U ovom trenutku mnoge moderne organizacije i preduzeća praktično ne koriste tako korisnu, a često i potrebnu priliku kao što je organizacija virtuelne (VLAN) u okviru integralne infrastrukture, koju obezbeđuju većina modernih svičeva. To je zbog mnogih faktora, pa je vrijedno razmotriti ovu tehnologiju sa stanovišta mogućnosti njezine upotrebe u takve svrhe.
opći opis
Za početak, vrijedi odlučiti šta su VLAN-ovi. Ovo se odnosi na grupu računara povezanih na mrežu koja su logički grupirana u domenu distribucije emitovanih poruka prema određenom atributu. Na primjer, grupe se mogu razlikovati ovisno o strukturi poduzeća ili prema vrsti rada na projektu ili zadatku zajedno. VLAN-ovi pružaju nekoliko prednosti. Za početak, govorimo o mnogo efikasnijem korišćenju propusnog opsega (u poređenju sa tradicionalnim lokalnim mrežama), povećanom stepenu zaštite informacija koje se prenose, kao i o pojednostavljenoj šemi administracije.
Budući da se pri korištenju VLAN-a cijela mreža dijeli na broadcast domene, informacije unutar takve strukture se prenose samo između njenih članova, a ne do svih računala u fizičkoj mreži. Ispostavilo se da je emitovani saobraćaj koji generišu serveri ograničen na unapred definisani domen, odnosno da se ne emituje na sve stanice u ovoj mreži. Tako je moguće postići optimalnu distribuciju propusnog opsega mreže između namenskih grupa računara: serveri i radne stanice iz različitih VLAN-ova jednostavno se ne vide.
Kako se odvijaju svi procesi?
U takvoj mreži informacije su prilično dobro zaštićene od činjenice da se podaci razmjenjuju unutar jedne određene grupe računara, odnosno ne mogu primati promet generiran u nekoj drugoj sličnoj strukturi.
Ako govorimo o tome šta su VLAN-ovi, onda je prikladno napomenuti takvu prednost ove metode organizacije, jer pojednostavljena mreža utječe na takve zadatke kao što su dodavanje novih elemenata u mrežu, njihovo premještanje, a također i njihovo brisanje. Na primjer, ako se korisnik VLAN-a preseli na drugu lokaciju, mrežni administrator ne mora ponovo ožičiti kablove. On bi jednostavno trebao konfigurirati mrežnu opremu sa svog radnog mjesta. U nekim implementacijama takvih mreža, kretanje članova grupe može se kontrolisati automatski, čak i bez potrebe za intervencijom administratora. On samo treba da zna kako da konfiguriše VLAN da bi izvršio sve potrebne operacije. Može kreirati nove logičke grupe korisnika čak i bez ustajanja. Sve to uvelike štedi radno vrijeme, što može biti korisno za rješavanje ne manje važnih zadataka.
Načini organizacije VLAN-a
Postoje tri različite opcije: na osnovu portova, protokola trećeg sloja ili MAC adresa. Svaka metoda odgovara jednom od tri niža sloja OSI modela: fizičkom, mrežnom i kanalnom, respektivno. Ako govorimo o tome šta su VLAN-ovi, onda je vrijedno napomenuti prisustvo četvrtog načina organizacije - zasnovanog na pravilima. Sada se rijetko koristi, iako pruža veliku fleksibilnost. Možete detaljnije razmotriti svaku od ovih metoda kako biste razumjeli koje karakteristike imaju.
VLAN bazirani na portovima
Ovo pretpostavlja logičko grupisanje određenih fizičkih portova komutatora odabranih za interakciju. Na primjer, može odrediti da određeni portovi, na primjer, 1, 2 i 5 formiraju VLAN1, a brojevi 3, 4 i 6 se koriste za VLAN2 i tako dalje. Jedan komutacijski port se može koristiti za povezivanje nekoliko računara, za koje se, na primjer, koristi čvorište. Svi oni će biti definirani kao članovi iste virtualne mreže kojoj je dodijeljen port za posluživanje komutatora. Ovako kruto vezivanje članstva u virtuelnoj mreži glavni je nedostatak takve organizacione šeme.
VLAN baziran na MAC adresama
Ova metoda se zasniva na upotrebi jedinstvenih heksadecimalnih adresa na nivou veze koje ima svaki server ili radna stanica na mreži. Ako govorimo o tome šta su VLAN-ovi, onda je vrijedno napomenuti da se ova metoda smatra fleksibilnijom od prethodne, budući da se računala koja pripadaju različitim virtuelnim mrežama mogu povezati na jedan komutacijski port. Osim toga, automatski prati kretanje računara s jednog porta na drugi, što vam omogućava da zadržite pripadnost klijenta određenoj mreži bez intervencije administratora.
Princip rada ovdje je vrlo jednostavan: prekidač održava tablicu korespondencije između MAC adresa radnih stanica i virtualnih mreža. Čim se računar prebaci na neki drugi port, polje MAC adrese se upoređuje sa podacima tabele, nakon čega se donosi tačan zaključak da računar pripada određenoj mreži. Nedostaci ove metode su složenost konfiguracije VLAN-a, što u početku može uzrokovati greške. Dok komutator gradi svoje tablice adresa, mrežni administrator mora sve to pregledati kako bi odredio koje adrese odgovaraju kojim virtuelnim grupama, nakon čega ih dodjeljuje odgovarajućim VLAN-ovima. I tu ima mjesta za greške, što se ponekad dešava u Cisco VLAN-ovima, čija je konfiguracija prilično jednostavna, ali će naknadna preraspodjela biti teža nego u slučaju korištenja portova.
VLAN baziran na sloju 3 protokola
Ova metoda se rijetko koristi u prekidačima na nivou radne grupe ili odjeljenja. Tipičan je za okosnice opremljene ugrađenim alatima za rutiranje za glavne LAN protokole - IP, IPX i AppleTalk. Ova metoda pretpostavlja da će grupa portova komutatora koji pripadaju određenom VLAN-u biti povezana s nekom IP ili IPX podmrežom. U ovom slučaju, fleksibilnost je osigurana činjenicom da se prebacivanje korisnika na drugi port koji pripada istoj virtuelnoj mreži prati komutator i ne mora se rekonfigurirati. VLAN rutiranje je u ovom slučaju prilično jednostavno, jer svič u ovom slučaju analizira mrežne adrese računara koje su definisane za svaku od mreža. Ova metoda također podržava interakciju između različitih VLAN-ova bez upotrebe dodatnih alata. Postoji jedan nedostatak ove metode - visoka cijena prekidača u kojima se implementira. Rostelecom VLAN podržava rad na ovom nivou.
zaključci
Kao što ste već shvatili, virtuelne mreže su prilično moćan alat koji može riješiti probleme vezane za sigurnost prijenosa podataka, administraciju, kontrolu pristupa i povećanje efikasnosti korištenja.
9) Rutiranje: statičko i dinamičko na primjeru RIP, OSPF i EIGRP.
10) Prijevod mrežne adrese: NAT i PAT.
11) Protokoli redundanse prvog skoka: FHRP.
12) Sigurnost računarske mreže i virtuelne privatne mreže: VPN.
13) Globalne mreže i korišteni protokoli: PPP, HDLC, Frame Relay.
14) Uvod u IPv6, konfiguraciju i rutiranje.
15) Upravljanje mrežom i praćenje mreže.
P.S. Možda će se lista vremenom proširiti.
U prethodnim člancima već smo radili sa mnogim mrežnim uređajima, shvatili po čemu se razlikuju jedni od drugih i ispitali od čega se sastoje okviri, paketi i drugi PDU-ovi. U principu, s ovim znanjem možete organizirati jednostavnu lokalnu mrežu i raditi u njoj. Ali svijet ne miruje. Sve je više uređaja koji opterećuju mrežu ili, još gore, predstavljaju sigurnosni rizik. I, po pravilu, "opasnost" se pojavljuje ispred "sigurnosti". Sada ću to pokazati na najjednostavnijem primjeru.
Za sada nećemo dirati rutere i različite podmreže. Recimo da su svi hostovi na istoj podmreži.
Evo liste IP adresa:
- PC1 - 192.168.1.2/24
- PC2 - 192.168.1.3/24
- PC3 - 192.168.1.4/24
- PC4 - 192.168.1.5/24
- PC5 - 192.168.1.6/24
- PC6 - 192.168.1.7/24
Ko želi ovo da vidi u vidu animacije, otvori spojler (tu je prikazan ping od PC1 do PC5).
Rad mreže u jednoj radiodifuznoj domeni
Prelijepo ha? O radu ARP protokola smo već govorili više puta u prošlim člancima, ali to je bilo prošle godine, pa ću ukratko objasniti. Pošto PC1 ne zna MAC adresu (ili adresu sloja veze) PC2, on šalje ARP inteligenciji da to kaže. Dolazi do prekidača, odakle se releji na sve aktivne portove, odnosno na PC2 i na centralni prekidač. Od centralnog prekidača će letjeti do susjednih prekidača, i tako dalje, dok ne stigne do svih. Ovo nije mala količina prometa uzrokovana jednom ARP porukom. Dobili su ga svi članovi mreže. Veliki i nepotreban promet je prvi problem. Drugi problem je sigurnost. Mislim da su primijetili da je poruka stigla čak i do računovodstva čiji kompjuteri uopšte nisu učestvovali. Svaki uljez koji se poveže na bilo koji od prekidača imat će pristup cijeloj mreži. U principu, mreže su tako funkcionirale. Računari su bili u istom kanalnom okruženju i bili su odvojeni samo pomoću rutera. Ali vrijeme je prolazilo i bilo je potrebno riješiti ovaj problem na nivou kanala. Cisco je, kao pionir, smislio vlastiti protokol koji je označavao okvire i određivao pripadnost određenom okruženju kanala. To se zvalo ISL (Inter-Switch Link). Ova ideja se svima dopala i IEEE je odlučio da razvije sličan otvoreni standard. Standard se zove 802.1q. Dobio je ogromnu distribuciju i Cisco je odlučio da se prebaci i na nju.
