vlan چیست و چگونه از آن استفاده کنیم. امنیت و جداسازی دسترسی به منابع شبکه

VLAN هاشبکه های مجازی هستند که در سطح دوم مدل وجود دارند OSI... یعنی VLAN را می توان در سطح دوم پیکربندی کرد. اگر به VLAN نگاه کنید، انتزاعی از مفهوم "شبکه های مجازی"، پس می توان گفت که VLAN فقط یک برچسب در فریم است که از طریق شبکه منتقل می شود. تگ حاوی شماره VLAN است (به آن VLAN ID یا VID می گویند) که 12 بیت به آن اختصاص داده شده است، یعنی VLAN را می توان از 0 تا 4095 شماره گذاری کرد. اولین و آخرین شماره رزرو شده است، نمی توان از آنها استفاده کرد. معمولاً ایستگاه های کاری چیزی در مورد VLAN نمی دانند (مگر اینکه به طور خاص VLAN ها را روی کارت ها پیکربندی کنید). سوئیچ ها در مورد آنها فکر می کنند. پورت های سوئیچ ها نشان می دهد که در کدام VLAN هستند. بسته به این، تمام ترافیکی که از طریق پورت خارج می شود با یک برچسب، یعنی VLAN مشخص می شود. بنابراین، هر پورت دارای یک PVID ( شناسه port vlanسپس این ترافیک می تواند از پورت های دیگر سوئیچ (های) که در این VLAN هستند عبور کند و از همه پورت های دیگر عبور نخواهد کرد. در نتیجه یک محیط ایزوله (زیر شبکه) ایجاد می شود که بدون دستگاه اضافی (روتر) نمی تواند با زیرشبکه های دیگر تعامل داشته باشد.

چرا Wehlan مورد نیاز است؟

• توانایی ساخت شبکه ای که ساختار منطقی آن به فیزیکی بستگی ندارد. یعنی توپولوژی شبکه در سطح پیوند بدون توجه به موقعیت جغرافیایی اجزای تشکیل دهنده شبکه ساخته می شود.
• امکان تقسیم یک دامنه پخش به چندین دامنه پخش. یعنی ترافیک پخش از یک دامنه به دامنه دیگر نمی رود و بالعکس. این باعث کاهش بار دستگاه های شبکه می شود.
• امکان ایمن سازی شبکه از دسترسی غیرمجاز. یعنی در سطح پیوند داده، فریم‌های سایر ویلان‌ها بدون توجه به آدرس IP منبع بسته محصور شده در این قاب، توسط پورت سوئیچ کوتاه می‌شوند.
• امکان اعمال خط مشی ها برای گروهی از دستگاه هایی که در همان ویلان قرار دارند.
• امکان استفاده از رابط های مجازی برای مسیریابی.

مثال های استفاده از VLAN

• ترکیب کامپیوترهای متصل به سوییچ های مختلف در یک شبکه واحد... فرض کنید رایانه‌هایی دارید که به سوییچ‌های مختلف متصل هستند، اما باید در یک شبکه ترکیب شوند. ما تعدادی کامپیوتر را در یک شبکه محلی مجازی ترکیب می کنیم VLAN 1، و دیگران - به شبکه VLAN 2... با تشکر از عملکرد VLANکامپیوترهای موجود در هر شبکه مجازی طوری کار خواهند کرد که گویی به همان سوئیچ متصل هستند. کامپیوتر از شبکه های مجازی مختلف VLAN 1و VLAN 2برای یکدیگر نامرئی خواهند بود.

• جداسازی کامپیوترهای متصل به یک سوئیچ به زیر شبکه های مختلف.در شکل، کامپیوترها به صورت فیزیکی به یک سوئیچ متصل هستند، اما به شبکه های مجازی مختلف جدا شده اند VLAN 1و VLAN 2... رایانه های زیر شبکه های مجازی مختلف برای یکدیگر نامرئی خواهند بود.

• جداسازی شبکه وای فای مهمان و شبکه وای فای سازمانی.در شکل، یک نقطه دسترسی Wi-Fi به صورت فیزیکی به روتر متصل است. دو نقطه مجازی Wi-Fi با نام در این نقطه ایجاد شده است هات اسپاتو دفتر... به هات اسپاتلپ تاپ های مهمان از طریق Wi-Fi برای دسترسی به اینترنت و به اینترنت متصل می شوند دفتر- لپ تاپ های سازمانی به دلایل امنیتی، ضروری است که لپ تاپ های مهمان به شبکه سازمانی دسترسی نداشته باشند. برای این، رایانه های سازمانی و یک هات اسپات مجازی Wi-Fi دفتردر یک شبکه محلی مجازی متحد شده است VLAN 1و لپ تاپ های مهمان در یک شبکه مجازی خواهند بود VLAN 2... لپ تاپ های مهمان از شبکه VLAN 2به شبکه سازمانی دسترسی نخواهد داشت VLAN 1.

مزایای استفاده از VLAN

• تقسیم انعطاف پذیر دستگاه ها به گروه ها
• به طور معمول، یک VLAN مربوط به یک زیر شبکه است. کامپیوترهای روی VLAN های مختلف از یکدیگر جدا می شوند. همچنین می توانید رایانه های متصل به سوییچ های مختلف را در یک شبکه مجازی ترکیب کنید.
• کاهش ترافیک پخش در شبکه
• هر VLAN نشان دهنده یک دامنه پخش جداگانه است. ترافیک پخش بین VLAN های مختلف پخش نمی شود. اگر همان VLAN را روی سوئیچ‌های مختلف پیکربندی کنید، درگاه‌های سوئیچ‌های مختلف یک دامنه پخش را تشکیل می‌دهند.
• افزایش امنیت شبکه و قابلیت مدیریت
• در شبکه ای که به زیرشبکه های مجازی تقسیم شده است، اعمال سیاست ها و قوانین امنیتی برای هر VLAN راحت است. این خط‌مشی برای کل زیرشبکه اعمال می‌شود، نه برای یک دستگاه جداگانه.
• کاهش میزان تجهیزات و کابل شبکه
• برای ایجاد یک VLAN جدید، نیازی به خرید سوئیچ یا گذاشتن کابل شبکه ندارید. با این حال، باید از سوئیچ های مدیریت شده با قابلیت VLAN گران قیمت استفاده کنید.

پورت های برچسب دار و بدون برچسب

هنگامی که یک پورت باید بتواند ترافیک را از VLAN های مختلف دریافت یا ارسال کند، پس باید در حالت برچسب گذاری یا ترانک باشد. مفاهیم پورت ترانک و پورت تگ شده یکسان هستند. یک پورت ترانک یا برچسب‌گذاری شده می‌تواند VLAN‌های مشخص شده جداگانه یا تمام VLAN‌های پیش‌فرض را حمل کند، مگر اینکه خلاف آن مشخص شده باشد. اگر یک پورت بدون برچسب باشد، تنها می تواند یک VLAN (بومی) داشته باشد. اگر پورت نشان ندهد که در چه VLAN است، فرض بر این است که در VLAN اول (VID 1) در حالت بدون برچسب قرار دارد.

