U ovom trenutku mnoge moderne organizacije i poduzeća praktički ne koriste tako vrlo korisnu, a često i potrebnu priliku kao što je organiziranje virtualnog (VLAN) u okviru integralne infrastrukture, koju pruža većina modernih prekidača. To je zbog mnogih čimbenika, pa je vrijedno razmotriti ovu tehnologiju sa stajališta mogućnosti njezine uporabe u takve svrhe.
Opći opis
Prvo, vrijedi odlučiti što su VLAN-ovi. Pod tim se podrazumijeva skupina računala spojenih na mrežu koja su logički grupirana u domenu distribucije emitiranih poruka na temelju određenog atributa. Na primjer, grupe se mogu razlikovati ovisno o strukturi poduzeća ili prema vrstama zajedničkog rada na projektu ili zadatku. VLAN-ovi nude nekoliko prednosti. Za početak, riječ je o puno učinkovitijem korištenju propusnosti (u usporedbi s tradicionalnim lokalnim mrežama), povećanom stupnju zaštite informacija koje se prenose, kao i pojednostavljenoj shemi administracije.
Budući da je pri korištenju VLAN-a cijela mreža podijeljena na broadcast domene, informacije unutar takve strukture prenose se samo između njenih članova, a ne na sva računala u fizičkoj mreži. Ispada da je emitirani promet koji generiraju poslužitelji ograničen na unaprijed definiranu domenu, odnosno ne emitira se na sve stanice na ovoj mreži. Na taj način moguće je postići optimalnu raspodjelu propusnosti mreže između namjenskih skupina računala: poslužitelji i radne stanice iz različitih VLAN-ova jednostavno se ne vide.
Kako se odvijaju svi procesi?
U takvoj mreži informacije su prilično dobro zaštićene od razmjene podataka unutar jedne određene skupine računala, odnosno ne mogu primati promet generiran u nekoj drugoj sličnoj strukturi.
Ako govorimo o tome što su VLAN-ovi, onda je prikladno napomenuti takvu prednost ove metode organizacije jer pojednostavljeno umrežavanje utječe na takve zadatke kao što su dodavanje novih elemenata u mrežu, njihovo premještanje, a također i njihovo brisanje. Na primjer, ako se korisnik VLAN-a preseli na drugo mjesto, mrežni administrator ne mora ponovno spojiti kabele. Samo treba konfigurirati mrežnu opremu sa svog radnog mjesta. U nekim implementacijama takvih mreža, kretanje članova grupe može se kontrolirati automatski, čak i bez potrebe za intervencijom administratora. On samo treba znati kako konfigurirati VLAN kako bi izvršio sve potrebne operacije. Može stvarati nove logične grupe korisnika čak i bez ustajanja sa svog mjesta. Sve to uvelike štedi radno vrijeme, što može biti korisno za rješavanje ne manje važnih problema.
Metode organizacije VLAN-a
Postoje tri različite opcije: na temelju porta, na temelju L3 ili na temelju MAC-a. Svaka metoda odgovara jednom od tri niža sloja OSI modela: fizičkom, mrežnom i podatkovnoj vezi. Ako govorimo o tome što su VLAN-ovi, onda je vrijedno napomenuti prisutnost četvrte metode organizacije - temeljene na pravilima. Sada se rijetko koristi, iako pruža veliku fleksibilnost. Možete detaljnije razmotriti svaku od navedenih metoda kako biste razumjeli koje značajke imaju.
VLAN baziran na portovima
Ovo pretpostavlja logičko grupiranje specifičnih fizičkih portova preklopnika odabranih za komunikaciju. Na primjer, može odrediti da se određeni portovi, na primjer, 1, 2 i 5 čine VLAN1, a brojevi 3, 4 i 6 koriste za VLAN2 i tako dalje. Jedan priključak prekidača može se koristiti za povezivanje nekoliko računala, za što se, na primjer, koristi čvorište. Svi će oni biti definirani kao članovi jedne virtualne mreže na koju je registriran servisni port prekidača. Ova čvrsta vezanost članstva u virtualnoj mreži glavni je nedostatak ove organizacije.