A upravo je VLAN tehnologija zasnovana na radu 802.1q protokola. Počnimo da pričamo o njoj.
U trećem dijelu pokazao sam kako izgleda eternet okvir. Pogledajte ga i osvježite sećanje. Ovako izgleda okvir bez oznake.
Sada pogledajmo označenu.
Kao što vidite, razlika je u tome što je određena Tag. To je ono što nas zanima. Kopajmo dublje. Sastoji se od 4 dijela.
1) TPID (engleski Tag Protocol ID) ili Tagged Protocol Identifier- sastoji se od 2 bajta i uvijek je jednak 0x8100 za VLAN.
2) PCP (engleski Priority Code Point) ili vrijednost prioriteta- sastoji se od 3 bita. Koristi se za određivanje prioriteta saobraćaja. Hladni i bradati sistemski administratori znaju kako pravilno upravljati njime i upravljati njime kada različiti promet hoda po mreži (glas, video, podaci, itd.)
3) CFI (engleski Canonical Format Indicator) ili Canonical Format Indicator- jednostavno polje koje se sastoji od jednog bita. Ako je postavljeno na 0, onda je ovo standardni format MAC adrese.
4) VID (engleski VLAN ID) ili VLAN identifikator- sastoji se od 12 bita i pokazuje u kojem VLAN-u se okvir nalazi.
Želim da vam skrenem pažnju na činjenicu da se označavanje okvira vrši između mrežnih uređaja (prekidači, ruteri itd.), a okviri se ne označavaju između krajnjeg čvora (računara, laptopa) i mrežnog uređaja. Stoga, port mrežnog uređaja može biti u 2 stanja: pristup ili prtljažnik.
- Pristupni port ili pristupni port- port koji se nalazi u određenom VLAN-u i prenosi neoznačene okvire. Po pravilu, ovo je port koji gleda na korisnički uređaj.
- Trank port ili trunk port- port za prijenos označenog saobraćaja. U pravilu se ovaj port podiže između mrežnih uređaja.
Regrutujem tim show vlan.
Izgrađeno je nekoliko stolova. U stvari, samo prvi nam je važan. Sada ću vam pokazati kako da ga čitate.
1 kolona je VLAN broj. Ovdje je inicijalno prisutan broj 1 - ovo je standardni VLAN koji je inicijalno na svakom sviču. Obavlja još jednu funkciju, o kojoj ću pisati u nastavku. Tu su i rezervirani od 1002-1005. Ovo je za druga okruženja kanala za koja je malo vjerovatno da će se sada koristiti. Ni njih ne možete izbrisati.
Switch(config)#no vlan 1005 Zadani VLAN 1005 se ne može izbrisati.
Prilikom brisanja, Cisco prikazuje poruku da se ovaj VLAN ne može izbrisati. Dakle, živimo i ne diramo ova 4 VLAN-a.
2 kolone je naziv VLAN-a. Prilikom kreiranja VLAN-a možete, prema vlastitom nahođenju, smisliti smislena imena za njih kako biste ih kasnije identificirali. Već postoji default, fddi-default, token-ring-default, fddinet-default, trnet-default.
3 kolone- status. Ovo pokazuje u kakvom je stanju VLAN. Trenutno je VLAN 1 ili default u aktivnom stanju, a sljedeća 4 su act/unsup (iako je aktivan, ali nije podržan).
4 kolone- luke. Ovo pokazuje kojim VLAN-ovima pripadaju portovi. Sada, kada još ništa nismo dirali, oni su zadani.
Počnimo s konfiguracijom prekidača. Dobra je praksa da se prekidačima daju smislena imena. Šta ćemo da radimo. Dovodim ekipu.
Switch(config)#hostname CentrSW CentrSW(config)#
Ostalo je konfigurisano na isti način, pa ću pokazati ažurirani dijagram topologije.
Započnimo konfiguraciju sa prekidačem SW1. Prvo, napravimo VLAN na prekidaču.
SW1(config)#vlan 2 - kreirajte VLAN 2 (VLAN 1 je rezervisan po defaultu, pa uzimamo sljedeći). SW1(config-vlan)#name Dir-ya - uđite u podešavanja VLAN-a i dajte mu ime.
VLAN je kreiran. Sada pređimo na portove. Interfejs FastEthernet0/1 gleda na PC1, a FastEthernet0/2 gleda na PC2. Kao što je ranije spomenuto, okviri između njih moraju se prenijeti neoznačeni, tako da ćemo ih prebaciti u stanje pristupa.
SW1(config)#interface fastEthernet 0/1 - idite na konfigurisanje 1. porta. SW1(config-if)#switchport mode access - prebacite port u način pristupa. SW1(config-if)#switchport pristupni vlan 2 - dodijeljen portu 2. VLAN-a. SW1(config)#interface fastEthernet 0/2 - idite na konfigurisanje 2. porta. SW1(config-if)#switchport mode access - prebacite port u način pristupa. SW1(config-if)#switchport pristupni vlan 2 - dodijeljen portu 2. VLAN-a.
Budući da su oba porta fiksna pod istim VLAN-om, i dalje se mogu konfigurirati kao grupa.
SW1(config)#interface range fastEthernet 0/1-2 - to jest, odaberite bazen i onda je postavka slična. SW1(config-if-range)#switchport mode pristup SW1(config-if-range)#switchport access vlan 2
Postavite pristupne portove. Sada postavimo trunk između SW1 i CentrSW.
SW1(config)#interface fastEthernet 0/24 - idite na konfigurisanje 24. porta. SW1(config-if)#switchport mode trunk - prebacite port u trunk mod. %LINEPROTO-5-UPDOWN: Linijski protokol na sučelju FastEthernet0/24, promijenjeno stanje na dolje %LINEPROTO-5-UPDOWN: Linijski protokol na interfejsu FastEthernet0/24, promijenjeno stanje na gore
Odmah vidimo da je port ponovo konfigurisan. U principu, ovo je dovoljno za rad. Ali sa sigurnosne tačke gledišta, samo onim VLAN-ovima koji su zaista potrebni treba dozvoliti prenos. Hajde da počnemo.
SW1(config-if)#switchport trunk dozvoljeno vlan 2 - dozvoljavamo samo 2. VLAN da se prenosi.
Bez ove naredbe, svi dostupni VLAN-ovi će se prenijeti. Pogledajmo kako se tabela promijenila sa naredbom show vlan.
2. VLAN se pojavio sa imenom Dir-ya i vidimo portove fa0/1 i fa0/2 koji mu pripadaju.
Da biste prikazali samo gornju tabelu, možete koristiti naredbu prikaži vlan brief.
Također možete skratiti izlaz navođenjem specifičnog VLAN ID-a.
Ili njegovo ime.
Sve informacije o VLAN-u pohranjuju se u flash memoriju u datoteci vlan.dat.
Kao što vidite, ni u jednoj komandi nema informacija o deblu. Može ga pogledati drugi tim show interface trunk.
Postoje informacije o trunk portovima i o tome koje VLAN-ove prenose. Tu je i kolona native vlan. Upravo to je promet koji ne treba označavati. Ako neoznačeni okvir stigne na prekidač, on se automatski dodjeljuje Native Vlanu (po defaultu, u našem slučaju, ovo je VLAN 1). Native VLAN je moguć, a mnogi kažu da ga treba promijeniti iz sigurnosnih razloga. Da biste to učinili, u modu konfiguracije trunk porta, trebate koristiti naredbu - switchport trunk izvorni vlan X, gdje X- broj dodijeljenog VLAN-a. U ovoj topologiji se nećemo mijenjati, ali je korisno znati kako to učiniti.
Ostaje da konfigurišete ostale uređaje.
CentrSW:
Centralni prekidač je veza, što znači da mora znati za sve VLAN-ove. Stoga ih prvo kreiramo, a zatim prenosimo sva sučelja u trunk mod.
CentrSW(config)#vlan 2 CentrSW(config-vlan)# ime Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# ime buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# ime otdel -kadrov CentrSW(config)#opseg interfejsa fastEthernet 0/1-3 CentrSW(config-if-range)#switchport mode trunk
Ne zaboravite da sačuvate konfiguraciju. Zapovjedi kopiraj run-config startup-config.
SW2(config)#vlan 3 SW2(config-vlan)#name buhgalter SW2(config)#opseg interfejsa fastEthernet 0/1-2 SW2(config-if-range)#switchport mode pristup SW2(config-if-range)# switchport access vlan 3 SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#switchport trunk dozvoljeno vlan 3
SW3:
SW3(config)#vlan 4 SW3(config-vlan)#name otdel kadrov SW3(config)#interface range fastEthernet 0/1-2 SW3(config-if-range)#switchport mode pristup SW3(config-if-range) #switchport access vlan 4 SW3(config)#interface fastEthernet 0/24 SW3(config-if)#switchport mode trunk SW3(config-if)#switchport trunk dozvoljeno vlan 4
Imajte na umu da smo podigli i konfigurisali VLAN-ove, ali smo ostavili isto adresiranje hosta. To jest, u stvari, svi čvorovi su na istoj podmreži, ali odvojeni VLAN-ovima. Ne možete to učiniti. Svakom VLAN-u mora biti dodijeljena posebna podmreža. Ovo sam uradio samo u obrazovne svrhe. Kada bi svako odjeljenje sjedilo na svojoj podmreži, onda bi oni bili a priori ograničeni, pošto komutator nije u mogućnosti da usmjeri promet s jedne podmreže na drugu (plus ovo je već ograničenje na nivou mreže). I moramo ograničiti odjele na nivou veze podataka.