تجهیزات مختلف در این مورد به طور متفاوتی پیکربندی می شوند. برای یکی از تجهیزات، باید روی رابط فیزیکی مشخص کنید که این رابط در چه وضعیتی است، و از سوی دیگر، در یک VLAN خاص، باید مشخص کنید که کدام پورت به صورت - با یا بدون برچسب - قرار می گیرد. و اگر لازم است این پورت چندین VLAN را از خود عبور دهد، در هر کدام از این VLAN ها باید این پورت را با یک تگ ثبت کنید. به عنوان مثال، در سوئیچ ها شبکه های انتراسیسباید مشخص کنیم که پورت خاصی در کدام VLAN قرار دارد و این پورت را به لیست خروجی این VLAN اضافه کنیم تا ترافیک از این پورت عبور کند. اگر بخواهیم ترافیک VLAN دیگری از پورت ما عبور کند، این پورت را نیز به لیست خروجی این VLAN اضافه می کنیم. روی تجهیزات HP(به عنوان مثال، سوئیچ ها ProCurve) در خود VLAN، مشخص می کنیم که کدام پورت ها می توانند ترافیک این VLAN را عبور دهند و وضعیت پورت ها را اضافه می کنیم - برچسب یا بدون برچسب. ساده ترین در سخت افزار سیستم های سیسکو... در چنین سوئیچ‌هایی، ما به سادگی نشان می‌دهیم که کدام پورت‌ها با کدام VLAN برچسب‌گذاری نشده‌اند دسترسی داشته باشید) و کدام پورت ها در وضعیت برچسب گذاری شده هستند (در تنه).

برای پیکربندی پورت ها در حالت تنهپروتکل های خاصی ایجاد شده است. یکی از اینها دارای استاندارد IEEE 802.1Q است. این یک استاندارد بین المللی است که توسط همه سازندگان پشتیبانی می شود و اغلب برای پیکربندی شبکه های مجازی استفاده می شود. علاوه بر این، سازندگان مختلف ممکن است پروتکل های انتقال داده خود را داشته باشند. مثلا، سیسکویک پروتکل برای تجهیزات من ایجاد کردم ISL (اینتر سوئیچ لیسک).

مسیریابی بین vlan

مسیریابی Inter-WLAN چیست؟ این مسیریابی زیرشبکه معمولی است. تنها تفاوت این است که هر زیر شبکه با یک VLAN در سطح دوم مطابقت دارد. چه مفهومی داره. فرض کنید دو VLAN داریم: VID = 10 و VID = 20. در سطح دوم، این VLAN ها یک شبکه را به دو زیر شبکه تقسیم می کنند. میزبان های این زیرشبکه ها نمی توانند یکدیگر را ببینند. یعنی ترافیک کاملاً ایزوله است. برای اینکه هاست ها بتوانند با یکدیگر ارتباط برقرار کنند، باید ترافیک این VLAN ها را مسیریابی کرد. برای این کار در سطح سوم باید به هر یک از VLAN ها یک رابط اختصاص دهیم، یعنی یک آدرس IP به آنها متصل کنیم. به عنوان مثال، برای VID = 10 آدرس IP 10.0.10.1/24 و برای VID = 20 آدرس IP 10.0.20.1/24 خواهد بود. این آدرس‌ها بیشتر به عنوان دروازه‌هایی برای دسترسی به زیرشبکه‌های دیگر عمل می‌کنند. بنابراین، ما می توانیم ترافیک میزبان را از یک VLAN به VLAN دیگر هدایت کنیم. چگونه مسیریابی VLAN با مسیریابی بازدیدکنندگان ساده غیر VLAN مقایسه می شود؟ این چیزی است که:

• امکان عضویت در زیرشبکه دیگری در سمت کلاینت مسدود شده است. یعنی اگر یک هاست در یک VLAN خاص باشد، حتی اگر آدرس خود را از یک زیرشبکه دیگر تغییر دهد، همچنان در VLAN که بوده باقی خواهد ماند. این بدان معنی است که او نمی تواند به زیر شبکه دیگری دسترسی پیدا کند. و این به نوبه خود از شبکه در برابر مشتریان "بد" محافظت می کند.
• ما می توانیم چندین رابط سوئیچ فیزیکی را در یک VLAN قرار دهیم. یعنی ما این توانایی را داریم که بدون استفاده از روتر خارجی، مسیریابی را روی سوئیچ سطح سوم با اتصال کلاینت‌های شبکه به آن پیکربندی کنیم. یا می توانیم از یک روتر خارجی متصل به سوییچ لایه دوم استفاده کنیم که VLAN ها روی آن پیکربندی شده اند و به اندازه کل VLAN که باید مسیریابی کند، در پورت روتر زیرواسط ایجاد کنیم.
• استفاده از لایه دوم به صورت VLAN بین سطوح اول و سوم بسیار راحت است. علامت گذاری زیرشبکه ها به عنوان VLAN با رابط های خاص راحت است. پیکربندی یک VLAN و قرار دادن تعدادی پورت سوئیچ در آن راحت است. و به طور کلی، وقتی یک VLAN وجود دارد، انجام بسیاری از کارها راحت است.

متأسفانه، بسیاری از شرکت‌ها و سازمان‌های مدرن عملاً از چنین فرصت مفید و اغلب تنها یک فرصت ضروری که توسط اکثر سوئیچ‌های مدرن شبکه‌های محلی (LAN) به عنوان سازماندهی شبکه‌های محلی مجازی (VLAN، VLAN) در زیرساخت شبکه ارائه می‌شود، استفاده نمی‌کنند. به سختی می توان گفت که چه چیزی باعث این امر شده است. شاید فقدان اطلاعات در مورد مزایای فن آوری VLAN، پیچیدگی ظاهری آن، یا عدم تمایل به استفاده از یک ابزار "خام" که قابلیت همکاری بین دستگاه های شبکه سازندگان مختلف را تضمین نمی کند (اگرچه فناوری VLAN یک سال است که استاندارد شده است، و همه سازندگان پیشرو تجهیزات شبکه فعال از این استاندارد پشتیبانی می کنند). بنابراین، این مقاله به فناوری VLAN اختصاص دارد. مزایای استفاده از VLAN ها، رایج ترین روش های سازماندهی VLAN ها و تعامل بین آنها و همچنین ویژگی های ساخت VLAN در هنگام استفاده از سوییچ های برخی از سازندگان معروف را در نظر می گیرد.