VLAN baziran na MAC adresama
Ova se metoda temelji na korištenju jedinstvenih heksadecimalnih adresa sloja veze dostupnih za svaki poslužitelj ili radnu stanicu na mreži. Ako govorimo o tome što su VLAN-ovi, onda je vrijedno napomenuti da se ova metoda smatra fleksibilnijom u usporedbi s prethodnom, budući da je sasvim moguće spojiti računala koja pripadaju različitim virtualnim mrežama na jedan port prekidača. Osim toga, automatski prati kretanje računala s jednog porta na drugi, što vam omogućuje da klijent ostane pripadao određenoj mreži bez intervencije administratora.
Princip rada ovdje je vrlo jednostavan: prekidač održava tablicu korespondencije između MAC adresa radnih stanica i virtualnih mreža. Čim se računalo prebaci na neki drugi priključak, polje MAC adrese uspoređuje se s podacima tablice, nakon čega se donosi ispravan zaključak o pripadnosti računala određenoj mreži. Nedostaci ove metode su složenost konfiguracije VLAN-a, što u početku može uzrokovati pogreške. Unatoč činjenici da preklopnik gradi svoje tablice adresa, mrežni administrator ih mora sve pregledati kako bi odredio koje adrese odgovaraju kojim virtualnim grupama, nakon čega ih dodjeljuje odgovarajućim VLAN-ovima. I tu je mjesto za pogreške, što se ponekad događa u Cisco VLAN-ovima, čija je konfiguracija prilično jednostavna, ali naknadna preraspodjela bit će teža nego u slučaju korištenja portova.
VLAN baziran na protokolima trećeg sloja
Ova metoda se rijetko koristi na preklopnicima radnih grupa ili odjela. Tipičan je za okosnice opremljene ugrađenim mogućnostima usmjeravanja za glavne LAN protokole - IP, IPX i AppleTalk. Ova metoda pretpostavlja da će skupina komutacijskih portova koji pripadaju određenom VLAN-u biti povezana s nekom IP ili IPX podmrežom. U ovom slučaju, fleksibilnost je osigurana činjenicom da se prelazak korisnika na drugi port, koji pripada istoj virtualnoj mreži, prati prekidačem i ne treba ga ponovno konfigurirati. VLAN usmjeravanje je u ovom slučaju prilično jednostavno, jer prekidač u ovom slučaju analizira mrežne adrese računala koje su definirane za svaku od mreža. Ova metoda također podržava interakciju između različitih VLAN-ova bez upotrebe dodatnih alata. Postoji i jedan nedostatak ove metode - visoka cijena prekidača u kojima se implementira. VLAN Rostelecom podržava rad na ovoj razini.
zaključke
Kao što ste već shvatili, virtualne mreže su prilično moćan alat koji može riješiti probleme vezane uz sigurnost prijenosa podataka, administraciju, kontrolu pristupa i povećanje učinkovitosti korištenja.
9) Usmjeravanje: statičko i dinamičko na primjeru RIP, OSPF i EIGRP.
10) Prijevod mrežnih adresa: NAT i PAT.
11) Protokoli redundantnosti prvog skoka: FHRP.
12) Sigurnost računalne mreže i virtualne privatne mreže: VPN.
13) Globalne mreže i korišteni protokoli: PPP, HDLC, Frame Relay.
14) Uvod u IPv6, konfiguraciju i usmjeravanje.
15) Upravljanje mrežom i praćenje mreže.
p.s. Možda će se s vremenom popis dopuniti.
U prethodnim člancima već smo radili s mnogim mrežnim uređajima, shvatili kako se međusobno razlikuju i ispitali od čega se sastoje okviri, paketi i drugi PDU-ovi. U principu, s tim znanjem možete organizirati jednostavnu lokalnu mrežu i raditi u njoj. Ali svijet ne miruje. Sve je više uređaja koji opterećuju mrežu ili, još gore, predstavljaju prijetnju sigurnosti. I, u pravilu, "opasnost" se pojavljuje prije "sigurnosti". Sada ću to pokazati najjednostavnijim primjerom.
Rutere i različite podmreže za sada nećemo dirati. Recimo da su svi čvorovi na istoj podmreži.
