Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Zanimljiv
  • Što je vlan i kako ga koristiti. Sigurnost i dijeljenje pristupa mrežnim resursima

Što je vlan i kako ga koristiti. Sigurnost i dijeljenje pristupa mrežnim resursima

27.05.2019 Zanimljiv

VLAN-ovi su virtualne mreže koje postoje na drugoj razini modela OSI. Odnosno, VLAN se može konfigurirati na drugoj razini. Ako pogledate VLAN-ove, apstrahirajući od koncepta "virtualnih mreža", onda možemo reći da je VLAN samo oznaka u okviru koja se prenosi preko mreže. Oznaka sadrži VLAN broj (zove se VLAN ID ili VID), kojemu je dodijeljeno 12 bitova, odnosno wealan se može numerirati od 0 do 4095. Prvi i zadnji broj su rezervirani, ne mogu se koristiti. Obično radne stanice ne znaju ništa o VLAN-ovima (osim ako posebno ne konfigurirate VLAN-ove na karticama). Prekidači razmišljaju o njima. Na portovima prekidača je naznačeno u kojem se VLAN-u nalaze. Ovisno o tome, sav promet koji izlazi kroz port je označen oznakom, odnosno VLAN. Stoga svaki port ima PVID ( vlan identifikator porta).Ovaj promet tada može proći kroz druge portove prekidača(ova) koji se nalaze u ovom VLAN-u i neće prolaziti kroz sve ostale portove. Kao rezultat, stvara se izolirano okruženje (podmreža) koje bez dodatnog uređaja (usmjerivača) ne može komunicirati s drugim podmrežama.

Zašto je korov potreban?

  • Sposobnost izgradnje mreže čija logička struktura ne ovisi o fizičkoj. Odnosno, topologija mreže na razini veze se gradi bez obzira na zemljopisni položaj sastavnih komponenti mreže.
  • Sposobnost podjele jedne domene emitiranja na više domena emitiranja. Odnosno, emitirani promet s jedne domene ne ide na drugu domenu, i obrnuto. Time se smanjuje opterećenje mrežnih uređaja.
  • Mogućnost zaštite mreže od neovlaštenog pristupa. To jest, na sloju podatkovne veze, okviri s drugih Wealana bit će odsječeni preko priključka prekidača, bez obzira na to koja je izvorna IP adresa paket inkapsuliran u ovom okviru.
  • Mogućnost primjene pravila na grupu uređaja koji su u istom wilanu.
  • Mogućnost korištenja virtualnih sučelja za usmjeravanje.

Primjeri korištenja VLAN-a

  • Kombiniranje računala povezanih s različitim prekidačima u jednu mrežu. Recimo da imate računala koja su spojena na različite prekidače, ali ih je potrebno spojiti u jednu mrežu. Spojit ćemo neka računala u virtualnu lokalnu mrežu VLAN 1, a drugi - na mrežu VLAN 2. Zahvaljujući funkciji VLAN računala u svakoj virtualnoj mreži radit će kao da su spojena na isti prekidač. Računala iz različitih virtualnih mreža VLAN 1 i VLAN 2 bit će nevidljivi jedno drugome.
  • Razdvajanje u različite podmreže računala spojenih na isti prekidač. Na slici su računala fizički spojena na isti prekidač, ali odvojena u različite virtualne mreže VLAN 1 i VLAN 2. Računala iz različitih virtualnih podmreža bit će međusobno nevidljiva.

  • Razdvajanje gostujuće Wi-Fi mreže i Wi-Fi mreže poduzeća. Na slici je jedna Wi-Fi pristupna točka fizički spojena na usmjerivač. Na točki su stvorene dvije virtualne Wi-Fi točke s imenima hotspot i ured. DO hotspot prijenosna računala za goste će biti povezana putem Wi-Fi veze za pristup internetu, i ured poslovna prijenosna računala. Iz sigurnosnih razloga potrebno je da prijenosna računala za goste nemaju pristup poslovnoj mreži. Da biste to učinili, poslovna računala i virtualna Wi-Fi točka ured spojen na virtualnu lokalnu mrežu VLAN 1, a prijenosna računala za goste bit će u virtualnoj mreži VLAN 2. Gostujuća prijenosna računala s mreže VLAN 2 neće imati pristup mreži poduzeća VLAN 1.

Prednosti korištenja VLAN-a

  • Fleksibilna podjela uređaja u grupe
  • U pravilu jedna podmreža odgovara jednom VLAN-u. Računala smještena u različitim VLAN-ovima bit će izolirana jedno od drugog. Također možete kombinirati računala spojena na različite prekidače u jednu virtualnu mrežu.
  • Smanjenje emitiranog prometa na mreži
  • Svaki VLAN predstavlja zasebnu domenu emitiranja. Promet se neće emitirati između različitih VLAN-ova. Ako konfigurirate isti VLAN na različitim prekidačima, tada će portovi različitih prekidača činiti jednu domenu emitiranja.
  • Povećajte sigurnost mreže i upravljivost
  • U mreži podijeljenoj na virtualne podmreže, prikladno je primijeniti politike i sigurnosna pravila za svaki VLAN. Pravilo će se primijeniti na cijelu podmrežu, a ne na jedan uređaj.
  • Smanjenje količine opreme i mrežnog kabela
  • Izrada novog VLAN-a ne zahtijeva kupnju prekidača i polaganje mrežnog kabela. Međutim, morate koristiti skuplje upravljane sklopke s podrškom za VLAN.