چرا مورد نیاز است

VLAN چیست؟ این گروهی از رایانه‌های متصل به یک شبکه است که به دلایلی منطقاً در یک دامنه پخش متحد شده‌اند. به عنوان مثال، گروه های کامپیوتری را می توان مطابق با ساختار سازمانی شرکت (بر اساس بخش و
بخش ها) یا بر اساس کار روی یک پروژه یا وظیفه مشترک.

سه مزیت اصلی برای استفاده از VLAN ها وجود دارد. این استفاده به طور قابل توجهی کارآمدتر از پهنای باند نسبت به شبکه های محلی سنتی، افزایش سطح حفاظت از اطلاعات ارسال شده در برابر دسترسی غیرمجاز و ساده سازی مدیریت شبکه است.

از آنجایی که هنگام استفاده از VLAN ها، کل شبکه به طور منطقی به دامنه های پخش تقسیم می شود، اطلاعات توسط اعضای VLAN فقط به سایر اعضای همان VLAN منتقل می شود و نه به همه رایانه های موجود در شبکه فیزیکی. بنابراین، ترافیک پخش (معمولاً توسط سرورهایی ایجاد می شود که حضور و قابلیت های خود را به دستگاه های دیگر در شبکه تبلیغ می کنند) به جای ارسال به تمام ایستگاه های شبکه، به یک دامنه از پیش تعریف شده محدود می شود. این امر به توزیع بهینه پهنای باند شبکه بین گروه های منطقی کامپیوترها دست می یابد: ایستگاه های کاری و سرورهای VLAN های مختلف یکدیگر را نمی بینند و با یکدیگر تداخل ندارند.

از آنجایی که تبادل داده فقط در یک VLAN خاص انجام می شود، رایانه های شبکه های مجازی مختلف نمی توانند ترافیک تولید شده در VLAN های دیگر را دریافت کنند. استفاده از تحلیلگرهای پروتکل و ابزارهای نظارت بر شبکه برای جمع‌آوری ترافیک در VLANهای غیر از آنچه کاربر می‌خواهد این کار را انجام دهد، مشکلات قابل توجهی را ایجاد می‌کند. به همین دلیل است که در یک محیط VLAN، اطلاعاتی که از طریق شبکه منتقل می شود، از دسترسی غیرمجاز بسیار بهتر محافظت می شود.

یکی دیگر از مزایای استفاده از VLAN ها این است که مدیریت شبکه را ساده می کند. این امر به ویژه برای کارهایی مانند افزودن عناصر جدید به شبکه، انتقال آنها و حذف آنها صادق است. به عنوان مثال، هنگامی که یک کاربر VLAN به اتاق دیگری نقل مکان می کند، حتی اگر در طبقه دیگری یا در ساختمان دیگری از شرکت باشد، مدیر شبکه نیازی به اتصال مجدد کابل ها ندارد. او فقط باید تجهیزات شبکه را از محل کار خود راه اندازی کند. علاوه بر این، در برخی از پیاده سازی های VLAN، حرکات اعضای VLAN را می توان به طور خودکار بدون نیاز به مداخله مدیر کنترل کرد. مدیر شبکه همچنین می‌تواند عملیاتی را برای ایجاد گروه‌های منطقی جدید از کاربران، اضافه کردن اعضای جدید به گروه‌ها از طریق شبکه، بدون ترک محل کار خود انجام دهد. همه اینها به طور قابل توجهی در زمان کار مدیر صرفه جویی می کند که می تواند برای حل سایر وظایف به همان اندازه مهم استفاده شود.

روش های سازماندهی VLAN

سازندگان پیشرو سوئیچ های دپارتمان و گروه کاری در دستگاه های خود معمولاً از یکی از سه روش سازماندهی VLAN استفاده می کنند: بر اساس پورت ها، آدرس های MAC یا پروتکل های لایه 3. هر یک از این روش‌ها به ترتیب با یکی از سه لایه پایین‌تر مدل تعامل سیستم‌های باز OSI مطابقت دارد: فیزیکی، کانال و شبکه. راه چهارمی برای سازماندهی VLAN ها وجود دارد - بر اساس قوانین. امروزه به ندرت مورد استفاده قرار می گیرد، اگرچه انعطاف پذیری زیادی در سازماندهی VLAN ها فراهم می کند و ممکن است در آینده نزدیک به طور گسترده در دستگاه ها استفاده شود. بیایید نگاهی گذرا به هر یک از روش های سازماندهی VLAN بالا، مزایا و معایب آنها بیندازیم.

VLAN مبتنی بر پورت همانطور که از نام آن پیداست، VLAN ها با بسته بندی منطقی پورت های سوئیچ فیزیکی انتخاب شده سازماندهی می شوند. به عنوان مثال، یک مدیر شبکه می تواند تعیین کند که پورت های سوئیچ شماره 1، 2، 5 از VLAN1 و پورت های شماره 3، 4، 6 از VLAN2 و غیره تشکیل شود. . همه آنها به همان VLAN تعلق دارند - به درگاهی که پورت سوئیچ به آنها اختصاص داده شده است. این اتصال سخت عضویت VLAN یک نقطه ضعف برای VLAN های مبتنی بر پورت است.

VLAN بر اساس آدرس های MAC. این روش به شما امکان می دهد VLAN ها را بر اساس آدرس لایه پیوند هگزادسیمال منحصر به فرد که هر آداپتور شبکه روی سرور یا ایستگاه کاری در شبکه دارد، بسازید. این یک روش انعطاف‌پذیرتر برای سازمان‌دهی VLAN‌ها نسبت به روش قبلی است، زیرا دستگاه‌های متعلق به VLAN‌های مختلف را می‌توان به یک پورت سوئیچ متصل کرد. علاوه بر این، حرکات کامپیوترها از یک پورت سوئیچ به پورت دیگر توسط سوئیچ به طور خودکار نظارت می شود و به شما این امکان را می دهد که بدون دخالت مدیر شبکه، تعلق یک کامپیوتر منتقل شده به یک VLAN خاص را حفظ کنید. کاملاً ساده کار می کند: سوئیچ جدولی از مکاتبات بین آدرس های MAC رایانه ها و شبکه های مجازی را حفظ می کند. به محض اینکه رایانه به پورت دیگری روی سوئیچ سوئیچ می‌شود، با مقایسه فیلد آدرس MAC منبع در هدر اولین فریم ارسال شده پس از حرکت رایانه با داده‌های موجود در جدول خود، سوئیچ به نتیجه‌گیری صحیح در مورد VLAN متعلق به کامپیوتر جابجا شده نقطه ضعف این روش سازماندهی VLAN، سخت بودن اولیه پیکربندی VLAN است که مملو از خطا است. اگرچه جدول آدرس‌های مک توسط سوئیچ‌ها به‌طور خودکار ساخته می‌شود، اما مدیر شبکه باید همه آن را مشاهده کند و تعیین کند که این آدرس MAC هگزادسیمال با فلان ایستگاه کاری مطابقت دارد و سپس آن را به شبکه مجازی مربوطه اختصاص دهد. با این حال، پیکربندی مجدد بعدی VLAN ها بر اساس آدرس های MAC به تلاش بسیار کمتری نسبت به VLAN های مبتنی بر پورت نیاز دارد.