Odmah ću dati popis IP adresa:
- PC1 - 192.168.1.2/24
- PC2 - 192.168.1.3/24
- PC3 - 192.168.1.4/24
- PC4 - 192.168.1.5/24
- PC5 - 192.168.1.6/24
- PC6 - 192.168.1.7/24
Ako ga želite vidjeti u animaciji, otvorite spojler (pokazuje ping od PC1 do PC5).
Rad mreže u jednoj domeni emitiranja
Lijepo ha? U prethodnim člancima smo već više puta govorili o radu ARP protokola, ali to je bilo prošle godine, pa ću ukratko objasniti. Budući da PC1 ne zna MAC adresu (ili adresu sloja veze) PC2, šalje ARP izviđača da ga obavijesti. Dolazi do prekidača, odakle se releira na sve aktivne portove, odnosno na PC2 i na središnji prekidač. Od središnjeg prekidača će letjeti do susjednih prekidača i tako dalje, dok ne stigne do svih. Ovo nije mala količina prometa uzrokovana jednom ARP porukom. Dobili su ga svi članovi mreže. Veliki i nepotreban promet je prvi problem. Drugo pitanje je sigurnost. Mislim da su primijetili da je poruka stigla čak i do računovodstva čija računala u tome uopće nisu sudjelovala. Svaki napadač koji se poveže na bilo koji od prekidača imat će pristup cijeloj mreži. U principu, mreže su tako funkcionirale. Računala su bila u okruženju istog kanala i bila su odvojena samo uz pomoć usmjerivača. No vrijeme je prolazilo i bilo je potrebno riješiti ovaj problem na razini podatkovne veze. Cisco je kao pionir osmislio vlastiti protokol koji je označavao okvire i određivao pripadnost određenom kanalnom okruženju. Zvalo se ISL (inter-switch link)... Svima se svidjela ideja, a IEEE je odlučio razviti sličan otvoreni standard. Standard je dobio ime 802,1q... Dobio je ogromnu distribuciju i Cisco se također odlučio prebaciti na njega.
A upravo se VLAN tehnologija temelji na radu 802.1q protokola. Počnimo pričati o njoj.
U trećem dijelu pokazao sam vam kako izgleda ethernet okvir. Pogledajte ga i osvježite sjećanje. Ovako izgleda okvir bez oznake.
Pogledajmo sada označenu.
Kao što vidite, razlika je u tome što je određena Označiti... To je ono što nas zanima. Kopajmo dublje. Sastoji se od 4 dijela.
1) TPID (Tag Protocol ID) ili Tagged Protocol Identifier- sastoji se od 2 bajta i uvijek je 0x8100 za VLAN.
2) PCP (Priority Code Point) ili vrijednost prioriteta- sastoji se od 3 bita. Koristi se za određivanje prioriteta prometa. Cool i bradati sistemski administratori znaju kako pravilno upravljati njime i upravljati njime kada različit promet (glas, video, podaci, itd.)
3) CFI (Canonical Format Indicator) ili Canonical Format Indicator- jednostavno polje koje se sastoji od jednog bita. Ako je 0, onda je ovo standardni format za MAC adresu.
4) VID (engleski VLAN ID) ili VLAN ID- sastoji se od 12 bita i pokazuje u kojem se VLAN-u okvir nalazi.
Želim vam skrenuti pozornost na činjenicu da su okviri označeni između mrežnih uređaja (prekidači, usmjerivači itd.), a okviri nisu označeni između krajnjeg čvora (računalo, prijenosno računalo) i mrežnog uređaja. Stoga port mrežnog uređaja može biti u 2 stanja: pristup ili deblo.
- Pristupni priključak ili pristupni priključak- port koji se nalazi u određenom VLAN-u i prenosi neoznačene okvire. Obično je to port okrenut prema korisničkom uređaju.
- Trank port ili trunk port- port za prijenos označenog prometa. Obično se ovaj priključak uzdiže između mrežnih uređaja.
Upisujem tim pokazati vlan.
Nekoliko stolova je poredano. Zapravo, važno nam je samo ono prvo. Sada ću vam pokazati kako ga čitati.