Označeni i neoznačeni portovi

Kada port mora biti u mogućnosti primati ili slati promet s različitih VLAN-ova, mora biti u označenom stanju ili stanju magistrale. Koncepti magistralnog porta i označenog porta su isti. Trunked ili tagged port može prenositi ili pojedinačno određene VLAN-ove ili sve VLAN-ove prema zadanim postavkama, osim ako nije drugačije navedeno. Ako port nije označen, tada može prenijeti samo jedan VLAN (nativni). Ako port ne specificira u kojem se VLAN-u nalazi, tada se pretpostavlja da je u neoznačenom stanju u prvom VLAN-u (VID 1).

Različita oprema je u ovom slučaju različito konfigurirana. Za jednu opremu morate na fizičkom sučelju navesti u kojem se stanju nalazi ovo sučelje, a na drugoj, u određenom VLAN-u, trebate odrediti koji je port pozicioniran kao - sa ili bez oznake. A ako je potrebno da ovaj port prolazi kroz nekoliko VLAN-ova, onda u svakom od tih VLAN-ova trebate registrirati ovaj port s oznakom. Na primjer, u prekidačima Enterasys mreže moramo odrediti u kojem se VLAN-u nalazi određeni port i dodati taj port na izlaznu listu tog VLAN-a kako bi promet mogao prolaziti kroz taj port. Ako želimo da promet drugog VLAN-a prolazi kroz naš port, tada dodajemo i ovaj port na izlaznu listu ovog VLAN-a. Na opremi HP(npr. prekidači ProCurve) u samom VLAN-u specificiramo koji portovi mogu proći promet ovog VLAN-a i dodajemo stanje portova - označeno ili neoznačeno. Najlakši hardverski Cisco sustavi. Na takvim prekidačima jednostavno označavamo koji portovi su neoznačeni s kojim VLAN-ovima (nalaze se u pristup) i koji su portovi u označenom stanju (u deblo).

Za postavljanje portova na deblo izrađeni su posebni protokoli. Jedan od njih ima standard IEEE 802.1Q. Ovo je međunarodni standard koji podržavaju svi proizvođači i najčešće se koristi za postavljanje virtualnih mreža. Osim toga, različiti proizvođači mogu imati vlastite protokole za prijenos podataka. Na primjer, Cisco izradio protokol za moju opremu ISL (Inter Switch Lisk).

Inter-vlan usmjeravanje

Što je inter-vlane usmjeravanje? Ovo je normalno usmjeravanje podmreže. Jedina razlika je u tome što svaka podmreža odgovara VLAN-u na drugoj razini. Što to znači. Recimo da imamo dva VLAN-a: VID = 10 i VID = 20. Na drugoj razini, ovi VLAN-ovi dijele jednu mrežu na dvije podmreže. Hostovi koji se nalaze u tim podmrežama ne vide jedni druge. Odnosno, promet je potpuno izoliran. Kako bi hostovi međusobno komunicirali, potrebno je usmjeriti promet ovih VLAN-ova. Da bismo to učinili, svakom od VLAN-ova na trećoj razini trebamo dodijeliti sučelje, odnosno priložiti im IP adresu. Na primjer, za VID = 10, IP adresa će biti 10.0.10.1/24, a za VID = 20, IP adresa će biti 10.0.20.1/24. Ove adrese će i dalje djelovati kao pristupnici za pristup drugim podmrežama. Dakle, možemo usmjeriti promet hosta s jednog VLAN-a na drugi VLAN. Što nam VLAN usmjeravanje daje u usporedbi s jednostavnim mrežnim usmjeravanjem bez korištenja VLAN-ova? A evo što:

  • Sposobnost da postanete član druge podmreže na strani klijenta je blokirana. Odnosno, ako je host u određenom VLAN-u, čak i ako promijeni svoju adresu iz druge podmreže, i dalje će ostati u VLAN-u koji je bio. To znači da neće dobiti pristup drugoj podmreži. A to će zauzvrat zaštititi mrežu od "loših" klijenata.
  • Možemo postaviti nekoliko fizičkih sučelja prekidača u VLAN. Odnosno, imamo priliku odmah konfigurirati usmjeravanje na prekidaču treće razine spajanjem mrežnih klijenata na njega, bez korištenja vanjskog usmjerivača. Ili možemo koristiti vanjski usmjerivač spojen na prekidač druge razine s konfiguriranim VLAN-ovima i stvoriti onoliko podsučelja na portu usmjerivača koliko je ukupan broj VLAN-ova koje treba usmjeriti.
  • Vrlo je prikladno koristiti drugi sloj u obliku VLAN-a između prve i treće razine. Prikladno je označiti podmreže kao VLAN s određenim sučeljima. Zgodno je postaviti jedan VLAN i staviti hrpu switch portova u njega. I općenito, mnoge stvari su zgodne za napraviti kada postoji VLAN.

Nažalost, mnoga moderna poduzeća i organizacije praktički ne koriste tako korisnu, a često jednostavno nužnu značajku koju pružaju većina modernih preklopnika lokalne mreže (LAN), kao što je organizacija virtualnih LAN-ova (VLAN-ova, VLAN-ova) unutar mrežne infrastrukture. Teško je reći što ga je uzrokovalo. Možda nedostatak informacija o prednostima koje pruža VLAN tehnologija, njezina prividna složenost ili nevoljkost korištenja "sirovog" alata koji ne jamči interoperabilnost između mrežnih uređaja različitih proizvođača (iako je VLAN tehnologija standardizirana već godinu dana, a svi vodeći proizvođači aktivne mrežne opreme podržavaju ovaj standard). Stoga se ovaj članak fokusira na VLAN tehnologiju. Razmotrit će prednosti korištenja VLAN-a, najčešće načine organiziranja VLAN-ova i interakciju između njih, kao i značajke izgradnje VLAN-a pri korištenju prekidača nekih poznatih proizvođača.

zašto je to potrebno

Što je VLAN? Ovo je skupina računala spojenih na mrežu, logično grupiranih u domenu distribucije emitiranih poruka prema nekom atributu. Na primjer, grupe računala mogu se dodijeliti u skladu s organizacijskom strukturom poduzeća (po odjelima i
divizije) ili na temelju rada na zajedničkom projektu ili zadatku.