VLAN بر اساس پروتکل های لایه 3. این روش به ندرت در سوئیچ های دپارتمان و گروه کاری استفاده می شود. برای سوئیچ های مسیریابی ستون فقرات که دارای امکانات مسیریابی داخلی برای پروتکل های LAN اصلی - IP، IPX و AppleTalk هستند، معمول است. در این روش، گروهی از پورت های سوئیچ متعلق به یک VLAN خاص با یک زیرشبکه IP خاص یا شبکه IPX مرتبط می شوند. این انعطاف پذیری با این واقعیت فراهم می شود که حرکات کاربر به پورت دیگری متعلق به همان VLAN توسط سوئیچ نظارت می شود و نیازی به پیکربندی مجدد ندارد. مزیت این روش همچنین سادگی پیکربندی VLAN است که می تواند به طور خودکار انجام شود، زیرا سوئیچ آدرس های شبکه رایانه های مرتبط با هر VLAN را تجزیه و تحلیل می کند. علاوه بر این، همانطور که قبلا ذکر شد، دستگاه هایی که از روش سازماندهی VLAN ها بر اساس پروتکل های لایه 3 پشتیبانی می کنند، دارای امکانات مسیریابی داخلی هستند که امکان همکاری بین VLAN های مختلف را بدون استفاده از ابزارهای اضافی فراهم می کند. ضرر این روش شاید فقط یکی باشد - قیمت بالای سوئیچ هایی که در آن اجرا می شود.

VLAN بر اساس قوانین. فرض بر این است که سوئیچ توانایی تجزیه و تحلیل جزئیات فیلدهای از پیش تعریف شده و حتی تک تک بیت های بسته های عبوری از آن را به عنوان مکانیزم ساخت VLAN دارد. این روش بر اساس معیارهای بسیاری امکانات تقریبا نامحدودی را برای ایجاد شبکه های مجازی فراهم می کند. به عنوان مثال، حتی بر اساس اصل شامل کردن همه کاربران در VLAN که آداپتورهای شبکه سازنده مشخص شده در رایانه های آنها نصب شده است. با وجود انعطاف‌پذیری بسیار زیاد، فرآیند پیکربندی VLAN مبتنی بر قانون بسیار زمان‌بر است. علاوه بر این، داشتن قوانین پیچیده می تواند بر توان عملیاتی سوئیچ تأثیر منفی بگذارد، زیرا بخش قابل توجهی از توان پردازشی آن صرف تجزیه و تحلیل بسته می شود.

همچنین، دستگاه ها را می توان به طور خودکار بر اساس داده های احراز هویت کاربر یا دستگاه با استفاده از پروتکل 802.1x به VLAN ها منتقل کرد.

ساخت VLAN های توزیع شده

شبکه های محلی مدرن اغلب حاوی بیش از یک سوئیچ هستند. کامپیوترهای متعلق به یک VLAN را می توان به سوئیچ های مختلف متصل کرد. بنابراین، به منظور مسیریابی صحیح ترافیک، باید مکانیزمی وجود داشته باشد که به سوئیچ ها اجازه می دهد اطلاعات مربوط به VLAN متعلق به دستگاه های متصل به خود را مبادله کنند. پیش از این، هر سازنده در دستگاه های خود مکانیسم های اختصاصی را برای تبادل چنین اطلاعاتی پیاده سازی می کرد. به عنوان مثال، 3Com این فناوری را VLT (ترانک شبکه مجازی) نامیده است، سیستم سیسکو آن را ISL (Inter-Switch Link) نامیده است. بنابراین، برای ساخت VLAN های توزیع شده، استفاده از دستگاه هایی از همان سازنده ضروری بود. زمانی که استاندارد ساخت VLAN های دارای برچسب، IEEE 802.1Q، که اکنون بر دنیای VLAN ها مسلط است، به طور چشمگیری بهبود یافت. از جمله، مکانیسم تبادل اطلاعات VLAN بین سوئیچ ها را نیز تنظیم می کند. این مکانیسم به شما امکان می دهد فریم های ارسال شده بین سوئیچ ها را با فیلدهایی که نشان دهنده تعلق به یک VLAN خاص هستند تکمیل کنید. امروزه تمامی سازندگان پیشرو سوئیچ های LAN از استاندارد 802.1Q در دستگاه های خود پشتیبانی می کنند. در نتیجه، امروزه امکان ساخت شبکه های مجازی با استفاده از سوئیچ های سازنده های مختلف وجود دارد. اگرچه، همانطور که بعداً خواهید دید، حتی مطابق با 802.1Q کار می کنند، سوئیچ های سازنده های مختلف به دور از قابلیت های سازمان VLAN یکسانی ارائه می دهند.

سازماندهی تعامل بین VLAN ها

رایانه هایی که در VLAN های مختلف قرار دارند نمی توانند مستقیماً با یکدیگر ارتباط برقرار کنند. برای سازماندهی این تعامل، باید از روتر استفاده کنید. قبلاً از روترهای معمولی برای این کار استفاده می شد. علاوه بر این، لازم بود که روتر به اندازه VLAN ها دارای رابط فیزیکی شبکه باشد. علاوه بر این، سوئیچ ها باید از هر VLAN یک پورت را برای اتصال روتر اختصاص می دادند. با توجه به هزینه بالای پورت های روتر، هزینه چنین راه حلی بسیار بالا بود. علاوه بر این، یک روتر معمولی تاخیر قابل توجهی در انتقال داده بین VLAN ها ایجاد کرد. امروزه برای انتقال داده بین VLAN ها از سوئیچ های مسیریابی استفاده می شود که قیمت هر پورت پایینی دارند و با سرعت کانال ارتباطی، مسیریابی سخت افزاری ترافیک را انجام می دهند. سوئیچ های روتر نیز با استاندارد IEEE 802.1Q مطابقت دارند و برای سازماندهی ارتباطات بین VLAN های توزیع شده، باید از تنها یک پورت برای اتصال هر یک از سوئیچ های گروه کاری که دستگاه های مربوط به VLAN های مختلف را به شبکه متصل می کنند، استفاده کنند. به عبارت دیگر، اطلاعات را می توان بین دستگاه های VLAN های مختلف از طریق یک پورت سوئیچ مسیریابی مدرن رد و بدل کرد.