Opet šaljem ping sa PC1 na PC3.
Ulazi u kurs ARP-a, što nam je sada potrebno. Hajde da ga otvorimo.
Za sada ništa novo. ARP je inkapsuliran u ethernetu.
Okvir stiže do prekidača i označava se. Sada ne postoji običan Ethernet, već 802.1q. Dodata polja o kojima sam pisao ranije. Ovo TPID, što je 8100 i označava da je 802.1q. I TCI, koji kombinuje 3 polja PCP, CFI i VID. Broj u ovom polju je VLAN broj. Idemo dalje.
Nakon oznake, šalje okvir na PC2 (jer je u istom VLAN-u) i na centralni switch preko trunk porta.
Budući da nije bilo tvrdo kodirano koje vrste VLAN-a da prolaze kroz koje portove, on će poslati na oba prekidača. I ovdje prekidači, nakon što su vidjeli VLAN broj, razumiju da nemaju uređaje s takvim VLAN-om i hrabro ga odbace.
PC1 čeka odgovor koji nikada ne stiže. Ispod spojlera možete pogledati u obliku animacije.
Animacija
Sada sledeća situacija. U direkciju se angažuje još jedna osoba, ali nema mjesta u kancelariji direkcije i neko vrijeme traže da se osoba smjesti u računovodstvo. Mi rješavamo ovaj problem.
Povezali smo računar na FastEthernet port 0/3 sviča i dodelili IP adresu 192.168.1.8/24.
Sada postavite prekidač SW2. Pošto računar mora biti u 2. VLAN-u, za koji svič ne zna, kreiraćemo ga na sviču.
SW2(config)#vlan 2 SW2(config-vlan)#name Dir-ya
Zatim konfigurišemo FastEthernet 0/3 port, koji gleda na PC7.
SW2(config)#interface fastEthernet 0/3 SW2(config-if)#switchport mode pristup SW2(config-if)#switchport pristup vlan 2
I posljednja stvar je konfigurirati trunk port.
SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport trunk dozvoljeno vlan add 2 - obratite pažnju na ovu naredbu. Naime, ključna riječ "dodaj". Ako ne dodate ovu riječ, tada ćete obrisati sve ostale VLAN-ove dozvoljene za prijenos na ovom portu. Stoga, ako ste već imali trunk na portu i prenijeli su se drugi VLAN-ovi, onda ga morate dodati na taj način.
Da bi okviri lijepo išli, ispravit ću centralni prekidač CentrSW.
CentrSW(config)#interface fastEthernet 0/1 CentrSW(config-if)#switchport trunk dozvoljeno vlan 2 CentrSW(config)#interface fastEthernet 0/2 CentrSW(config-if)#switchport trunk dozvoljeno vlan 2,3 CentrSW(config) #interface fastEthernet 0/3 CentrSW(config-if)#switchport trunk dozvoljeno vlan 4
Provjerite vrijeme. Šaljem ping sa PC1 na PC7.
Do sada je cijeli put sličan prethodnom. Ali od sada (sa donje slike) centralni prekidač će donijeti drugačiju odluku. On prima okvir i vidi da je označen sa 2. VLAN-om. To znači da ga trebate poslati samo tamo gdje je to dozvoljeno, odnosno na port fa0 / 2.
I sada dolazi na SW2. Otvaramo ga i vidimo da je još uvijek označeno. Ali sljedeći čvor je kompjuter i oznaka mora biti uklonjena. Kliknite na "Outbound PDU Details" da vidite u kojem obliku će okvir izletjeti iz prekidača.
I zaista. Prekidač će poslati okvir u "čistom" obliku, odnosno bez oznaka.
ARP stiže do PC7. Otvaramo ga i uvjeravamo se da se neoznačeni PC7 okvir prepoznaje i šalje odgovor.
Otvaramo okvir na prekidaču i vidimo da će ići označen za slanje. Tada će okvir putovati istim putem kojim je došao.
ARP stiže do PC1, o čemu svjedoči kvačica na koverti. Sada zna MAC adresu i koristi ICMP.
Otvaramo paket na prekidaču i vidimo istu sliku. Na sloju veze, okvir je označen prekidačem. To će biti slučaj sa svakom objavom.
Vidimo da paket uspješno stiže do PC7. Neću pokazivati put nazad, jer je sličan. Ako nekoga zanima, cijeli put možete pogledati u animaciji ispod spojlera. A ako želite sami da odaberete ovu topologiju, prilažem link do laboratorija.
VLAN logika
Ovdje je, u principu, najpopularnija primjena VLAN-a. Bez obzira na fizičku lokaciju, možete logično kombinovati čvorove u grupe, izolujući ih na taj način od drugih. Vrlo je zgodno kada zaposleni fizički rade na različitim mjestima, ali moraju biti ujedinjeni. I naravno, sa sigurnosne tačke gledišta, VLAN-ovi nisu zamjenjivi. Glavna stvar je da ograničen krug ljudi ima pristup mrežnim uređajima, ali to je zasebno pitanje.
Postignuta ograničenja na nivou kanala. Saobraćaj se sada nikuda ne odvija, već se odvija striktno prema namjeni. Ali sada se postavlja pitanje da odjeli moraju međusobno komunicirati. A pošto se nalaze u različitim kanalnim okruženjima, rutiranje dolazi u obzir. Ali prije nego što počnemo, sredimo topologiju. Prva stvar na koju stavljamo ruku je adresiranje čvorova. Opet, svako odjeljenje mora biti na svojoj podmreži. Ukupno dobijamo:
- Direkcija - 192.168.1.0/24
- Računovodstvo - 192.168.2.0/24
- Odjel ljudskih resursa - 192.168.3.0/24
Kada su podmreže definisane, odmah se obraćamo čvorovima.
- PC1:
IP: 192.168.1.2
Maska: 255.255.255.0 ili /24
Gateway: 192.168.1.1 - PC2:
IP: 192.168.1.3
Maska: 255.255.255.0 ili /24
Gateway: 192.168.1.1 - PC3:
IP: 192.168.2.2
Maska: 255.255.255.0 ili /24
Gateway: 192.168.2.1 - PC4:
IP: 192.168.2.3
Maska: 255.255.255.0 ili /24
Gateway: 192.168.2.1 - PC5:
IP: 192.168.3.2
Maska: 255.255.255.0 ili /24
Gateway: 192.168.3.1 - PC6:
IP: 192.168.3.3
Maska: 255.255.255.0 ili /24
Gateway: 192.168.3.1 - PC7:
IP: 192.168.1.4
Maska: 255.255.255.0 ili /24
Gateway: 192.168.1.1
Čvorovi su dodali parametar kao što je adresa mrežnog prolaza. Oni koriste ovu adresu kada treba da pošalju poruku hostu koji se nalazi na drugoj podmreži. U skladu s tim, svaka podmreža ima svoj vlastiti gateway.
Ostaje da konfigurišem ruter, a ja otvaram njegov CLI. Po tradiciji ću dati smisleno ime.
Router(config)#hostname Gateway Gateway(config)#
Zatim prelazimo na postavljanje interfejsa.
Gateway(config)#interface fastEthernet 0/0 - idite na traženi interfejs. Gateway(config-if)#ne shutdown - omogućite ga. %LINK-5-CHANGED: Interface FastEthernet0/0, promijenjeno stanje na gore %LINEPROTO-5-UPDOWN: Linijski protokol na Interface FastEthernet0/0, promijenjeno stanje na gore
Sada pažnja! Omogućili smo interfejs, ali mu nismo dodelili IP adresu. Činjenica je da je potrebna samo veza ili kanal sa fizičkog interfejsa (fastethernet 0/0). Ulogu gateway-a će obavljati virtuelni interfejsi ili podinterfejsi (engleski subinterface). Trenutno postoje 3 tipa VLAN-a. To znači da će postojati 3 podinterfejsa. Počnimo sa postavljanjem.
Gateway(config)#interface fastEthernet 0/0.2 Gateway(config-if)#encapsulation dot1Q 2 Gateway(config-if)#ip adresa 192.168.1.1 255.255.255.0 Gateway(config)#netconfig-interface/Ethernet fast. )#encapsulation dot1Q 3 Gateway(config-if)#ip adresa 192.168.2.1 255.255.255.0 Gateway(config)#interface fastEthernet 0/0.4 Gateway(config-if)#encapsulation dot1Qig Gateway-1Qip46 adresa .3.1 255.255.255.0
Ruter je konfigurisan. Idemo do centralnog prekidača i na njemu konfiguriramo trunk port tako da prosljeđuje označene okvire ruteru.
CentrSW(config)#interface fastEthernet 0/24 CentrSW(config-if)#switchport mode trunk CentrSW(config-if)#switchport trunk dozvoljeno vlan 2,3,4
Konfiguracija je završena i nastavljamo s vježbom. Šaljem ping sa PC1 na PC6 (tj. na 192.168.3.3).