Postoje tri glavne prednosti korištenja VLAN-a. To je puno učinkovitije korištenje propusnosti nego u tradicionalnim LAN-ovima, povećana razina zaštite prenesenih informacija od neovlaštenog pristupa i pojednostavljenje mrežne administracije.

Budući da je cijela mreža logički podijeljena na domene emitiranja kada se koristi VLAN, informacije šalju samo članovi VLAN-a drugim članovima istog VLAN-a, a ne svim računalima na fizičkoj mreži. Dakle, emitirani promet (obično generiran od strane poslužitelja koji najavljuju svoju prisutnost i mogućnosti drugim uređajima na mreži) je ograničen na unaprijed definiranu domenu, a ne emitira se na sve postaje na mreži. Time se postiže optimalna distribucija propusnosti mreže između logičkih skupina računala: radne stanice i poslužitelji iz različitih VLAN-ova „ne vide“ jedni druge i ne ometaju jedni druge.

Budući da je komunikacija samo unutar određenog VLAN-a, računala iz različitih virtualnih mreža ne mogu primati promet generiran u drugim VLAN-ovima. Korištenje analizatora protokola i alata za praćenje mreže za prikupljanje prometa u drugim VLAN-ovima osim onog kojem korisnik koji to želi predstavlja značajne poteškoće. Zato su u VLAN okruženju informacije koje se prenose preko mreže puno bolje zaštićene od neovlaštenog pristupa.

Još jedna prednost korištenja VLAN-a je pojednostavljenje mrežne administracije. To posebno vrijedi za zadatke kao što su dodavanje novih elemenata u mrežu, njihovo premještanje i uklanjanje. Na primjer, kada se korisnik VLAN-a preseli u drugu sobu, čak i ako se nalazi na drugom katu ili u drugoj zgradi poduzeća, mrežni administrator ne mora ponovno spajati kabele. On samo treba u skladu s tim konfigurirati mrežnu opremu sa svog radnog mjesta. Osim toga, u nekim implementacijama VLAN-a, kretanje članova VLAN-a može se kontrolirati automatski bez potrebe za intervencijom administratora. Operacije za stvaranje novih logičkih grupa korisnika, dodavanje novih članova grupama, mrežni administrator također može obavljati preko mreže bez napuštanja svog radnog mjesta. Sve to značajno štedi radno vrijeme administratora koje se može iskoristiti za rješavanje drugih jednako važnih zadataka.

Metode organizacije VLAN-a

Vodeći proizvođači prekidača odjela i radnih grupa obično koriste jednu od tri metode za organiziranje VLAN-ova u svojim uređajima: na temelju portova, MAC adresa ili protokola trećeg sloja. Svaka od ovih metoda odgovara jednoj od tri niže razine modela interakcije otvorenog sustava OSI: fizičkoj, kanalnoj i mrežnoj. Postoji četvrti način organiziranja VLAN-a - na temelju pravila. Trenutno se rijetko koristi, iako pruža veću fleksibilnost u organiziranju VLAN-ova, a u bliskoj budućnosti bi se mogao naširoko koristiti u uređajima. Pogledajmo na brzinu svaku od gore navedenih metoda organizacije VLAN-a, njihove prednosti i nedostatke.

VLAN-ovi temeljeni na portovima. Kao što naziv metode implicira, VLAN-ovi su organizirani logičkim povezivanjem odabranih fizičkih portova prekidača. Na primjer, mrežni administrator može odrediti da portovi preklopnika s brojevima 1, 2, 5 formiraju VLAN1, a portovi s brojevima 3, 4, 6 od VLAN2, itd. Nekoliko računala može biti spojeno na jedan komutacijski port (na primjer, putem čvorišta). Svi će oni pripadati istom VLAN-u - onom kojem je dodijeljen switch port koji ih opslužuje. Ova čvrsta vezanost članstva u VLAN-u je nedostatak metode VLAN-a temeljene na portu.

VLAN baziran na MAC adresama. Ova metoda vam omogućuje da izgradite VLAN na temelju jedinstvene heksadecimalne adrese sloja veze koju ima svaki mrežni adapter poslužitelja ili radne stanice na mreži. Ovo je fleksibilniji način organiziranja VLAN-a u usporedbi s prethodnim, budući da se uređaji koji pripadaju različitim VLAN-ovima mogu spojiti na isti switch port. Osim toga, prekidač automatski prati kretanje računala s jednog priključka prekidača na drugi i omogućuje vam da premješteno računalo ostane pripadalo određenom VLAN-u bez intervencije mrežnog administratora. Radi prilično jednostavno: prekidač održava tablicu korespondencije između MAC adresa računala i virtualnih mreža. Čim se računalo prebaci na drugi port za prebacivanje, uspoređujući izvorno polje MAC adrese u zaglavlju prvog okvira odaslanog nakon pomicanja računala s podacima svoje tablice, prekidač donosi ispravan zaključak o tome da premješteno računalo pripada VLAN-u. . Nedostatak ove metode organiziranja VLAN-a je početna napornost konfiguriranja VLAN-a, koja je prepuna pogrešaka. Iako se tablicu MAC adresa automatski izgrađuju prekidači, mrežni administrator mora sve to pregledati i utvrditi da li ova heksadecimalna MAC adresa odgovara toj i takvoj radnoj stanici, a zatim je dodijeliti odgovarajućoj virtualnoj mreži. Istina, naknadna rekonfiguracija VLAN-a temeljenog na MAC-u zahtijevat će mnogo manje truda nego u slučaju VLAN-a koji se temelji na portu.