استفاده از منابع شبکه مشترک توسط کامپیوترهای VLAN های مختلف

بسیار جالب، امکان سازماندهی دسترسی به منابع شبکه مشترک (سرورهای شبکه، چاپگرها و غیره) کامپیوترهای متعلق به VLAN های مختلف است. مزایای این ویژگی آشکار است. اولاً، اگر نیازی به سازماندهی تبادل مستقیم داده بین رایانه‌ها از VLANهای مختلف ندارید، نیازی به خرید روتر یا سوئیچ مسیریابی نیست. اطمینان از تعامل بین رایانه های VLAN های مختلف از طریق یک سرور شبکه که همه یا چند VLAN به آن دسترسی دارند، امکان پذیر است. ثانیاً، با حفظ تمام مزایای استفاده از VLAN ها، می توان سرورهای هر VLAN را جداگانه خریداری نکرد، بلکه از سرورهای عمومی استفاده کرد.

ساده ترین راه برای دسترسی کاربران از VLAN های مختلف به یک سرور، نصب چندین آداپتور شبکه روی سرور و اتصال هر یک از این آداپتورها برای سوئیچ پورت های متعلق به VLAN های مختلف است. با این حال، این رویکرد محدودیتی در تعداد VLAN ها دارد (شما نمی توانید آداپتورهای شبکه زیادی را در سرور نصب کنید)، الزامات سختی را بر اجزای سرور تحمیل می کند (درایورهای آداپتور شبکه نیاز به افزایش مقدار RAM دارند، بار زیادی بر روی CPU وجود دارد. و گذرگاه I/O سرور و غیره) و به صرفه جویی در هزینه (استفاده از چندین آداپتور شبکه و پورت های سوئیچ اضافی) کمکی نمی کند.

با ظهور استاندارد IEEE 802.1Q، امکان انتقال اطلاعات مربوط به تمام یا چند VLAN از طریق یک پورت سوئیچ فراهم شد. همانطور که در بالا ذکر شد، برای این کار، سوئیچ (یا دستگاه دیگری که از 802.1Q پشتیبانی می کند) یک فیلد به فریم ارسال شده از طریق شبکه اضافه می کند که به طور منحصر به فرد تعلق فریم به یک VLAN خاص را مشخص می کند. اتصال به چنین پورتی فقط با یک خط ارتباطی یک سرور مشترک برای همه VLAN ها امکان پذیر است. تنها شرط این است که آداپتور شبکه سرور باید از استاندارد 802.1Q پشتیبانی کند تا سرور بتواند بداند درخواست از کدام VLAN آمده است و بر این اساس، پاسخ را به کجا ارسال کند. به این صورت است که سرور بین VLAN ها در سوئیچ های مدیریت شده در سطح بخش و گروه کاری در 3Com، Hewlett-Packard و Cisco Systems تقسیم می شود.

نتیجه

همانطور که می بینید، VLAN ها یک ابزار شبکه قدرتمند هستند که می توانند مشکلات مدیریت، امنیت انتقال داده ها، کنترل دسترسی به منابع اطلاعاتی را حل کنند و کارایی استفاده از پهنای باند شبکه را به میزان قابل توجهی افزایش دهند.

اولگ پودوکوف، رئیس بخش فنی شرکت COMPLETE

امروز یک سری مقالات کوچک در مورد VLAN ها شروع خواهم کرد. بیایید با اینکه چیست، برای چیست، چگونه آن را راه اندازی کنیم، شروع کنیم و عمیق تر خواهیم شد و به تدریج، اگر نگوییم همه بیشتر از همه امکاناتی که VLAN ها در اختیار ما قرار می دهند، بررسی می کنیم.

بنابراین، به یاد داشته باشید، ما در مورد مفهومی مانند؟ فکر کنم یادت هست ما همچنین در مورد این واقعیت صحبت کردیم که چندین نوع آدرس وجود دارد:.

بر این اساس، ما یک مفهوم مقدماتی دیگر خواهیم داشت. دامنه پخش. او واقعاً چیست؟

اگر یک فریم / بسته ارسال شد، پخش کنید (اگر این یک فریم است، پس فیلد آدرس مقصد همه بیت ها برابر با یک هستند، یا در شکل شانزدهم آدرس MAC خواهد بود: FF FF FF FF FF FF)، سپس این فریم خواهد بود. به تمام پورت های سوئیچ، به استثنای پورت هایی که این فریم از آن دریافت شده، ارسال شود. این زمانی اتفاق می‌افتد که، برای مثال، سوئیچ ما مدیریت نشده باشد، یا اگر مدیریت شود، اما همه در یک VLAN باشند (در ادامه در مورد آن بیشتر توضیح خواهیم داد).
این لیست دستگاه هایی است که این فریم های پخش را دریافت می کنند و دامنه پخش نامیده می شود.

حالا بیایید تصمیم بگیریم، VLAN چیست؟

VLAN - شبکه محلی مجازی، یعنی. نوعی شبکه مجازی این برای چیست؟

VLAN به ما امکان می دهد دامنه های پخش خود را در یک سوئیچ تقسیم کنیم. آن ها اگر یک سوئیچ داشته باشیم، برخی از پورت ها را به یک VLAN و دیگری را به دیگری اختصاص می دهیم. و دو گنبد پخش متفاوت خواهیم داشت. البته این محدودیت ها را محدود نمی کند. من در مورد آنها بیشتر صحبت خواهم کرد، همه به تدریج.

به طور خلاصه، VLAN به مدیر این امکان را می دهد که یک شبکه را با انعطاف بیشتری ایجاد کند، و آن را به برخی از زیرشبکه ها (به عنوان مثال، شبکه ای از حسابداران، شبکه ای از مدیران و غیره) تقسیم کند، به عبارت دیگر، VLAN به متحد کردن دستگاه ها با برخی مشترک کمک می کند. مجموعه ای از الزامات را در یک گروه واحد، و برای جدا کردن آن از سایر گروه های جداگانه.

من فوراً رزرو می کنم که VLAN ها در OSI Layer 2 کار می کنند.
به یاد داشته باشید، وقتی به فریم نگاه کردیم، هیچ فیلدی برای VLAN وجود نداشت. پس چگونه می توانید تعیین کنید که یک فریم خاص به کدام VLAN تعلق دارد؟

چندین استاندارد وجود دارد.

1. IEEE 802.1Q - این استاندارد باز است. این استاندارد این یا آن فریم را مشخص می کند که به برخی از برچسب های VLAN "گره خورده" است.
برچسب گذاری تابعی از سوییچ (یا هر دستگاه دیگری که VLAN ها را "درک" می کند) است که یک تگ 4 بایتی را در فریم اترنت وارد می کند. روش برچسب‌گذاری داده‌های هدر را تغییر نمی‌دهد، بنابراین تجهیزاتی که از فناوری VLAN پشتیبانی نمی‌کنند می‌توانند به راحتی چنین فریمی را در حالی که برچسب را حفظ می‌کنند، بیشتر از طریق شبکه منتقل کنند.

پس از درج تگ VLAN، قاب به این صورت خواهد بود.