PC1 nema pojma ko je PC6 ili 192.168.3.3, ali zna da se nalaze na različitim podmrežama (kako on to razumije opisano je u prethodnom članku). Stoga će poslati poruku kroz glavni gateway, čija je adresa navedena u njegovim postavkama. I iako PC1 zna IP adresu glavnog gatewaya, MAC adresa nije dovoljna za potpunu sreću. I on pokreće ARP.
Bilješka. Kada okvir stigne u CentrSW, prekidač ga ne šalje nikome. Šalje samo na one portove na kojima je dozvoljen prolaz 2. VLAN-a. Odnosno, na ruteru i na SW2 (postoji korisnik koji sjedi u 2. VLAN-u).
Ruter se prepoznaje i šalje odgovor (prikazano strelicom). I pogledajte donji okvir. Kada je SW2 primio ARP sa centralnog prekidača, na sličan način ga nije poslao na sve računare, već je poslao samo PC7, koji se nalazi u 2. VLAN-u. Ali PC7 to odbacuje, jer nije za njega. Pogledajmo dalje.
ARP je stigao do PC1. Sada zna sve i može poslati ICMP. Još jednom ću obratiti pažnju na to da će kao odredišna MAC adresa (link layer) biti adresa rutera, a kao odredišna IP adresa (mrežni sloj) PC6 adresa.
ICMP stiže do rutera. Pogleda u svoju tabelu i shvati da ne poznaje nikoga na 192.168.3.3. Odbacuje dolazni ICMP i dozvoljava izviđanje ARP-a.
PC6 se prepoznaje i šalje odgovor.
Odgovor stiže do rutera i on dodaje unos u svoju tabelu. Možete pogledati ARP tabelu pomoću naredbe pokazati arp.
Idemo dalje. PC1 je nezadovoljan što mu niko ne odgovara i šalje sljedeću ICMP poruku.
Ovaj put ICMP prolazi bez problema. Ići će istim putem nazad. Samo ću vam pokazati krajnji rezultat.
Prvi paket je izgubljen (kao rezultat ARP rada), a drugi je stigao bez problema.
Kome je stalo da to vidi u animaciji, dobrodošli u spojler.
InterVLAN rutiranje
Dakle. Postigli smo da ako su čvorovi u istoj podmreži i u istom VLAN-u, onda će ići direktno kroz prekidače. U slučaju kada je potrebno poslati poruku drugoj podmreži i VLAN-u, ona će se prenijeti preko Gateway rutera, koji vrši “inter-vlane” rutiranje. Ova topologija se zove "ruter na štapiću" ili "ruter na štapiću". Kao što vidite, veoma je zgodno. Napravili smo 3 virtuelna interfejsa i poslali različite tagovane okvire duž jedne žice. Bez upotrebe podinterfejsa i VLAN-a, bilo bi neophodno koristiti poseban fizički interfejs za svaku podmrežu, što nije nimalo isplativo.
Inače, ovo pitanje je vrlo dobro analizirano u ovom videu (video je dugačak oko 3 sata, tako da je link vezan za taj konkretni trenutak). Ako nakon čitanja i gledanja videa želite sve završiti vlastitim rukama, prilažem link za preuzimanje.
Bavili smo se VLAN-ovima i prešli smo na jedan od protokola koji radi s tim.
DTP (Dynamic Trunking Protocol) ili na ruskom dinamički trunk protokol- vlasnički protokol kompanije Cisco, koji se koristi za implementaciju trunk režima između prekidača. Iako, ovisno o stanju, oni također mogu biti dosljedni u načinu pristupa.
Postoje 4 načina u DTP-u: Dinamički automatski, Dinamički poželjno, Trunk, Pristup. Hajde da vidimo kako se uklapaju.
| Načini rada | dinamički auto | dinamično poželjno | Prtljažnik | Pristup |
|---|---|---|---|---|
| dinamički auto | Pristup | Prtljažnik | Prtljažnik | Pristup |
| dinamično poželjno | Prtljažnik | Prtljažnik | Prtljažnik | Pristup |
| Prtljažnik | Prtljažnik | Prtljažnik | Prtljažnik | Nema konekcije |
| Pristup | Pristup | Pristup | Nema konekcije | Pristup |
Odnosno, lijeva kolona je 1. uređaj, a gornji red je 2. uređaj. Po defaultu, prekidači su u "dinamičkom automatskom" načinu rada. Ako pogledate tabelu mapiranja, onda su dva prekidača u "dinamičkom automatskom" načinu rada konzistentna u "pristupnom" načinu. Hajde da proverimo ovo. Napravio sam novu laboratoriju i dodao 2 prekidača.
Neću ih još povezivati. Moram se uvjeriti da su oba prekidača u "dinamičkom automatskom" načinu rada. Provjerit ću sa timom show interfaces switchport.
Rezultat ove naredbe je vrlo velik, pa sam ga oprezao i istaknuo interesantne točke. Počnimo sa Administrativni način rada. Ova linija pokazuje u kojem se od 4 načina rada nalazi ovaj port na prekidaču. Uvjeravamo se da su portovi na oba prekidača u "Dynamic auto" modu. Linija Operativni način rada pokazuje u kom načinu rada su pristali da rade. Nismo ih još spojili, tako da su u "dole" stanju.
Odmah ću vam dati dobar savjet. Kada testirate bilo koji protokol, koristite filtere. Isključite prikaz rada svih protokola koji vam nisu potrebni.
Stavio sam CPT u način simulacije i filtrirao sve protokole osim DTP-a.
Mislim da je tu sve jasno. Povezujem prekidače kablom i, kada su veze podignute, jedan od prekidača generiše DTP poruku.
Otvaram ga i vidim da je DTP inkapsuliran u Ethernet okviru. Šalje ga na multicast adresu "0100.0ccc.cccc", koja se odnosi na DTP, VTP, CDP protokole.
I obratiću pažnju na 2 polja u DTP zaglavlju.
1) DTP Type- ovdje pošiljalac ubacuje ponudu. Odnosno, na koji način želi da pristane. U našem slučaju, on predlaže da se dogovorimo o "pristupu".
2) MAC adresa susjeda- u ovo polje upisuje MAC adresu svog porta.
Šalje i čeka odgovor od komšije.
Poruka stiže do SW1 i generira odgovor. Gdje također pregovara o "pristupnom" načinu, ubacuje svoju MAC adresu i šalje je na put do SW2.
Uspješno postiže DTP. U teoriji, trebali su biti dosljedni u načinu "pristupa". Provjerit ću.
Očekivano, pristali su na "pristupni" način.
Neko kaže da je tehnologija zgodna i koristi je. Ali izričito ne preporučujem korištenje ovog protokola u mojoj mreži. Nisam jedini koji ovo preporučuje, a sada ću objasniti zašto. Poenta je da ovaj protokol otvara veliku sigurnosnu rupu. Otvoriću laboratoriju koja se bavila poslom "Ruter na štapiću" i tamo dodati još jedan prekidač.
Sada ću ući u postavke novog prekidača i hardkodirati port da radi u trunk modu.
New_SW(config)#interface fastEthernet 0/1 New_SW(config-if)#switchport mode trunk
Povezujem ih i vidim kako se poklapaju.
U redu. "Dinamički automatski" i "trunk" režimi su konzistentni u režimu prtljažnik. Sada čekamo da neko počne da pokazuje aktivnost. Recimo da je PC1 odlučio nekome poslati poruku. Generira ARP i pušta u mrežu.
Preskočimo njegov put do trenutka kada dođe do SW2.
A evo najzanimljivijeg.
Šalje ga na novi spojeni prekidač. Objašnjavam šta se dogodilo. Čim smo se s njim dogovorili oko prtljažnika, on počinje da mu šalje sve pristigle okvire. Iako dijagram pokazuje da prekidač ispušta okvire, to ne znači ništa. Možete spojiti bilo koji uređaj za presretanje (njuškalo) na prekidač ili umjesto prekidača i mirno gledati šta se dešava na mreži. Čini se da je presreo bezopasni ARP. Ali ako pogledate dublje, možete vidjeti da su MAC adresa "0000.0C1C.05DD" i IP adresa "192.168.1.2" već poznate. To jest, PC1 se izdao bez razmišljanja. Sada napadač zna za takav računar. Osim toga, zna da sjedi u 2. VLAN-u. Onda može mnogo. Najbanalnije je da promijenite svoju MAC adresu, IP adresu, brzo uparite u Accessu i imitirate PC1. Ali najzanimljivije. Uostalom, možda to nećete odmah shvatiti. Obično, kada postavimo način rada porta, on se odmah prikazuje u konfiguraciji. uvozim prikaži run-config.
Ali ovdje su postavke porta prazne. uvozim show interfaces switchport i skrolujte do fa0/4.
I ovdje vidimo da je prtljažnik dogovoren. Show running-config ne pruža uvijek sveobuhvatne informacije. Stoga zapamtite i druge komande.
Mislim da je jasno zašto ne možete vjerovati ovom protokolu. Čini se da to olakšava život, ali u isto vrijeme može stvoriti veliki problem. Zato se oslonite na ručnu metodu. Prilikom postavljanja, odmah odredite za sebe koji portovi će raditi u trunk modu, a koji u pristupu. I što je najvažnije - uvijek onemogućite podudaranje. Tako da prekidači ne pokušavaju da se dogovore ni sa kim. Ovo se radi naredbom "switchport nonegotiate".
Pređimo na sljedeći protokol.
VTP (VLAN Trunking Protocol)- vlasnički protokol kompanije Cisco, koji se koristi za razmenu informacija o VLAN-ovima.