1 stupac je VLAN broj. Ovdje je u početku prisutan broj 1 - ovo je standardni VLAN, koji je u početku prisutan na svakom prekidaču. Obavlja još jednu funkciju, o kojoj ću pisati u nastavku. Prisutni su i rezervirani od 1002-1005. Ovo je za druge kanalske medije koji se trenutno gotovo ne koriste. Ni njih ne možete izbrisati.
Switch (config) #no vlan 1005 Zadani VLAN 1005 ne može se izbrisati.
Prilikom brisanja, Cisco prikazuje poruku da se ovaj VLAN ne može izbrisati. Stoga živimo i ne diramo ova 4 VLAN-a.
2 stupac je naziv VLAN-a. Prilikom izrade VLAN-a možete, prema vlastitom nahođenju, smisliti smislena imena za njih kako biste ih kasnije identificirali. Već postoji default, fddi-default, token-ring-default, fddinet-default, trnet-default.
3 stupac- status. Ovdje je prikazano stanje VLAN-a. Trenutno je aktivan VLAN 1 ili default, a sljedeća 4 su act/unsup (iako je aktivan, ali nije podržan).
4 stupac- luke. Ovo pokazuje kojim VLAN-ovima pripadaju portovi. Sada, kada još ništa nismo dirali, oni su u zadanom.
Počnimo s konfiguriranjem prekidača. Dobra je praksa da svojim prekidačima date smislena imena. Što ćemo napraviti. dovodim ekipu.
Switch (config) #hostname CentrSW CentrSW (config) #
Ostali su konfigurirani na isti način, pa ću vam pokazati ažurirani dijagram topologije.
Počnimo sa SW1. Prvo, napravimo VLAN na prekidaču.
SW1 (config) #vlan 2 - kreirajte VLAN 2 (VLAN 1 je rezerviran prema zadanim postavkama, pa uzimamo sljedeći). SW1 (config-vlan) #name Dir-ya - ulazimo u postavke VLAN-a i dajemo mu ime.
VLAN stvoren. Sada prijeđimo na luke. FastEthernet0 / 1 gleda na PC1, a FastEthernet0 / 2 gleda na PC2. Kao što je ranije spomenuto, okviri između njih moraju se prenijeti neoznačeni, pa ćemo ih staviti u Access stanje.
SW1 (config) #sučelje fastEthernet 0/1 - idite na postavljanje 1. porta. SW1 (config-if) #switchport način pristupa - stavite port u način pristupa. SW1 (config-if) #switchport pristupni vlan 2 - dodijelite port 2. VLAN-u. SW1 (config) #sučelje fastEthernet 0/2 - idite na postavku 2. porta. SW1 (config-if) #switchport način pristupa - stavite port u način pristupa. SW1 (config-if) #switchport pristupni vlan 2 - dodijelite port 2. VLAN-u.
Budući da su oba porta dodijeljena istom VLAN-u, još uvijek se mogu konfigurirati kao grupa.
SW1 (config) #raspon sučelja fastEthernet 0 / 1-2 - to jest, odaberite bazen i tada je postavka slična. SW1 (config-if-range) #switchport način pristupa SW1 (config-if-range) #switchport access vlan 2
Konfigurirani pristupni portovi. Sada postavimo trunk između SW1 i CentrSW.
SW1 (config) #sučelje fastEthernet 0/24 - idite na postavljanje 24. porta. SW1 (config-if) #switchport mode trunk - prijenos porta u trunk način rada. % LINEPROTO-5-UPDOWN: Linijski protokol na sučelju FastEthernet0 / 24, promijenjeno stanje na dolje% LINEPROTO-5-UPDOWN: Linijski protokol na sučelju FastEthernet0 / 24, promijenjeno stanje na gore
Odmah vidimo da se port rekonfigurirao. U principu, ovo je dovoljno za rad. Ali sa sigurnosne točke gledišta, prijenos bi trebao biti dopušten samo onim VLAN-ovima koji su stvarno potrebni. Započnimo.
SW1 (config-if) #switchport trunk dopušteno vlan 2 - smijemo prenositi samo 2. VLAN.
Bez ove naredbe, svi dostupni VLAN-ovi će se prenijeti. Pogledajmo kako se tablica promijenila s naredbom pokazati vlan.