بر اساس شکل آنها می بینیم که تگ VLAN از 4 فیلد تشکیل شده است که آنها را توضیح می دهیم:

- 2 بایت شناسه پروتکل برچسب (TPID) - این شناسه پروتکل است، در مورد ما 802.1Q است، در شکل شانزدهم این فیلد به صورت: 0x8100 خواهد بود.

- اولویت — فیلد برای تنظیم اولویت طبق استاندارد 802.1p (در مورد آن در مقالات بعدی). اندازه این فیلد 3 بیت (8 مقدار 0-7) است.

- نشانگر قالب متعارف (CFI). نشانگر قالب کانونی، اندازه این فیلد 1 بیت است. این فیلد فرمت مک آدرس را نشان می دهد (1 مخروطی است، 0 متعارف نیست.)

- شناسه VLAN، در واقع، این چیزی است که امروز برای شناسه VLAN 🙂 جمع آوری کرده ایم. اندازه فیلد 12 بیت است، می تواند مقداری از 0 تا 4095 داشته باشد.

هنگام استفاده از VLAN (برچسب گذاری) طبق استاندارد 802.1Q تغییراتی در فریم ایجاد می شود، بنابراین باید مقدار FCS را مجدداً محاسبه کرد که در واقع توسط سوئیچ انجام می شود.

در استاندارد 802.1Q مفهومی به عنوان Native VLAN وجود دارد، به طور پیش فرض Native VLAN ID یک است (شما می توانید تغییر دهید)، Native VLAN با این واقعیت مشخص می شود که این VLAN برچسب گذاری نشده است.

2. پیوند بین سوئیچ (ISL). پروتکلی که توسط سیسکو توسعه یافته است و فقط می تواند بر روی تجهیزات خود استفاده شود.
این پروتکل حتی قبل از پذیرش 802.1Q توسعه یافته بود.
ISL در حال حاضر دیگر بر روی سخت افزار جدید پشتیبانی نمی شود، اما با این وجود، ممکن است در حین کار با این پروتکل مواجه شوید، بنابراین باید با آن آشنا شویم.

برخلاف 802.1Q، که در آن برچسب گذاری ساده قاب انجام شد (قرار دادن 4 بایت در فریم)، ​​در اینجا از فناوری کپسوله سازی استفاده می شود، یعنی یک هدر اضافه می شود که حاوی اطلاعاتی در مورد VLAN است. VLAN ISL برخلاف 802.1Q تا 1000 VLAN را پشتیبانی می کند.

بیایید به قاب به صورت گرافیکی نگاه کنیم، این کپسولاسیون چگونه به نظر می رسد.

در اینجا ما می توانیم بلافاصله اولین و شاید اساسی ترین اشکال ISL را ببینیم - فریم را 30 بایت افزایش می دهد (26 بایت هدر و 4 بایت FCS).

بیایید ISL Header را با جزئیات بیشتری در نظر بگیریم، بیایید ببینیم چه چیزی در تعداد زیادی بایت در آنجا ذخیره می شود!

• آدرس مقصد (DA) - آدرس گیرنده، یک آدرس چندپخشی ویژه در اینجا نشان داده شده است که نشان می دهد فریم با استفاده از ISL محصور شده است. آدرس چندپخشی می تواند 0x01-00-0C-00-00 یا 0x03-00-0c-00-00 باشد.
• نوع - طول فیلد 4 بیت، نشان دهنده پروتکلی است که در قاب محصور شده است. می تواند چندین مقدار داشته باشد:

0000 - اترنت
0001 - Token-Ring
0010 - FDDI
0011 - دستگاه خودپرداز

در مورد ما، از آنجایی که ما اترنت را در نظر می گیریم، این مقدار برابر با تمام 0 خواهد بود.

• USER نوعی آنالوگ "قطع" فیلد Priority در 802.1Q است که برای تنظیم اولویت قاب استفاده می شود. اگرچه این فیلد 4 بیت را اشغال می کند، اما می تواند 4 مقدار را بگیرد (در 802.1Q - 8).
• آدرس منبع (SA) - آدرس منبع، این مکان با مقدار آدرس MAC پورتی که این فریم کپسوله شده از آن ارسال شده است جایگزین می شود.
• LEN طول قاب است. فیلدهایی مانند: DA، TYPE، USER، SA، LEN، FCS را در نظر نمی گیرد. بنابراین، معلوم می شود که این مقدار برابر با قاب محصور شده است - 18 بایت.
• AAAA03 (SNAP) - SNAP و LLC (این قسمت حاوی مقدار AAAA03 است).
• HSA - آدرس منبع منبع بالا - 3 بایت بالای آدرس MAC (به یاد داشته باشید که این بایت ها حاوی کد سازنده هستند)، برای سیسکو 00-00-0C است.
• VLAN - سرانجام به میدان اصلی رسید. در اینجا شناسه VLAN در واقع مشخص می شود. اندازه فیلد 15 بیت است.
• BPDU مخفف Bridge Protocol Data Unit و Cisco Discovery Protocol است. فیلد برای پروتکل های BPDU و CDP. چیست و چرا در مقالات بعدی با آن آشنا خواهیم شد.
• INDX - ایندکس، نمایه پورت فرستنده نشان داده شده است، برای اهداف تشخیصی استفاده می شود.
• RES - برای Token Ring و FDDI رزرو شده است. فیلد رزرو شده برای Token Ring و FDDI. اندازه فیلد 16 بیتی است. اگر از پروتکل اترنت استفاده شود، تمام صفرها در این قسمت قرار می گیرند.
• فریم محصور شده یک قاب معمولی است که کپسوله شده است. این فریم دارای فیلدهای خاص خود مانند DA، SA، LEN، FCS و ... می باشد.
• FCS - خود ISL FCS (از آنجایی که قاب کاملاً تغییر کرده است، یک بررسی فریم جدید مورد نیاز است، 4 بایت آخر برای این کار در نظر گرفته شده است).

می توانیم به نفع 802.1Q نتیجه گیری کنیم.

1. برچسب زدن فقط 4 بایت به فریم اضافه می کند، در مقابل ISL (30 بایت).
2. 802.1Q در هر تجهیزاتی که از VLAN ها پشتیبانی می کند پشتیبانی می شود، در حالی که ISL فقط روی دستگاه های Cisco کار می کند و نه همه آنها.

در این مقاله نگاهی گذرا به مفهوم VLAN انداختیم. در ادامه جزئیات را خواهیم فهمید.

یکی دیگر از ابزارهای کوچکی که می تواند قابلیت استفاده را کمی افزایش دهد: بنر. این تبلیغی است که tsiska قبل از مجوز دادن به دستگاه نشان می دهد.

Switch (config) #banner motd q پیام TEXT را وارد کنید. با کاراکتر "q" پایان دهید. فقط بنر است q سوئیچ (پیکربندی) #
پس از motd، یک کاراکتر را مشخص می کنید که به عنوان سیگنال پایان خط عمل می کند. در این مثال، "q" را قرار می دهیم.