VLAN baziran na protokolima sloja 3. Ova metoda se rijetko koristi u prekidačima razine odjela i radnih grupa. Tipično je za prekidače za usmjeravanje okosnice koji imaju ugrađene alate za usmjeravanje za glavne LAN protokole - IP, IPX i AppleTalk. Prema ovoj metodi, grupa portova prekidača koji pripadaju određenom VLAN-u povezana je s određenom IP podmrežom ili IPX mrežom. Fleksibilnost je ovdje osigurana činjenicom da premještanje korisnika na drugi port koji pripada istom VLAN-u prati prekidač i ne zahtijeva rekonfiguraciju. Prednost ove metode je i jednostavnost konfiguracije VLAN-a, koja se može izvršiti automatski, budući da prekidač analizira mrežne adrese računala pridruženih svakom VLAN-u. Osim toga, kao što je već spomenuto, uređaji koji podržavaju metodu organizacije VLAN-a temeljenu na Layer 3 protokolima imaju ugrađene alate za usmjeravanje, što omogućuje interakciju između različitih VLAN-ova bez upotrebe dodatnih alata. Postoji, možda, samo jedan nedostatak ove metode - visoka cijena prekidača u kojima se implementira.

Pravila temeljena na VLAN-u. Pretpostavlja se da preklopnik ima mogućnost detaljne analize unaprijed određenih polja, pa čak i pojedinačnih bitova paketa koji prolaze kroz njega kao mehanizama izgradnje VLAN-a. Ova metoda pruža gotovo neograničene mogućnosti za stvaranje virtualnih mreža na temelju mnogih kriterija. Na primjer, čak i po principu uključivanja svih korisnika u VLAN, u čija računala su instalirani mrežni adapteri navedenog proizvođača. Unatoč velikoj fleksibilnosti, proces konfiguracije VLAN-a koji se temelji na pravilima oduzima mnogo vremena. Osim toga, prisutnost složenih pravila može negativno utjecati na propusnost prekidača, budući da će se značajan dio njegove procesorske snage potrošiti na analizu paketa.

Također, uređaji se mogu automatski premjestiti u VLAN na temelju podataka o autentifikaciji korisnika ili uređaja kada se koristi 802.1x protokol.

izgradnja distribuiranih VLAN-ova

Moderni LAN-ovi često sadrže više od jednog prekidača. Računala koja pripadaju istom VLAN-u mogu se spojiti na različite prekidače. Dakle, kako bi se promet ispravno usmjerio, mora postojati mehanizam koji prekidačima omogućuje razmjenu informacija o VLAN članstvu uređaja povezanih s njima. Prije je svaki proizvođač u svojim uređajima implementirao vlasničke mehanizme za razmjenu takvih informacija. Na primjer, u 3Com-u se ova tehnologija zvala VLT (Virtual LAN Trunk), u Cisco Systemsu - ISL (Inter-Switch Link). Stoga je za izgradnju distribuiranih VLAN-ova bilo potrebno koristiti uređaje istog proizvođača. Situacija se dramatično poboljšala kada je usvojen standard za izgradnju označenih VLAN-ova, IEEE 802.1Q, koji sada dominira svijetom VLAN-ova. Između ostalog, regulira i mehanizam za razmjenu informacija o VLAN-ovima između prekidača. Ovaj mehanizam vam omogućuje da nadopunite okvire koji se prenose između prekidača s poljima koja ukazuju na pripadnost određenom VLAN-u. Do danas, svi vodeći proizvođači LAN prekidača podržavaju standard 802.1Q u svojim uređajima. Stoga je danas već moguće graditi virtualne mreže pomoću prekidača različitih proizvođača. Iako, kao što ćete vidjeti kasnije, čak i radeći u skladu s 802.1Q, prekidači različitih proizvođača pružaju daleko od istih mogućnosti za organiziranje VLAN-ova.

organizacija interakcije između VLAN-ova

Računala smještena u različitim VLAN-ovima ne mogu međusobno izravno komunicirati. Da biste organizirali takvu interakciju, morate koristiti usmjerivač. Prije su se za to koristili obični usmjerivači. Štoviše, zahtijevalo se da usmjerivač ima onoliko fizičkih mrežnih sučelja koliko ima VLAN-ova. Osim toga, prekidači su morali dodijeliti jedan port iz svakog VLAN-a za povezivanje usmjerivača. S obzirom na visoku cijenu portova usmjerivača, cijena takvog rješenja bila je vrlo visoka. Osim toga, konvencionalni usmjerivač uveo je značajno kašnjenje u prijenosu podataka između VLAN-ova. Danas se za prijenos podataka između VLAN-ova koriste prekidači za usmjeravanje, koji imaju nisku cijenu po portu i izvode hardversko usmjeravanje prometa brzinom komunikacijskog kanala. Prekidači za usmjeravanje također su u skladu sa standardom IEEE 802.1Q, a kako bi organizirali komunikaciju između distribuiranih VLAN-ova, trebaju koristiti samo jedan port za povezivanje svakog od prekidača radne grupe koji povezuju uređaje koji odgovaraju različitim VLAN-ovima na mrežu. Drugim riječima, preko jednog porta modernog preklopnika za usmjeravanje, informacije se mogu razmjenjivati ​​između uređaja iz različitih VLAN-ova.

korištenje dijeljenih mrežnih resursa od strane računala različitih VLAN-ova

Vrlo je zanimljiva mogućnost organiziranja pristupa zajedničkim mrežnim resursima (mrežni poslužitelji, pisači itd.) za računala koja pripadaju različitim VLAN-ovima. Prednosti ove mogućnosti su očite. Prvo, nema potrebe za kupnjom usmjerivača ili prekidača za usmjeravanje ako ne trebate organizirati izravnu razmjenu podataka između računala iz različitih VLAN-ova. Moguće je osigurati interakciju između računala različitih VLAN-ova putem mrežnog poslužitelja kojemu svi ili više VLAN-ova imaju pristup. Drugo, zadržavajući sve prednosti korištenja VLAN-a, ne možete kupovati poslužitelje za svaki VLAN zasebno, već koristiti one općenite.