Zamislite situaciju da imate 40 prekidača i 70 VLAN-ova. Za dobro, morate ih ručno kreirati na svakom prekidaču i registrovati koji portovi magistralnog kanala će dozvoliti prijenos. Ovo je dug i dosadan posao. Stoga VTP može preuzeti ovaj zadatak. Vi kreirate VLAN na jednom prekidaču, a svi ostali su sinhronizovani sa njegovom bazom. Pogledajte sljedeću topologiju.
Ovdje se nalaze 4 prekidača. Jedan od njih je VTP server, a druga 3 su klijenti. Oni VLAN-ovi koji će biti kreirani na serveru se automatski sinhronizuju na klijentima. Objasnit ću kako VTP radi i šta može učiniti.
Dakle. VTP može kreirati, modificirati i brisati VLAN-ove. Svaka takva radnja podrazumijeva povećanje broja revizije (svaka radnja povećava broj za +1). Nakon toga, on šalje saopštenja, gdje je naznačen broj revizije. Kupci koji prime ovu najavu upoređuju svoj broj revizije sa onim koji je stigao. A ako je dolazni broj veći, oni s njim sinhronizuju svoju bazu podataka. U suprotnom, deklaracija se zanemaruje.
Ali to nije sve. VTP ima uloge. Podrazumevano, svi prekidači rade kao server. Reći ću vam o njima.
- VTP server. Zna sve. Odnosno, kreira, modificira, briše VLAN-ove. Ako primi najavu u kojoj je revizija starija od nje, tada se sinhronizira. Stalno šalje najave i releje od komšija.
- VTP klijent- Ova uloga je već ograničena. Ne možete kreirati, uređivati ili brisati VLAN-ove. Svi VLAN-ovi primaju i sinhronizuju se sa servera. Povremeno obavještava susjede o svojoj VLAN bazi.
- VTP Transparent- ovo je tako nezavisna uloga. Može kreirati, mijenjati i brisati VLAN samo u svojoj bazi podataka. Nikome ništa ne nameće i ni od koga ništa ne prihvata. Ako primi neku najavu, prosljeđuje je, ali se ne sinhronizuje sa svojom bazom. Ako se u prethodnim ulogama broj revizije povećavao sa svakom promjenom, tada je u ovom modu broj revizije uvijek 0.
Pročitajte teoriju i pređite na praksu. Provjerimo da li je centralni prekidač u Server modu. Unosimo komandu prikaži vtp status.
Vidimo da VTP režim rada: Server. Također možete primijetiti da je VTP verzija druga. Nažalost, CPT 3. verzija nije podržana. Revizija verzija nula.
Sada konfigurirajmo donje prekidače.
SW1(config)#vtp način rada klijent Postavljanje uređaja na VTP CLIENT mod.
Vidimo poruku da je uređaj prešao u klijentski način rada. Ostali su konfigurisani na potpuno isti način.
Da bi uređaji mogli da se oglašavaju, moraju biti u istoj domeni. I ovdje postoji karakteristika. Ako uređaj (u režimu servera ili klijenta) ne pripada nijednoj domeni, tada će na prvom primljenom oglasu otići na oglašenu domenu. Ako je klijent na određenoj domeni, onda neće prihvatiti oglase sa drugih domena. Otvorimo SW1 i uvjerimo se da ne pripada nijednoj domeni.
Uvjerite se da je prazan.
Sada idemo na centralni prekidač i prenosimo ga na domenu.
CentrSW(config)#vtp domena cisadmin.ru Promjena imena VTP domene iz NULL u cisadmin.ru
Vidimo poruku da je prebačen na domenu cisadmin.ru.
Hajde da proverimo status.
I zaista. Naziv domene je promijenjen. Imajte na umu da je broj revizije još uvijek nula. Promijenit će se čim kreiramo VLAN na njemu. Ali prije nego što ga kreirate, morate staviti simulator u način simulacije da vidite kako će generirati oglase. Kreiramo 20. VLAN i vidimo sljedeću sliku.
Kada je VLAN kreiran i broj revizije je povećan, server generiše reklame. Ima dva. Otvorimo prvo onu lijevo. Ovo saopštenje se zove "Rezime oglasa" ili na ruskom "sažetak oglasa". Ovu najavu generira switch jednom svakih 5 minuta, gdje se govori o nazivu domene i trenutnoj reviziji. Da vidimo kako to izgleda.
U okviru Etherneta zabilježite odredišnu MAC adresu. To je isto kao gore kada je DTP generisan. To jest, u našem slučaju, samo oni koji imaju pokrenut VTP će odgovoriti na to. Sada pogledajmo sljedeće polje.
Evo samo svih informacija. Proći ću kroz najvažnija polja.
- Upravljačko ime domene - naziv samog domena (u ovom slučaju cisadmin.ru).
- Identitet ažuriranja - ID onoga koji ažurira. Ovdje se u pravilu upisuje IP adresa. Ali pošto adresa nije dodijeljena prekidaču, polje je prazno
- Vremenska oznaka ažuriranja - vrijeme ažuriranja. Vrijeme na prekidaču se nije promijenilo, tako da je fabričko vrijeme tu.
- MD5 Digest - MD5 hash. Koristi se za provjeru dozvola. Odnosno, ako VTP ima lozinku. Nismo promijenili lozinku, tako da je zadana heš.
Mislim da je ovde jasno. Odvojeno zaglavlje za svaki tip VLAN-a. Lista je toliko duga da ne stane na ekran. Ali oni su potpuno isti, osim imena. Neću mučiti glavu, što znači svaki kod. Da, i u CPT-u su ovdje konvencionalniji.
Da vidimo šta će se dalje desiti.
Klijenti dobijaju oglase. Oni vide da je broj revizije veći od njihovog i sinhronizuju bazu podataka. I šalju poruku serveru da je VLAN baza promijenjena.
Kako radi VTP protokol
Ovako u principu funkcioniše VTP protokol. Ali ima veoma velike nedostatke. A ovo su nedostaci u smislu sigurnosti. Objasnit ću na primjeru iste laboratorije. Imamo centralni switch na kojem se kreiraju VLAN-ovi, a zatim ih, putem multicast-a, sinkronizira sa svim switchevima. U našem slučaju, on govori o VLAN-u 20. Predlažem da još jednom pogledate njegovu konfiguraciju.
Bilješka. VTP poruka stiže na server, gdje je broj revizije veći od njegovog vlastitog. Razumije da se mreža promijenila i potrebno joj se prilagoditi. Provjerimo konfiguraciju.
Konfiguracija centralnog servera se promijenila i sada će emitovati upravo to.
Sada zamislite da nemamo jedan VLAN, već stotine. Evo jednostavnog načina za postavljanje mreže. Naravno, domen može biti zaštićen lozinkom i napadaču će biti teže nanijeti štetu. I zamislite situaciju da vam je prekidač pokvaren i da ga hitno trebate zamijeniti. Vi ili vaš kolega trčite u skladište po stari prekidač i zaboravite provjeriti broj revizije. Viši je od ostalih. Šta se dalje dešava, već ste videli. Stoga preporučujem da ne koristite ovaj protokol. Posebno u velikim korporativnim mrežama. Ako koristite VTP verziju 3, slobodno postavite prekidače na "Off" mod. Ako se koristi druga verzija, prebacite se na "transparentni" način rada. Dodaj oznake
Danas ću započeti malu seriju članaka o VLAN-ovima. Počnimo s tim što je, čemu služi, kako ga konfigurirati, a zatim ćemo ići dublje i postepeno proučavati, ako ne sve, onda najviše mogućnosti koje nam pružaju VLAN-ovi.
Dakle, zapamtite, razgovarali smo o takvom konceptu kao? Mislim da se sećaš. Govorili smo i o tome da postoji nekoliko vrsta adresa:.
Na osnovu toga napravićemo još jedan uvodni koncept. broadcast domena. Šta je on zaista?
Ako se pošalje okvir/paket, emitiranje (ako je okvir, onda polje Destination Address, svi bitovi su jednaki jedan, ili će u 16. obliku MAC adresa biti jednaka: FF FF FF FF FF FF), tada će ovaj okvir biti proslijeđen na sve portove komutatora, osim na one s kojih je okvir primljen. To će se dogoditi kada, na primjer, našim prekidačem nije upravljano, ili ako se njime upravlja, ali su svi u istom VLAN-u (više o tome kasnije).
Evo liste uređaja koji primaju ove okvire emitovanja i nazivaju se domenom emitovanja.
Sada da odlučimo šta je VLAN?
VLAN - Virtuelna lokalna mreža, tj. neka virtuelna mreža. čemu služi?
VLAN nam omogućava da razdvojimo broadcast domene na istom prekidaču. One. ako imamo jedan prekidač, dodijelit ćemo neke portove jednom VLAN-u, drugi drugom. I imaćemo dva različita domena za emitovanje. Naravno, mogućnosti nisu ograničene na ovo. O njima ću dalje, postepeno.
Ukratko, VLAN omogućava administratoru da fleksibilnije kreira mrežu dijeleći je na neke podmreže (na primjer, mreža računovođa, mreža menadžera i tako dalje), drugim riječima, VLAN pomaže da se kombinuju uređaji sa nekim uobičajenim skup zahtjeva u jednu grupu, te da ga odvoje od drugih sličnih izolovanih grupa.
Odmah ću rezervirati da VLAN-ovi rade na OSI Layer 2 nivou.
Podsjetimo da kada smo razmatrali okvir, tamo nije bilo polja za VLAN. Kako onda odrediti kojem VLAN-u pripada ovaj ili onaj okvir?
Postoji nekoliko standarda.
1. IEEE 802.1Q - Ovaj standard je otvoren. Ovaj standard označava određeni okvir koji je "prikačen" na neki VLAN sa označavanjem.