درباره محتوای بنر. چنین افسانه ای وجود دارد: یک هکر وارد شبکه شد، چیزی را در آنجا شکست / دزدید، او دستگیر شد و در دادگاه تبرئه شد و آزاد شد. چرا؟ اما چون روی روتر مرزی (بین اینترنت و شبکه داخلی) در بنر کلمه خوش آمدید نوشته شده بود. "خب، از آنجایی که آنها می پرسند، من وارد شدم")). بنابراین، نوشتن چیزی مانند «دسترسی ممنوع است!» در بنر عمل خوبی در نظر گرفته می‌شود.

برای سازماندهی دانش خود نقطه به نقطه، بیایید به آنچه که باید انجام دهید نگاه کنیم:

1) نام میزبان را پیکربندی کنید. این به شما در آینده در یک شبکه واقعی کمک می کند تا به سرعت در جایی که هستید حرکت کنید.
تغییر (پیکربندی) #hostname HOSTNAME

2) تمام vlan ها را ایجاد کنید و نامی برای آنها بگذارید
سوئیچ (پیکربندی) #vlan VLAN-NUMBER سوئیچ (config-vlan) #name NAME-OF-VLAN

3) تمام پورت های دسترسی را پیکربندی کنید و به آنها یک نام بدهید
سوئیچ (config-if) #description DESCRIPTION-OF-INTERFACE سوئیچ (config-if) #switchport دسترسی به حالت Switch (config-if) #switchport دسترسی vlan VLAN-NUMBER

گاهی اوقات پیکربندی رابط ها به صورت دسته ای راحت است:

Msk-arbat-asw3 (config) #interface range fastEthernet 0/6 - 10 msk-arbat-asw3 (config-if-range) #description FEO msk-arbat-asw3 (config-if-range) #switchport mode دسترسی msk- arbat-asw3 (config-if-range) #switchport دسترسی vlan 102

4) تمام پورت های ترانک را پیکربندی کنید و نامی برای آنها بگذارید:
سوئیچ (config-if) #description DESCRIPTION-OF-INTERFACE سوئیچ (config-if) #switchport mode trunk سوئیچ (config-if) #switchport trunk مجاز vlan VLAN-NUMBERS

5) ذخیره کردن را فراموش نکنید:
# copy running-config startup-config را تغییر دهید

مجموع: چه چیزی به دست آوردیم؟ همه دستگاه‌های موجود در یک زیرشبکه می‌توانند یکدیگر را ببینند، اما نمی‌توانند دستگاه‌های دیگری را ببینند. در قسمت بعدی، به این مشکل و همچنین مسیریابی استاتیک و سوئیچ های L3 خواهیم پرداخت.
به طور کلی، این درس را می توان در این مورد تکمیل کرد. در این ویدیو می توانید یک بار دیگر نحوه پیکربندی vlan ها را مشاهده کنید. به عنوان یک تکلیف، vlan ها را روی سوئیچ های سرور پیکربندی کنید.

در اینجا می توانید پیکربندی همه دستگاه ها را دانلود کنید:
Lift-me-Up_Configuration.zip
و پروژه RT ما:
Lift-me-UP_v2-VLANs.pkt

P.S.
یک نکته مهم: در قسمت قبل که در مورد native vlan صحبت کردیم، کمی به شما اطلاعات غلط دادیم. در تجهیزات سیسکو، چنین طرح کاری غیرممکن است.
به یاد بیاورید که ما پیشنهاد کردیم فریم های بدون برچسب 101st vlan را به سوئیچ msk-rubl-asw1 منتقل کنیم و در ابتدا آنها را در آنجا دریافت کنیم.
واقعیت این است که همانطور که در بالا اشاره کردیم، از نظر سیسکو، شماره vlan یکسان باید در دو طرف سوئیچ ها پیکربندی شود، در غیر این صورت مشکلات پروتکل STP شروع می شود و می توانید هشدارهایی را در مورد پیکربندی نادرست در لاگ ها مشاهده کنید. . بنابراین، 101st vlan را به روش معمول به دستگاه منتقل می کنیم، فریم ها تگ می شوند و بر این اساس، 101st vlan نیز باید بر روی msk-rubl-asw1 ایجاد شود.

یک بار دیگر می خواهیم متذکر شویم که با تمام میل خود نمی توانیم تمام ظرافت ها و ظرافت ها را پوشش دهیم ، بنابراین چنین وظیفه ای را برای خود تعیین نمی کنیم. مواردی مانند نحوه ساخت آدرس MAC، مقادیر فیلد Ether Type یا CRC در انتهای فریم، باید خودتان یاد بگیرید. افزودن برچسب

VLAN (شبکه محلی مجازی) به سوئیچ ها یا روترها اجازه می دهد چندین VLAN را در یک رابط فیزیکی شبکه ایجاد کنند. یک راه ساده و راحت برای جداسازی ترافیک بین مشتریان یا ایستگاه های پایه با استفاده از VLAN.

فناوری VLAN به این معنی است که یک هدر تگ اضافی به فریم شبکه (لایه 2) اضافه می شود که حاوی اطلاعات سرویس و شناسه VLAN است. مقادیر ID VLAN می تواند از 1 تا 4095 متغیر باشد. در این مورد، 1 به عنوان VLAN پیش فرض رزرو می شود.

هنگام کار با VLAN ها، مهم است که بدانید ترافیک برچسب گذاری شده و بدون برچسب چیست. ترافیک برچسب گذاری شده (با شناسه vlan) عمدتاً بین سوئیچ ها و سرورها می رود. کامپیوترهای معمولی (به خصوص آنهایی که ویندوز دارند) ترافیک برچسب گذاری شده را درک نمی کنند. بنابراین، در آن پورت هایی که مستقیماً به ایستگاه های کاری یا شبکه ای با سوئیچ مدیریت نشده نگاه می کنند، ترافیک بدون برچسب صادر می شود. آن ها تگ از قاب شبکه بریده شده است. اگر پورت با VLAN ID = 1 پیکربندی شده باشد نیز این اتفاق می افتد.

مفهومی به نام تنه نیز وجود دارد. ترانک یک پورت روی سوئیچ است که ترافیک را با برچسب های مختلف حمل می کند. به طور معمول، یک ترانک بین سوئیچ ها پیکربندی می شود تا امکان دسترسی به VLAN ها از سوییچ های مختلف را فراهم کند.

استفاده از VLAN در تجهیزات میکروتیک

روترها و سوئیچ های Mikrotik تا 250 VLAN را در یک رابط اترنت پشتیبانی می کنند. می توان آن را نه تنها در رابط اترنت، بلکه در Bridge و حتی در تونل EoIP ایجاد کرد. VLAN را می توان در یک رابط VLAN دیگر با استفاده از فناوری "Q-in-Q" ساخت. شما می توانید 10 یا بیشتر VLAN تودرتو بسازید، فقط اندازه MTU هر بار 4 بایت کاهش می یابد.