Najlakši način za davanje pristupa istom poslužitelju korisnicima iz različitih VLAN-ova je instaliranje nekoliko mrežnih adaptera na poslužitelj i povezivanje svakog od tih adaptera za prebacivanje portova koji pripadaju različitim VLAN-ovima. Međutim, ovaj pristup ima ograničenje na broj VLAN-ova (mnogi mrežni adapteri ne mogu se instalirati na poslužitelj), nameće stroge zahtjeve za komponente poslužitelja (upravljački programi mrežnog adaptera zahtijevaju povećanje količine RAM-a, veliko opterećenje se stavlja na CPU i poslužiteljska I/O sabirnica, itd.) i ne doprinosi uštedi novca (korištenje više mrežnih adaptera i dodatnih portova prekidača).

Pojavom standarda IEEE 802.1Q postalo je moguće prenijeti informacije koje se odnose na sve ili nekoliko VLAN-ova kroz jedan switch port. Kao što je gore spomenuto, za to, prekidač (ili drugi uređaj koji podržava 802.1Q) dodaje polje u okvir koji se prenosi preko mreže koje jedinstveno određuje pripada li okvir određenom VLAN-u. Jednostavno je moguće spojiti poslužitelj zajednički za sve VLAN-ove na takav port sa samo jednom komunikacijskom linijom. Jedini uvjet za to je da mrežni adapter poslužitelja mora podržavati standard 802.1Q kako bi poslužitelj mogao znati iz kojeg je VLAN-a zahtjev došao i, sukladno tome, kamo poslati odgovor. Ovako se provodi razdvajanje poslužitelja između VLAN-ova u upravljanim prekidačima na razini odjela i radne grupe u 3Com, Hewlett-Packard i Cisco Systems.

zaključak

Kao što vidite, VLAN-ovi su moćan mrežni alat koji može riješiti probleme administracije, sigurnosti prijenosa podataka, kontrole pristupa informacijskim resursima te značajno povećati učinkovitost korištenja mrežne širine pojasa.

Oleg Podukov, voditelj tehničkog odjela COMPLETE

Danas ću započeti mali niz članaka o VLAN-ovima. Krenimo od toga što je, čemu služi, kako ga konfigurirati, a zatim ćemo ići dublje i postupno proučavati, ako ne sve, onda najviše mogućnosti koje nam pružaju VLAN-ovi.

Dakle, zapamtite, razgovarali smo o takvom konceptu kao? Mislim da se sjećaš. Također smo razgovarali o tome da postoji nekoliko vrsta adresa:.

Na temelju toga napravit ćemo još jedan uvodni koncept. domena emitiranja. Što on zapravo jest?

Ako se pošalje okvir/paket, emitiranje (ako je okvir, onda polje Destination Address, svi bitovi su jednaki jedan, ili će u 16. obliku MAC adresa biti jednaka: FF FF FF FF FF FF), tada će ovaj okvir biti proslijeđen na sve portove prekidača, osim na one s kojih je okvir primljen. To će se dogoditi kada, na primjer, naš prekidač nije upravljan, ili ako se njime upravlja, ali su svi u istom VLAN-u (više o tome kasnije).
Ovdje je popis uređaja koji primaju ove okvire emitiranja i nazivaju se domenom emitiranja.

Sada odlučimo što je VLAN?

VLAN - Virtualna lokalna mreža, t.j. neka virtualna mreža. Čemu služi?

VLAN nam omogućuje odvajanje domena emitiranja na istom prekidaču. Oni. ako imamo jedan prekidač, dodijelit ćemo neke portove jednom VLAN-u, drugi drugom. I imat ćemo dvije različite domene za emitiranje. Naravno, mogućnosti nisu ograničene na to. O njima ću dalje, sve postupno.

Ukratko, VLAN omogućuje administratoru da fleksibilnije kreira mrežu dijeleći je na neke podmreže (na primjer, mreža računovođa, mreža menadžera i tako dalje), drugim riječima, VLAN pomaže u kombiniranju uređaja s nekim uobičajenim skup zahtjeva u jednu skupinu, te ga odvojiti od drugih sličnih izoliranih skupina.

Odmah ću rezervirati da VLAN-ovi rade na razini OSI Layer 2.
Podsjetimo da kada smo razmatrali okvir, tamo nije bilo polja za VLAN. Kako onda odrediti kojem VLAN-u pripada ovaj ili onaj okvir?

Postoji nekoliko standarda.

1. IEEE 802.1Q - Ovaj standard je otvoren. Ovaj standard označava određeni okvir koji je "prikačen" na neki VLAN s označavanjem.
Označavanje je funkcija prekidača (ili bilo kojeg drugog uređaja koji "razumije" VLAN), koji umeće 4-bajtnu oznaku u ethernet okvir. Postupak označavanja ne mijenja podatke zaglavlja, tako da oprema koja ne podržava VLAN tehnologiju može lako proslijediti takav okvir dalje duž mreže, zadržavajući oznaku.

Ovako će okvir izgledati nakon umetanja VLAN oznake.

Na temelju njihove slike vidimo da se VLAN oznaka sastoji od 4 polja, opisati ćemo ih:

- 2 bajta Tag Protocol Identifier (TPID) - ovo je identifikator protokola, u našem slučaju to je 802.1Q, u 16. obliku ovo polje će izgledati ovako: 0x8100.