Označavanje je funkcija prekidača (ili bilo kojeg drugog uređaja koji "razumije" VLAN) koji ubacuje 4-bajtnu oznaku u ethernet okvir. Procedura označavanja ne mijenja podatke zaglavlja, tako da oprema koja ne podržava VLAN tehnologiju može lako proslijediti takav okvir dalje kroz mrežu, zadržavajući oznaku.
Ovako će okvir izgledati nakon umetanja VLAN oznake.
Na osnovu njihove figure vidimo da se VLAN tag sastoji od 4 polja, opisat ćemo ih:
- 2 bajta Tag Protocol Identifier (TPID) - ovo je identifikator protokola, u našem slučaju to je 802.1Q, u 16. obliku ovo polje će izgledati: 0x8100.
- Prioritet - polje za postavljanje prioriteta prema standardu 802.1p (o tome u sljedećim člancima). Veličina ovog polja je 3 bita (8 vrijednosti 0-7).
- Indikator kanonskog formata (CFI). Indikator kanonskog formata, veličina ovog polja je 1 bit. Ovo polje označava format mac adrese (1 je kononično, 0 nije kanonsko.)
- VLAN ID, zapravo, ovo je ono što smo danas ovdje 🙂 VLAN ID. Veličina polja je 12 bita, može imati vrijednost od 0 do 4095.
Prilikom korištenja VLAN-a (tagiranja) po standardu 802.1Q, vrše se promjene na okviru, stoga je potrebno preračunati FCS vrijednost, što zapravo radi prekidač.
Standard 802.1Q ima nešto kao Native VLAN, po defaultu Native VLAN ID je jednak jedan (može se promijeniti), Native VLAN karakterizira činjenica da ovaj VLAN nije označen.
2. Inter-switch-link (ISL). Protokol koji je razvio Cisco i može se koristiti samo na sopstvenoj opremi.
Ovaj protokol je razvijen prije usvajanja 802.1Q.
Trenutno, ISL više nije podržan na novijem hardveru, ali još uvijek možete naići na protokol, tako da se moramo upoznati s njim.
Za razliku od 802.1Q, gdje je izvršeno jednostavno označavanje okvira (ubacivanje 4 bajta unutar okvira), ovdje se koristi tehnologija enkapsulacije, odnosno dodaje se zaglavlje koje sadrži informacije o VLAN-u. VLAN ISL, za razliku od 802.1Q, podržava do 1000 VLAN-ova.
Razmotrite okvir u grafičkom obliku, kako ova inkapsulacija izgleda.
Ovdje odmah možemo vidjeti prvi i možda najosnovniji nedostatak ISL-a - ovo je povećanje okvira za 30 bajtova (26 bajta zaglavlje i 4 bajta FCS).
Razmotrimo ISL Header detaljnije, da vidimo šta je tamo pohranjeno u toliko bajtova!
- Adresa odredišta (DA) - adresa primaoca, ovdje je naznačena posebna multicast adresa, koja označava da je okvir inkapsuliran korištenjem ISL-a. Multicast adresa može biti 0x01-00-0C-00-00 ili 0x03-00-0c-00-00.
- Tip - dužina polja 4 bita, označava protokol koji je inkapsuliran u okviru. Može uzeti više vrijednosti:
0000 Ethernet
0001 - Token Ring
0010 - FDDI
0011-ATM
U našem slučaju, pošto razmatramo Ethernet, ova vrijednost će biti jednaka svim 0.
- KORISNIK - neka vrsta "skraćenog" analoga polja Priority u 802.1Q, koristi se za postavljanje prioriteta okvira. Iako polje zauzima 4 bita, može uzeti 4 vrijednosti (u 802.1Q - 8).
- Izvorna adresa (SA) - adresa izvora, ovo mjesto se zamjenjuje vrijednošću MAC adrese porta sa kojeg je ovaj inkapsulirani okvir poslan.
- LEN je dužina okvira. Ne uzima u obzir polja kao što su: DA,TYPE,USER,SA,LEN,FCS. Dakle, ispada da je ova vrijednost jednaka inkapsuliranom okviru - 18 bajtova.
- AAAA03 (SNAP) - SNAP i LLC (ovo polje sadrži vrijednost AAAA03).
- HSA - Visoki bitovi izvorne adrese - 3 visoka bajta MAC adrese (zapamtite da ovi bajtovi sadrže kod proizvođača), za Cisco ovo je 00-00-0C
- VLAN - konačno došao do samog glavnog polja. VLAN ID je zapravo naveden ovdje. Polje ima veličinu od 15 bita.
- BPDU - Jedinica podataka protokola mosta i Cisco Discovery Protocol. Polje za BPDU i CDP protokole. Šta je to i zašto, upoznat ćemo se u sljedećim člancima.
- INDX - Indeks, naznačen je indeks porta pošiljaoca, koji se koristi u dijagnostičke svrhe.
- RES - Rezervisano za Token Ring i FDDI. Rezervno polje za Token Ring i FDDI. Polje ima 16 bita. Ako se koristi ethernet protokol, tada se sve nule stavljaju u ovo polje.
- Enkapsulirani okvir je običan okvir koji je inkapsuliran. Ovaj okvir ima svoja polja, kao što su DA, SA, LEN, FCS i tako dalje.
- FCS - vlastiti ISL FCS (pošto je okvir potpuno promijenjen, potrebna je nova provjera okvira, zadnja 4 bajta su za to).
Možemo izvući neke zaključke u korist 802.1Q.
- Označavanje dodaje samo 4 bajta u okvir, za razliku od ISL-a (30 bajtova).
- 802.1Q je podržan na bilo kojoj opremi koja podržava VLAN, dok ISL radi samo na Cisco uređajima, i to ne na svim.
U ovom članku ukratko smo se upoznali sa konceptom VLAN-a. Zatim ćemo razumjeti detalje.
VLAN (Virtual Local Area Network, virtuelna lokalna mreža) je funkcija u ruterima i prekidačima koja vam omogućava da kreirate nekoliko virtuelnih lokalnih mreža na jednom fizičkom mrežnom interfejsu (Ethernet, Wi-Fi interfejs).
VLAN je dio većeg LAN-a. Najjednostavniji mehanizam za izolaciju različitih podmreža na što je Ethernet, WI-FI sučelja. Da bi se organizirao VLAN, mrežni prekidač (Kako odabrati mrežni prekidač (prekidač, prekidač, engleski prekidač)) mora podržavati VLAN tehnologiju i 802.1q protokol.
Prednosti VLAN-a:
povećava broj domena emitovanja, ali smanjuje veličinu svakog domena emitovanja, što zauzvrat smanjuje mrežni saobraćaj i povećava bezbednost mreže (oba efekta su povezana zajedno zbog jednog velikog domena emitovanja);
smanjuje napore administratora da kreiraju podmreže;
smanjuje količinu opreme, jer se mreže mogu razdvojiti logički, a ne fizički;
poboljšava upravljanje raznim vrstama saobraćaja.
VLAN uslovi
Šta je Native VLAN - ovo je koncept u 802.1Q standardu, koji označava VLAN na sviču, gdje svi okviri idu bez oznake, tj. saobraćaj se prenosi neoznačen. Podrazumevano, ovo je VLAN 1. U nekim modelima prekidača, kao što je cisco, ovo se može promeniti navođenjem drugog VLAN-a kao izvornog.
Termin untagged: samo jedan VLAN može primiti sve pakete koji nisu dodijeljeni nijednom VLAN-u (u terminologiji 3Com, Planet, Zyxel - untagged, u Cisco terminologiji - izvorni VLAN). Prekidač će dodati oznake ovog VLAN-a svim primljenim okvirima koji nemaju oznake.
Prtljažnik VLAN je fizički kanal preko kojeg se prenosi nekoliko VLAN kanala koji se razlikuju po oznakama (oznakama koje se dodaju paketima). Trankovi se obično kreiraju između "označenih portova" VLAN uređaja: switch switch ili switch router. (U Cisco dokumentima, termin „trunk” se takođe koristi da se odnosi na kombinaciju nekoliko fizičkih veza u jednu logičku: Link Aggregation, Port Trunking). Ruter (sloj 3 switch) djeluje kao okosnica mreže (kičma) za mrežni promet različitih VLAN-ova.
Jednostavno rečeno, vlan je logički kanal unutar fizičkog kanala (kabla), a trunk je skup logičkih kanala (vlans) unutar jednog fizičkog kanala (kabla).
VLAN-ovi se mogu definirati:
Porto (najčešća upotreba). VLAN-ovi zasnovani na broju porta omogućavaju vam da identifikujete određeni port u VLAN-u. Portovi se mogu definisati pojedinačno, po grupama, po celim redovima, pa čak i preko komutatora kroz trunk protokol. Ovo je najjednostavniji i najčešće korišteni metod za određivanje VLAN-a. Ovo je najčešća upotreba implementacije VLAN-a zasnovane na portovima kada radne stanice koriste TCP/IP protokol za dinamičku konfiguraciju (DHCP). Ispod je VLAN crtež zasnovan na portovima:
MAC adresa - adresa (vrlo rijetko). VLAN-ovi zasnovani na MAC adresama omogućavaju korisnicima da budu u istom VLAN-u čak i ako se korisnik seli s jednog mjesta na drugo. Ova metoda zahtijeva od administratora da odredi MAC adresu svake radne stanice i zatim unese ove informacije u Switch. Ovu metodu može biti vrlo teško riješiti ako je korisnik promijenio MAC adresu. Sve promjene u konfiguraciji moraju biti odobrene od strane administratora mreže, što može uzrokovati administrativna kašnjenja.