بیایید با استفاده از یک مثال به استفاده از VLAN ها نگاه کنیم. وظیفه:

• ایجاد VLAN برای هات اسپات (172.20.22.0/24)
• ایجاد VLAN برای تلفن VIOP (172.21.22.0/24)
• جداسازی شبکه های 172.20.22.0/24، 172.21.22.0/24 از یکدیگر و از دسترسی شبکه 10.5.5.0/24
• پورت Ether2 را برای کار در شبکه 172.20.22.0/24 (VLAN) اختصاص دهید
• Ether3، Ether4 را برای کار در شبکه 172.21.22.0/24 (VLAN) اختصاص دهید.

اطلاعات اولیه:

• اینترنت در Ether1، اختصاص داده شده به رابط Brigde - اترنت
• شبکه محلی (10.5.5.0/24)، اختصاص داده شده به رابط Brigde - LAN

ایجاد رابط های VLAN

VLAN2 (ID = 2)، VLAN3 (ID = 3) ایجاد کنید و آنها را به رابط LAN Bridge اختصاص دهید. رابط LAN به عنوان یک اتصال Trunk عمل می کند.

/ interface vlan add name = VLAN2 vlan-id = 2 interface = LAN / interface vlan add name = VLAN3 vlan-id = 3 interface = LAN

ایجاد رابط های پل

ایجاد رابط های BridgeVLAN2، BridgeVLAN3 برای VLAN:

/ interface bridge add name = BridgeVLAN2 / interface bridge add name = BridgeVLAN3

ارتباط رابط های VLAN با اتصالات Bridge

ما رابط های VLAN (VLAN2، VLAN3) را با اتصالات Bridge (BridgeVLAN2، BridgeVLAN3) مرتبط می کنیم:

/ رابط افزودن پورت پل رابط = پل VLAN2 = BridgeVLAN2 / رابط افزودن پورت پل رابط = پل VLAN3 = BridgeVLAN3

ایجاد آدرس IP

یک آدرس IP به هر رابط BridgeVLAN2 / BridgeVLAN3 اختصاص دهید - 172.20.22.1/24 (VLAN 2)، 172.21.22.1/24 (VLAN 3):

/ آدرس IP افزودن آدرس = 172.20.22.1 / 24 رابط = BridgeVLAN2 / آدرس IP افزودن آدرس = 172.21.22.1 / 24 رابط = BridgeVLAN3

ایجاد مجموعه ای از آدرس ها

محدوده آدرس های IP صادر شده را برای شبکه ها تنظیم کنید (172.20.22.0/24، 172.21.22.0/24):

/ ip pool add name = poolVLAN2 range = 172.20.22.2-172.20.22.254 / ip pool add name = poolVLAN3 range = 172.21.22.2-172.21.22.254

پیکربندی سرور DHCP

برای اینکه دستگاه ها تنظیمات شبکه را دریافت کنند، ما به طور خودکار یک سرور DHCP را برای شبکه های محلی پیکربندی می کنیم (172.20.22.0/24، 172.21.22.0/24):

/ ip dhcp-server add name = dhcpVLAN2 interface = BridgeVLAN2 address-pool = poolVLAN2 disabled = no / ip dhcp-server add name = dhcpVLAN3 interface = BridgeVLAN3 address-pool = poolVLAN3 disabled = no / IP dhcp-server72 آدرس اضافه کنید. 0.22.0 / 24 gateway = 172.20.22.1 / ip dhcp-server network add address = 172.21.22.0 / 24 gateway = 172.21.22.1

پیکربندی فایروال دسترسی به اینترنت برای شبکه های VLAN

من یک تنظیمات امنیتی برای این کار دارم. بنابراین، برای اینکه دستگاه هایی از شبکه های محلی (172.20.22.0/24، 172.21.22.0/24) به اینترنت دسترسی داشته باشند، یک قانون برای آنها اضافه می کنیم:

/ فیلتر فایروال آی پی افزودن زنجیره = اقدام به جلو = پذیرش src-address = 172.20.22.0 / 24 نظر = "دسترسی به اینترنت از LAN" / فیلتر فایروال آی پی افزودن زنجیره = اقدام به جلو = پذیرش src-address = 172.21.22.0 / 24 نظر = "دسترسی به اینترنت از LAN"

جداسازی VLAN ها

لازم است شبکه های VLAN2 (172.20.22.0/24)، VLAN3 (172.21.22.0/24) از یکدیگر و از دسترسی به شبکه محلی اصلی 10.5.5.0/24 ایزوله شوند. ما لیستی از شبکه های محلی (LOCAL) ایجاد می کنیم:

/ ip فایروال آدرس-لیست افزودن لیست = آدرس محلی = 10.5.5.0 / 24 / آدرس فایروال آی پی لیست افزودن لیست = آدرس محلی = 172.20.22.0 / 24 / آدرس لیست افزودن آدرس فایروال آی پی = آدرس محلی = 172.21.22.0 / 24

قوانینی برای مسدود کردن دسترسی به شبکه های محلی (LOCAL) از شبکه های 172.20.22.0/24، 172.21.22.0/24 ایجاد کنید. در مورد قوانین منع باید آنها را بالاتر از موارد مجاز قرار دهیم:

/ فیلتر فایروال IP افزودن زنجیره = اقدام به جلو = رها کردن src-address = 172.20.22.0 / 24 dst-address-list = محلی / فیلتر فایروال IP افزودن زنجیره = اقدام به جلو = رها کردن src-address = 172.21.22.0 / 24 dst-address -list = محلی

توزیع VLAN در پورت های روتر میکروتیک

ما پورت های روتر را به کار در یک VLAN خاص اختصاص می دهیم. پورت Ether2 - BridgeVLAN2، پورت ether3، ether4 - BridgeVLAN3:

/ رابط افزودن پورت پل رابط = پل اتر2 = پل VLAN2 / پورت پل رابط افزودن رابط = پل اتر3 = پل VLAN3 / پورت پل رابط افزودن رابط = پل اتر4 = پل VLAN3

اطلاعات: لازم نیست برای هر پورت یک اتصال Bridge اختصاص دهید تا به یک VLAN خاص تعلق داشته باشد. کافی است اتصال Bridge را فقط روی یک پورت تنظیم کنید و سپس از پورت Master برای نشان دادن عضویت VLAN و سایر پورت ها استفاده کنید.

این کار افزودن و پیکربندی VLAN ها را تکمیل می کند. در نتیجه، دو شبکه ایزوله با دسترسی به اینترنت دریافت کردیم. ما شبکه های VLAN ایجاد شده را در اتصال Trunk قرار دادیم، که در صورت لزوم، شبکه های VLAN را به روتر دیگری تقسیم می کند، انجام این کار آسان است. ما پورت های لازم روتر را برای کار در شبکه های VLAN مربوطه اختصاص دادیم.