- Prioritet - polje za postavljanje prioriteta prema standardu 802.1p (o tome u sljedećim člancima). Veličina ovog polja je 3 bita (8 vrijednosti 0-7).

- Indikator kanonskog formata (CFI). Indikator kanonskog formata, veličina ovog polja je 1 bit. Ovo polje označava format mac adrese (1 je kononički, 0 nije kanonički.)

- VLAN ID, zapravo, to je ono što smo danas ovdje 🙂 VLAN ID. Veličina polja je 12 bita, može imati vrijednost od 0 do 4095.

Kod korištenja VLAN-a (tagiranja) prema standardu 802.1Q, mijenjaju se okvir, stoga je potrebno ponovno izračunati FCS vrijednost, što zapravo radi prekidač.

Standard 802.1Q ima nešto kao Native VLAN, prema zadanim postavkama Native VLAN ID je jednak jedan (može se promijeniti), Native VLAN karakterizira činjenica da ovaj VLAN nije označen.

2. Inter-switch-link (ISL). Protokol koji je razvio Cisco i može se koristiti samo na vlastitoj opremi.
Ovaj protokol je razvijen prije usvajanja 802.1Q.
Trenutačno ISL više nije podržan na novijem hardveru, ali još uvijek možete naići na protokol u akciji, pa se moramo upoznati s njim.

Za razliku od 802.1Q, gdje je provedeno jednostavno označavanje okvira (umetanje 4 bajta unutar okvira), ovdje se koristi tehnologija enkapsulacije, odnosno dodaje se zaglavlje koje sadrži informacije o VLAN-u. VLAN ISL, za razliku od 802.1Q, podržava do 1000 VLAN-ova.

Razmotrite okvir u grafičkom obliku, kako ova inkapsulacija izgleda.

Ovdje odmah možemo vidjeti prvi i možda najosnovniji nedostatak ISL-a - to je povećanje okvira za 30 bajtova (26 bajta zaglavlje i 4 bajta FCS).

Razmotrimo ISL Header detaljnije, da vidimo što je tamo pohranjeno u toliko bajtova!

  • Adresa odredišta (DA) - adresa primatelja, ovdje je naznačena posebna multicast adresa, koja označava da je okvir inkapsuliran korištenjem ISL-a. Multicast adresa može biti 0x01-00-0C-00-00 ili 0x03-00-0c-00-00.
  • Vrsta - duljina polja 4 bita, označava protokol koji je inkapsuliran u okviru. Može imati više vrijednosti:

0000 Ethernet
0001 - Token Ring
0010 - FDDI
0011-bankomat

U našem slučaju, budući da razmatramo Ethernet, ova vrijednost će biti jednaka svim 0.

  • KORISNIK - neka vrsta "skraćenog" analoga polja Priority u 802.1Q, koristi se za postavljanje prioriteta okvira. Iako polje zauzima 4 bita, može imati 4 vrijednosti (u 802.1Q - 8).
  • Izvorna adresa (SA) - izvorna adresa, ovo mjesto se zamjenjuje vrijednošću MAC adrese porta s kojeg je ovaj inkapsulirani okvir poslan.
  • LEN je duljina okvira. Ne uzima u obzir polja kao što su: DA,TYPE,USER,SA,LEN,FCS. Dakle, ispada da je ova vrijednost jednaka inkapsuliranom okviru - 18 bajtova.
  • AAAA03 (SNAP) - SNAP i LLC (ovo polje sadrži vrijednost AAAA03).
  • HSA - Visoki bitovi izvorne adrese - 3 visoka bajta MAC adrese (zapamtite da ti bajtovi sadrže kod proizvođača), za Cisco je to 00-00-0C
  • VLAN - konačno došao do samog glavnog polja. Ovdje je zapravo naveden VLAN ID. Polje ima veličinu od 15 bita.
  • BPDU - Bridge Protocol Data Unit i Cisco Discovery Protocol. Polje za BPDU i CDP protokole. Što je to i zašto, upoznat ćemo se u sljedećim člancima.
  • INDX - Indeks, naznačen je indeks porta pošiljatelja, koji se koristi u dijagnostičke svrhe.
  • RES - rezerviran za Token Ring i FDDI. Rezervno polje za Token Ring i FDDI. Polje ima 16 bita. Ako se koristi ethernet protokol, tada se sve nule stavljaju u ovo polje.
  • Enkapsulirani okvir je običan okvir koji je inkapsuliran. Ovaj okvir ima svoja polja, kao što su DA, SA, LEN, FCS itd.
  • FCS - vlastiti ISL FCS (budući da je okvir potpuno promijenjen, potrebna je nova provjera okvira, zadnja 4 bajta su za to).

Možemo izvući neke zaključke u korist 802.1Q.

  1. Označavanje dodaje samo 4 bajta u okvir, za razliku od ISL-a (30 bajtova).
  2. 802.1Q je podržan na bilo kojoj opremi koja podržava VLAN, dok ISL radi samo na Cisco uređajima, i to ne na svim.

U ovom članku ukratko smo se upoznali s konceptom VLAN-a. Zatim ćemo razumjeti detalje.

Još jedan mali alat koji može malo poboljšati upotrebljivost: banner. Ovo je oglas koji će cisco prikazati prije autorizacije na uređaju.

Switch(config)#banner motd q Unesite TEXT poruku. Završite znakom "q". To je samo banner. q Prekidač(konfiguracija)#
Nakon motd, navedete znak koji će signalizirati da je redak završio. U ovom primjeru stavljamo "q".

