaki VLAN ima svoju IP podmrežu, iako postoje izuzeci kada više različitih podmreža može postojati u istom VLAN-u. Ova tehnologija je u Cisco-u poznata kao "ip secondary", au Linuxu kao "ip alias".

U starijim mrežnim tehnologijama, korisnicima su dodijeljene podmreže na osnovu njihove geografske lokacije. Zbog toga su bili ograničeni fizičkom topologijom i udaljenosti. VLAN tehnologija, s druge strane, omogućava vam da logički grupišete geografski različite korisnike u istu grupu podmreža, bez obzira na njihovu fizičku lokaciju. Koristeći VLAN, možete lako upravljati obrascima prometa i brzo reagirati na poteze korisnika.

VLAN tehnologija omogućava fleksibilno prilagođavanje promjenama u mreži i pojednostavljuje administraciju.

Primjeri korištenja vlan-a

Primjer podjele mreže na nekoliko VLAN-ova u segmente ovisno o ulogama i korištenim tehnologijama:

1. 1) Produktivni VLAN
2. 2) VoIP
3. 3) Upravljanje mrežom
4. 4) SAN - mreža za skladištenje podataka
5. 5) Mreža gostiju
6. 6) DMZ zone
7. 7) Odvajanje korisnika (u slučaju pružaoca usluga ili data centra)

Najčešći standard za VLAN konfiguraciju je IEEE 802.1Q, dok Cisco ima svoj ISL, a 3Com ima VLT. I IEEE 802.1Q i ISL imaju sličan mehanizam rada koji se naziva “eksplicitno označavanje” – okvir podataka je označen informacijama o članstvu u VLAN-u. Razlika između njih je u tome što ISL koristi eksterni proces označavanja bez modifikacije originalnog Ethernet okvira, dok 802.1Q koristi interni proces označavanja.