ID korisnika (vrlo rijetko)
VLAN Linux i D-Link DGS-1100-08P
Postavka DGS-1100-08P. Povežimo se na njega u prvom portu. Dodijelimo mu IP 10.90.91.2. Kreirajmo 3 VLAN-a: vlan1 (port 1 (tagged)) za službenu upotrebu, odnosno samo za podešavanje switch-a, vlan22 (port 1 (tagged); portovi 2,3,4 (untagged)), vlan35 (port 1) (označeno); portovi 5,6 (neoznačeni)). Portovi 7,8 se ne koriste i onemogućeni su preko menija Port Settings(Speed: Disabled). 
Naznačavamo da se u budućnosti D-Link DGS-1100-08P (IP 10.90.91.2) može upravljati samo preko vlan1, odnosno u našem slučaju administrator sistema mora da se poveže na prvi port DGS-1100-08P ( Kada se povezujete na drugi port - prekidač neće dozvoliti pristup 10.90.91.2).
Gledamo parametre kreiranog vlan-a u fajlovima ls -l / proc/ net/ vlan/ total 0 -rw------- 1 root root 0 17. avgust 15:06 config -rw ------ -- 1 root root 0 17. aug 15:06 vlan1 -rw------- 1 root root 0 17. kolovoz 15:06 vlan22
Kreiranje vlan-a putem vconfig-a i automatsko učitavanje putem /etc/network/interfaces nije uspjelo, pa kreiramo startup fajl i dodajemo ga na server za automatsko učitavanje. vlan_create.sh #!/bin/sh -e ip link dodaj vezu eth4 ime vlan22 tip vlan id 22 ip adresa dodaj 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 gore
Kreirajte VLAN pod nazivom vlan22 vezan na port eth4 mrežne kartice. Dodijelimo mu IP: 192.168.122.254. ip link dodaj link eth4 ime vlan22 tip vlan id 22 ip adresa dodaj 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 gore
Servisni vlan samo za konfiguraciju prekidača:
ip link dodaj link eth4 ime vlan44 tip vlan id 1 ip adresa dodaj 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 goreVLAN tehnologija vam omogućava da podijelite mrežu na logičke segmente. Svaki takav logički segment ima svoju vlastitu domenu emitiranja. Unicast, Broadcast i Multicast saobraćaj se prenosi samo između uređaja uključenih u isti VLAN. VLAN se često koristi za razdvajanje segmenata IP mreže, nakon čega slijedi rutiranje i filtriranje prometa između različitih VLAN-ova na ruteru ili na L3 sviču.
Kako konfigurirati VLAN na Cisco ruteru možete pronaći u članku Cisco VLAN - konfiguriranje vlan-a na Cisco ruteru. Ovdje ćemo razgovarati o konfiguraciji VLAN-a na Cisco Catalyst prekidačima.
Prije konfigurisanja VLAN-a na prekidaču, morate odlučiti da li će mreža koristiti VTP (VLAN Trunking Protocol) ili ne. Korišćenje VTP olakšava upravljanje (kreiranje, brisanje, preimenovanje) VLAN-ova u mreži. U slučaju VTP-a, promjena (VLAN informacije) se može izvršiti centralno, na jednom prekidaču, a ove promjene će se proširiti na druge komutatore u mreži. Ako ne koristite VTP, promjene se moraju izvršiti na svakom prekidaču.
VTP nameće svoja ograničenja: VTP verzija 1 i 2 podržavaju samo osnovni VLAN opseg (1 do 1005), podrška za prošireni opseg (1006 do 4094) je moguća samo u verziji 3 protokola. Podrška za verziju 3 VTP protokola počinje sa Cisco IOS verzija 12.2 (52)SE i novije. Razmotrit ćemo postavljanje VTP protokola u drugom članku, ali u ovom ćemo pretpostaviti da ne koristimo VTP.
VLAN konfiguracija na sviču može se podijeliti u tri faze: kreiranje VLAN-a, konfiguriranje portova, provjera.
1. Kreirajte VLAN na Cisco Catalyst
VLAN brojevi (VLAN ID) mogu se kretati od 1 do 4094:
1 - 1005 osnovni raspon (normalni raspon)
1002 - 1005 rezervirano za Token Ring i FDDI VLAN
1006 - 4094 prošireni domet
Kada kreirate ili uređujete VLAN, možete postaviti sljedeće opcije:
| VLAN ID | VLAN broj |
| VLAN naziv ( ime) | VLAN ime |
| VLAN tip( medija) | VLAN tip (Ethernet, Fiber Distributed Data Interface, FDDI naziv mrežnog entiteta, TrBRF ili TrCRF, Token Ring, Token Ring-Net) |
| VLAN stanje ( stanje) | VLAN status (aktivan ili suspendovan) |
| VLAN MTU( mtu) | Maksimalna veličina bloka podataka koji se može prenijeti na sloju veze podataka |
| REKAO ( rekao je) | Security Association Identifier - identifikator sigurnosne asocijacije (IEEE 802.10 standard) |
| Daljinski SPAN ( daljinski raspon) | Kreiranje VLAN-a za daljinsko praćenje saobraćaja (U budućnosti, u takvom VLAN-u, možete preslikati promet sa bilo kojeg porta i poslati ga kroz trunk na drugi switch, u kojem se promet sa ovog VLAN-a šalje na željeni port sa povezanim snifferom ) |
| Identifikacioni broj mosta za TrBRF VLAN ( most) | Identifikator broja mosta za funkciju TrBRF (Token Ring Bridge Relay Function). Svrha funkcije je stvaranje mosta od prstenova. |
| Broj zvona za FDDI i TrCRF VLAN ( prsten) | Broj zvona za VLAN tipove FDDI i TrCRF (funkcije releja koncentratora Token Ringa). TrCRF se nazivaju prstenovi koji su uključeni u most. |
| Roditeljski VLAN broj za TrCRF VLAN ( roditelj) | Roditeljski VLAN broj za VLAN tip FDDI ili Token Ring |
| Tip protokola Spanning Tree Protocol (STP) za TrCRF VLAN ( stp tip) | Tip protokola Spanning Tree Protocol (STP) za VLAN tip TrCRF |
| Translacioni VLAN broj 1 ( tb-vlan1) | VLAN broj za početnu konverziju iz jednog tipa VLAN-a u drugi |
| Translacioni VLAN broj 2 ( tb-vlan2) | VLAN broj za ponovno mapiranje s jednog tipa VLAN-a na drugi |
U praksi se najčešće prilikom kreiranja VLAN-a postavljaju samo VLAN ID i VLAN naziv.
Zadane vrijednosti:
Za kreiranje VLAN-a potrebno vam je:
1. Uđite u privilegirani način rada i unesite traženu lozinku (komanda " omogućiti«)
Sw1> sw1>omogući lozinku: sw1#
2. Prebacite se na način globalne konfiguracije (komanda " konfigurisati terminal«)
Sw1# sw1#configure terminal Unesite konfiguracijske naredbe, jednu po redu. Završite sa CNTL/Z. sw1(config)#
3. Kreirajte VLAN sa naredbom " vlan id “, gdje id - VLAN broj (nakon kreiranja, konzola će ući u mod konfiguracije VLAN-a, gdje možete podesiti gore navedene parametre za VLAN)
sw1(config)# sw1(config)#vlan 200 sw1(config-vlan)#
4. Postavite potrebne parametre za kreirani VLAN (na primjer, naziv)
Sw1(config-vlan)# sw1(config-vlan)#name TESTVLAN sw1(config-vlan)#
Ako u režimu VLAN konfiguracije unesete upitnik, tada će se prikazati parametri koji se mogu podesiti za ovaj VLAN:
Sw1(config-vlan)#? Komande za konfiguraciju VLAN-a: su maksimalan broj skokova za sve Route Explorer za ovaj VLAN (ili nula ako nije specificiran) backupcrf Sigurnosna kopija CRF mod VLAN mosta Premošćivanje izlaza VLAN-a Primjena promjena, bump broja revizije i izlaznog načina medija Vrsta medija VLAN mtu VLAN Maksimalni naziv jedinice za prijenos Ascii ime VLAN-a ne Negirajte komandu ili postavite njen zadani roditeljski ID broj roditeljskog VLAN-a FDDI ili tipa Token Ring VLAN-ova privatni-vlan Konfigurirajte privatni VLAN udaljeni raspon Konfigurirajte kao udaljeni SPAN VLAN ring Ring broj FDDI ili Token Ring tipa VLAN-ova navedenog IEEE 802.10 SAID shutdown Shutdown VLAN komutacijsko stanje Operativno stanje VLAN ste Maksimalan broj Spanning Tree Explorer skokova za ovaj VLAN (ili nula ako nije specificirano) stp Karakteristike spojnog stabla VLAN tb -vlan1 ID broj prvog translacijskog VLAN-a za ovaj VLAN (ili nula ako ga nema) tb-vlan2 ID broj drugog translacijskog VLAN-a za ovaj VLAN (ili nula ako ga nema)
5. Izađite iz moda konfiguracije vlan-a (komanda " Izlaz"ili" kraj" - izlaz iz moda globalne konfiguracije)
Sw1(config-vlan)# sw1(config-vlan)#end sw1#
Ne zaboravite da sačuvate konfiguraciju naredbom " kopiraj run-config startup-config» u privilegovanom načinu rada
Sw1# sw1#copy running-config startup-config Ime odredišne datoteke ? konfiguracija zgrade...