Što se tiče sadržaja bannera. Postoji takva legenda: haker je provalio u mrežu, tamo nešto razbio / ukrao, uhvaćen je, a na suđenju je oslobođen i pušten. Zašto? I zato što je na graničnom usmjerivaču (između interneta i interne mreže) na banneru ispisana riječ “Dobro došli”. “Pa, pošto pitaju, ušao sam”)). Stoga se smatra dobrom praksom napisati nešto poput “Pristup odbijen!” na banneru.

Za organiziranje znanja po točkama, analizirajmo što trebate učiniti:

1) Postavite ime hosta. To će vam pomoći da u budućnosti na stvarnoj mreži brzo saznate gdje se nalazite.
Switch(config)#hostname HOSTNAME

2) Stvorite sve vlanove i dajte im ime
Switch(config)#vlan VLAN-NUMBER Switch(config-vlan)#name NAME-OF-VLAN

3) Konfigurirajte sve pristupne portove i dajte im ime
Switch(config-if)#opis OPIS-SUČELJA Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan VLAN-NUMBER

Ponekad je prikladno konfigurirati sučelja u serijama:

msk-arbat-asw3(config)#raspon sučelja fastEthernet 0/6 - 10 msk-arbat-asw3(config-if-range)#description FEO msk-arbat-asw3(config-if-range)#switchport mode pristup msk- arbat-asw3(config-if-range)#switchport access vlan 102

4) Konfigurirajte sve trunk portove i dajte im ime:
Switch(config-if)#description DESCRIPTION-OF-INTERFACE Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk dopušteno vlan VLAN-BROJEVA

5) Ne zaboravite spremiti:
Switch#copy running-config startup-config

Ukratko: što smo postigli? Svi uređaji u istoj podmreži mogu vidjeti jedni druge, ali ne i uređaji na drugoj. U sljedećem broju bavit ćemo se ovim pitanjem, a također ćemo se osvrnuti na statičko usmjeravanje i L3 prekidače.
Općenito, ova se lekcija može završiti. U videu možete još jednom vidjeti kako se konfiguriraju vlansi. Kao domaći zadatak, postavite vlans na prekidačima za poslužitelje.

Ovdje možete preuzeti konfiguraciju svih uređaja:
Lift-me-Up_Configuration.zip
I naš RT projekt:
lift-me-UP_v2-VLANs.pkt

p.s.
Važan dodatak: u prethodnom dijelu, govoreći o native vlanu, malo smo vas dezinformirali. Na cisco opremi ova shema rada nije moguća.
Podsjetimo da smo predložili slanje neoznačenih okvira 101. vlana na prekidač msk-rubl-asw1 i primanje ih tamo u prvom.
Činjenica je da, kao što smo već spomenuli, sa stajališta cisco-a, isti vlan broj mora biti konfiguriran s obje strane prekidača, inače počinju problemi sa STP protokolom i mogu se vidjeti upozorenja o netočnim postavkama u zapisnicima . Stoga prenosimo 101. vlan na uređaj na uobičajen način, okviri će biti označeni i, sukladno tome, 101. vlan također mora biti kreiran na msk-rubl-asw1.

Još jednom želimo napomenuti da uz svu našu želju nećemo moći pokriti sve nijanse i suptilnosti, pa si stoga ne postavljamo takav zadatak. Stvari kao što su način na koji je MAC adresa izgrađena, vrijednost polja Ether Type ili čemu služi CRC na kraju okvira, morate proučiti sami. Dodaj oznake

VLAN (Virtual Local Area Network) omogućuje prekidačima ili usmjerivačima stvaranje nekoliko virtualnih lokalnih mreža na jednom fizičkom mrežnom sučelju. Jednostavan i praktičan način odvajanja prometa između klijenata ili baznih stanica, korištenjem VLAN-a.

VLAN tehnologija se sastoji u tome da se mrežnom okviru (2. razina) dodaje dodatno zaglavlje oznake koje sadrži informacije o servisu i VLAN ID. Vrijednosti VLAN ID-a mogu biti od 1 - 4095. U ovom slučaju, 1 je rezerviran kao zadani VLAN.

Kada radite s VLAN-ovima, važno je razumjeti što je označeni i neoznačeni promet. Označeni promet (s vlan ID-om) uglavnom ide između prekidača i poslužitelja. Obična računala (osobito ona sa sustavom Windows) ne razumiju označeni promet. Stoga se na onim priključcima koji gledaju izravno na radne stanice ili u mrežu s neupravljanim prekidačem izdaje neoznačeni promet. Oni. oznaka je odsječena od mrežnog okvira. To se također događa ako je port konfiguriran s VLAN ID-om = 1.

Postoji i koncept poput prtljažnika (Trunk). Trank je priključak komutatora koji prenosi promet s različitim oznakama. Tipično, trunk je konfiguriran između prekidača kako bi se omogućio pristup VLAN-u s različitih prekidača.

Korištenje VLAN-a na Mikrotik opremi

Mikrotik usmjerivači i prekidači podržavaju do 250 VLAN-ova na jednom Ethernet sučelju. Možete stvoriti VLAN ne samo na Ethernet sučelju, već i na Bridgeu, pa čak i na EoIP tunelu. VLAN se može ugraditi u drugo VLAN sučelje korištenjem “Q-in-Q” tehnologije. Možete napraviti 10 ili više ugniježđenih VLAN-ova, samo se veličina MTU svaki put smanjuje za 4 bajta.

Analizirajmo korištenje VLAN-a na primjeru. Zadatak:

  • Napravite VLAN za HOTSPOT (172.20.22.0/24)
  • Napravite VLAN za VIP telefoniju (172.21.22.0/24)
  • Izolirajte mreže 172.20.22.0/24, 172.21.22.0/24 jedna od druge i od pristupa mreži 10.5.5.0/24
  • Dodijelite Ether2 port mreži 172.20.22.0/24 (VLAN)
  • Dodijelite Ether3, Ether4 mreži 172.21.22.0/24 (VLAN)

Početni podaci:

  • Internet na Ether1, dodijeljen Brigde sučelju - Ethernet
  • LAN (10.5.5.0/24), dodijeljen Brigde sučelju - LAN
Izrada VLAN sučelja

Napravite VLAN2 (ID=2), VLAN3 (ID=3) i dodijelite ih sučelju Bridge LAN. LAN sučelje će djelovati kao Trunk veza.

/interface vlan add name=VLAN2 vlan-id=2 interface=LAN /interface vlan add name=VLAN3 vlan-id=3 interface=LAN

Izrada sučelja mosta

Napravite BridgeVLAN2, BridgeVLAN3 sučelja za VLAN:

/interface bridge add name=BridgeVLAN2 /interface bridge add name=BridgeVLAN3

Povezivanje VLAN sučelja s Bridge vezama

Povežite VLAN sučelja (VLAN2, VLAN3) s Bridge (BridgeVLAN2, BridgeVLAN3) vezama:

/sučelje bridge port add interface=VLAN2 bridge=BridgeVLAN2 /interface bridge port add interface=VLAN3 bridge=BridgeVLAN3

Stvaranje IP adrese

Dodijelite svakom BridgeVLAN2/BridgeVLAN3 sučelju IP adresu — 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3):

/ip adresa add address=172.20.22.1/24 sučelje=BridgeVLAN2 /ip adresa add address=172.21.22.1/24 sučelje=BridgeVLAN3

Napravite skup adresa

Postavite raspon izdanih IP adresa za mreže (172.20.22.0/24, 172.21.22.0/24):

/ip pool add name=poolVLAN2 rasponi=172.20.22.2-172.20.22.254 /ip pool add name=poolVLAN3 rasponi=172.21.22.2-172.21.22.254

Postavljanje DHCP poslužitelja

Kako bi uređaji primali mrežne postavke, automatski konfigurirajte DHCP poslužitelj za lokalne mreže (172.20.22.0/24, 172.21.22.0/24):

/ip dhcp-server add name=dhcpVLAN2 sučelje=BridgeVLAN2 adresa-pool=poolVLAN2 onemogućen=ne /ip dhcp-server add name=dhcpVLAN3 sučelje=BridgeVLAN3 adresa-pool=poolVLAN3 onemogućen=ne /ip dhcp-server2 mrežni add2 address=17 .22.0/24 pristupnik=172.20.22.1 /ip dhcp-server mreža add address=172.21.22.0/24 pristupnik=172.21.22.1

Postavljanje vatrozida. Pristup internetu za VLAN mreže

Dovršio sam sigurnosne postavke, prema ovome. Stoga, kako bi uređaji iz lokalnih mreža (172.20.22.0/24, 172.21.22.0/24) imali pristup internetu, za njih dodajemo pravilo:

/ip firewall filter add chain=forward action=accept src-address=172.20.22.0/24 comment="Pristupite Internetu iz LAN-a" /ip firewall filter add chain=forward action=accept src-address=172.21.22.0/24 comment= "Pristup internetu s LAN-a"

VLAN izolacija

Potrebno je da mreže VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24) budu izolirane jedna od druge i od pristupa glavnoj lokalnoj mreži 10.5.5.0/24. Napravite popise lokalnih mreža (LOCAL):

/ip firewall address-list add list=LOCAL address=10.5.5.0/24 /ip firewall address-list add list=LOCAL address=172.20.22.0/24 /ip firewall address-list add list=LOCAL address=172.21.22.0/ 24

Izrađujemo pravila za blokiranje pristupa lokalnim mrežama (LOCAL) s mreža 172.20.22.0/24, 172.21.22.0/24. Pravila zabrane, svakako ih stavite iznad onih koji dopuštaju:

/ip firewall filter add chain=forward action=drop src-address=172.20.22.0/24 dst-address-list=LOCAL /ip firewall filter add chain=forward action=drop src-address=172.21.22.0/24 dst-address -list=LOKALNO

VLAN distribucija po portovima Mikrotik routera

Dodjeljujemo portove usmjerivača za rad u određenom VLAN-u. Port ether2 - BridgeVLAN2, portovi ether3, ether4 - BridgeVLAN3:

/sučelje bridge port add interface=ether2 bridge=BridgeVLAN2 /interface bridge port add interface=ether3 bridge=BridgeVLAN3 /interface bridge port add interface=ether4 bridge=BridgeVLAN3

Informacija: Nije potrebno dodijeliti Bridge vezu svakom portu da bi pripadao određenom VLAN-u. Dovoljno je postaviti Bridge vezu na samo jedan port, a zatim pomoću glavnog porta označiti pripadnost VLAN-u, drugim portovima.

Time je dovršeno dodavanje i konfiguracija VLAN-ova. Kao rezultat, dobili smo dvije izolirane mreže s pristupom Internetu. Stvorene VLAN mreže smjestili smo u Trunk konekciju, što će omogućiti, ako je potrebno, segmentiranje VLAN mreža na drugi router, to je jednostavno učiniti. Dodijelili smo potrebne portove rutera za rad u odgovarajućim VLAN mrežama.

Vrhunski povezani članci

Kako ukloniti lozinku sa SIM kartice ako ste zaboravili pin kod
Kako ukloniti lozinku sa SIM kartice ako ste zaboravili pin kod
Onemogućavanje provjere PIN koda na uređajima
Onemogućavanje provjere PIN koda na uređajima
USSD naredbe koje djeluju u Velcom mreži
USSD naredbe koje djeluju u Velcom mreži
Kategorije:
© 2022 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.