Možete izbrisati VLAN naredbom " no vlan id » u načinu globalne konfiguracije:
sw1(config)# sw1(config)#nema vlan 200 sw1(config)#
2. Konfigurisanje portova na Cisco Catalyst-u
Port na Cisco komutatoru može biti u jednom od sljedećih načina:
pristup- port je namijenjen za spajanje terminalnog uređaja. Pripada samo jednom VLAN-u. Dolazni saobraćaj sa uređaja povezanog na port je označen VLAN-om navedenim na portu.
prtljažnik- port je namijenjen za spajanje na drugi svič ili ruter. Port prenosi označeni saobraćaj. Može prenositi promet jednog i više VLAN-a preko jednog fizičkog kabla.
Na Cisco Catalyst-u možete sami podesiti režim porta (trunk ili pristup) ili postaviti automatsko otkrivanje. Sa automatskim otkrivanjem moda, port će se pregovarati sa susjedom (prekidačem ili drugim uređajem spojenim na ovaj port). Dogovaranje o načinu rada porta se događa slanjem DTP (Dynamic Trunking Protocol) okvira. Da bi DTP protokol radio uspješno, neophodno je da sučelja budu u istoj VTP domeni (bilo jedan od VTP domena je bio null, netačan)
Automatsko otkrivanje moda porta postavlja se naredbom " switchport mod dinamički auto' ili '' u načinu konfiguracije interfejsa.
switchport mod dinamički autoprtljažnik" ili " dinamičan poželjno«
Ako je interfejs postavljen na " switchport mod dinamički poželjan" - tada port prelazi u trunk mod samo ako je port susjednog prekidača postavljen na " prtljažnik" ili " dinamičan poželjno" ili " dinamičan auto«
Ne podržavaju svi uređaji DTP, ili mogu pogrešno prenositi DTP okvire, u kom slučaju je bolje podesiti način rada (pristup ili trunk) nasilno pomoću naredbi “ pristup režimu switchport" ili " switchport mode trunk» u režimu konfiguracije interfejsa i onemogućite prenos DTP okvira komandom « switchport nonegotiate«.
Zadana konfiguracija porta:
Postavljanje porta na automatsko otkrivanje.
Akcije:
omogućiti«)
konfigurisati terminal«)
interfejs interfejs-id “, gdje interfejs-id - naziv i broj interfejsa, na primjer "sučelje GigabitEthernet0/21"
— postavite dinamički način rada porta/sučelja (naredba: " switchport mod dinamički auto" ili " switchport mod dinamički poželjan«)
- (opciono) postavite VLAN koji će biti na sučelju ako se port prebaci iz trunk moda u pristupni način, prema zadanim postavkama VLAN 1 (komanda: " switchport pristupni vlan vlan-id “, gdje vlan-id - VLAN broj)
- (opciono) postavite Native VLAN, za IEEE 802.1q trunk, Native VLAN 1 prema zadanim postavkama (komanda: " switchport trunk izvorni vlan vlan-id “, gdje vlan-id - Izvorni VLAN broj)
— dodajte/uklonite VLAN-ove u prtljažniku, po defaultu su dozvoljeni svi VLAN brojevi (naredbe: " switchport trunk dozvoljeno vlan add vlan lista » - dodajte u trunk VLAN-ove navedene u vlan lista, « switchport trunk dozvoljeno uklanjanje vlan-a vlan lista » - uklonite VLAN-ove iz trunk-a, navedene u vlan lista, in vlan lista vlanovi su navedeni odvojeni zarezima bez razmaka, a opsezi su odvojeni crticama, na primjer 2,20,30-40,50 ). Možete odmah postaviti listu potrebnih VLAN-ova (komanda: " switchport trunk dozvoljen vlan vlan lista «)
nema gašenja«)
Izlaz" ili " kraj»)
Sw1#configure terminal Unesite konfiguracijske naredbe, jednu po redu. Završite sa CNTL/Z. sw1(config)#interface gigabitEthernet 0/23 sw1(config-if)#switchport mod dinamički poželjan sw1(config-if)#switchport pristup vlan 50 sw1(config-if)#switchport trunk izvorni vlan 100 sw1)( #switchport trunk dozvoljen vlan 2.30-35.40 sw1(config-if)#ne shutdown sw1(config-if)#end sw1#
U ovom primjeru, port 23 će biti postavljen na trunk mod ako je port na susjednom prekidaču postavljen na dinamički automatski ili dinamički disirable ili trunk . Samo VLAN 2, VLAN 30 do 35 i VLAN 40 će biti prenošeni u trank pristupu, tada će interfejs biti postavljen u VLAN 50.
Postavka pristupnog porta.
VLAN na pristupnom portu se može postaviti statički ili automatski. Automatsko dodjeljivanje VLAN-a se zasniva na izvornoj MAC adresi koristeći VQP (VLAN Query Protocol) i VMPS (VLAN Management Policy Server). Samo prekidači starijih modela, kao što su serije Catalyst 4000, 5000 i 6500, mogu djelovati kao VMPS server. U ovom članku nećemo razmatrati automatsku konfiguraciju pristupnog porta preko VQP-a. Ovdje će biti prikazana samo statička VLAN postavka na pristupnom portu.
Da biste uključili pristupni port u traženi VLAN, potrebno je da uradite:
- uđite u privilegirani način rada (komanda: " omogućiti«)
— uđite u režim globalne konfiguracije (komanda: " konfigurisati terminal«)
— uđite u mod konfiguracije mrežnog interfejsa (naredba: " interfejs interfejs-id “, gdje interfejs-id - naziv i broj interfejsa)
— podesite port/interfejs mod "pristup" (naredba: " pristup režimu switchport«)
— postavite VLAN na portu/interfejsu (komanda: " switchport pristupni vlan vlan-id “, gdje vlan-id - VLAN broj)
— omogući port/sučelje (naredba: " nema gašenja«)
— izaći iz moda konfiguracije interfejsa (naredba: " Izlaz" ili " kraj»)
Neka server bude povezan na 22. port sviča, koji se mora postaviti u 200. VLAN
Postavka porta:
Sw1> sw1>enable Password: sw1# sw1#configure terminal Unesite konfiguracijske naredbe, jednu po redu. Završite sa CNTL/Z. sw1(config)#interface GigabitEthernet0/22 sw1(config-if)#switchport mode pristup sw1(config-if)#switchport pristup vlan 200 sw1(config-if)#ne shutdown sw1(config-if)#exit sw1(config )#exit sw1#
Podešavanje magistralnog porta.
Konfiguracija porta u trunk modu je identična konfiguraciji porta u načinu automatskog otkrivanja, osim što način rada mora biti specificiran ne dinamički, već trunk.
Sw6# sw6#configure terminal Unesite konfiguracijske naredbe, jednu po redu. Završite sa CNTL/Z. sw6(config)#interface gigabitEthernet 0/23 sw6(config-if)#switchport mode trunk sw6(config-if)#switchport trunk dozvoljen vlan 2.30-35.40 sw6(config-if)#ne shutdown sw6(config -config kraj sw6#
U primjeru, trunk je postavljen na 23. port, samo VLAN 2, VLAN 30 do 35 i VLAN 40 su dozvoljeni u trank-u
Dodavanje VLAN-a na trunk port izvodi se naredbom: " switchport trunk dozvoljeno vlan addVLAN_NUM«
Primjer dodavanja vlan-ova 100 i 200 na postojeće, u trunk port 23:
Sw6# sw6#configure terminal Unesite konfiguracijske naredbe, jednu po redu. Završite sa CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk dozvoljeno vlan add 100,200 sw6(config-if)# sw6(config-if)#end sw6#
Uklanjanje VLAN-a sa trank porta se izvodi naredbom: " switchport trunk dozvoljeno uklanjanje vlan-aVLAN_NUM«
Primjer brisanja vlan-ova 100 i 200 iz postojećih, u trunk portu 23:
Sw6# sw6#configure terminal Unesite konfiguracijske naredbe, jednu po redu. Završite sa CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk dozvoljeno uklanjanje vlan-a 100,200 sw6(config-if)# sw6(config-if)#end sw6#
Neki cisco prekidači podržavaju dva protokola za rad sa VLAN-ovima: IEEE 802.1q i ISL. ISL protokol je već zastario i nije podržan na mnogim modernim prekidačima. Stoga je poželjno koristiti IEEE 802.1q protokol
Na takvim prekidačima, prije konfigurisanja porta u trunk modu, morate odabrati tip dot1q enkapsulacije (naredba: " switchport trunk enkapsulacija dot1q» u načinu konfiguracije interfejsa)
3. Provjerite postavku VLAN-a
Pogledajte informacije o VTP protokolu: « prikaži vtp status«
Prikaži informacije o svim VLAN-ovima na prekidaču: " show vlan«
Pogledajte informacije o određenom VLAN-u i saznajte na kojim se portovima nalazi: " prikaži vlan id vlan-id «
Pogledajte način rada porta, izvorni vlan, pristupni vlan, itd.: " pokazuju interfejse interfejs-id switch port«
Ponekad je potrebno kreirati interfejs sloja 3 za VLAN na komutatoru. Na primjer, za usmjeravanje i filtriranje IP prometa između različitih VLAN-ova (mora postojati podrška za L3 nivo i od strane samog modela prekidača i od strane IOS verzije). Ili jednostavno kreirajte interfejs za upravljanje ovim prekidačem u posebnom VLAN-u.
Mrežni interfejs za VLAN kreira se u globalnom konfiguracionom modu sa naredbom: " interfejs vlan-id “, gdje vlan-id je VLAN broj.
Primjer kreiranja L3 sučelja za VLAN 200.