Pojavio se 2. VLAN s imenom Dir-ya i vidimo fa0 / 1 i fa0 / 2 portove koji mu pripadaju.
Za prikaz samo gornje tablice možete koristiti naredbu pokazati vlan brief.
Također možete skratiti izlaz navođenjem određenog VLAN ID-a.
Ili njegovo ime.
Sve informacije o VLAN-u pohranjuju se u flash memoriju u datoteci vlan.dat.
Kao što vidite, niti jedan tim nema podatke o prtljažniku. Može se vidjeti drugom naredbom show sučelja deblo.
Postoje informacije o trunk portovima i koje VLAN-ove prenose. Tu je i kolona Izvorni vlan... Upravo to je promet koji ne treba označavati. Ako neoznačeni okvir stigne na prekidač, on se automatski dodjeljuje Native Vlanu (prema zadanim postavkama, au našem slučaju, to je VLAN 1). Native VLAN je moguć, a mnogi kažu da ga treba mijenjati iz sigurnosnih razloga. Da biste to učinili, u načinu konfiguracije trunk porta trebate upotrijebiti naredbu - switchport trunk izvorni vlan X, gdje x- broj dodijeljenog VLAN-a. U ovoj topologiji nećemo se mijenjati, ali je korisno znati kako to učiniti.
Ostaje konfigurirati ostale uređaje.
CentrSW:
Središnji prekidač je ljepilo, što znači da mora biti svjestan svih VLAN-ova. Stoga ih prvo kreiramo, a zatim sva sučelja prebacimo u trunk način rada.
CentrSW (config) #vlan 2 CentrSW (config-vlan) # naziv Dir-ya CentrSW (config) #vlan 3 CentrSW (config-vlan) # naziv buhgalter CentrSW (config) #vlan 4 CentrSW (config-vlan) # naziv otdel -kadrov CentrSW (config) #raspon sučelja fastEthernet 0 / 1-3 CentrSW (config-if-range) #switchport mode trunk
Ne zaboravite spremiti konfiguraciju. Naredba kopiraj run-config startup-config.
SW2 (config) #vlan 3 SW2 (config-vlan) #name buhgalter SW2 (config) #raspon sučelja fastEthernet 0 / 1-2 SW2 (config-if-range) #switchport mode pristup SW2 (config-if-range) # switchport pristup vlan 3 SW2 (config) #sučelje fastEthernet 0/24 SW2 (config-if) #switchport mode trunk SW2 (config-if) #switchport trunk dopušteno vlan 3
SW3:
SW3 (config) #vlan 4 SW3 (config-vlan) #name otdel kadrov SW3 (config) #raspon sučelja fastEthernet 0 / 1-2 SW3 (config-if-range) #switchport mode pristup SW3 (config-if-range) #switchport access vlan 4 SW3 (config) #interface fastEthernet 0/24 SW3 (config-if) #switchport mode trunk SW3 (config-if) #switchport trunk dopušteno vlan 4
Imajte na umu da smo podigli i konfigurirali VLAN, ali smo ostavili isto adresiranje hosta. To jest, gotovo svi čvorovi su na istoj podmreži, ali odvojeni VLAN-ovima. Ne možete to učiniti. Svakom VLAN-u mora biti dodijeljena posebna podmreža. To sam učinio isključivo u obrazovne svrhe. Kad bi svaki odjel sjedio na vlastitoj podmreži, tada bi bili a priori ograničeni, budući da prekidač ne može usmjeravati promet s jedne podmreže na drugu (plus to je već ograničenje na razini mreže). I moramo ograničiti odjele na razini poveznica.
Ponovno pingujem PC1 na PC3.
ARP je u tijeku, koji nam je sada potreban. otvorimo ga.
Zasad ništa novo. ARP je inkapsuliran u ethernetu.
Okvir stiže do prekidača i označava se. Sada nema običnog Etherneta, već 802.1q. Dodana su polja o kojima sam ranije pisao. to TPIDšto je 8100 i ukazuje da je 802.1q. I TCI koji kombinira 3 polja PCP, CFI i VID... Broj u ovom polju je VLAN broj. Idemo dalje.
Nakon oznake šalje okvir na PC2 (budući da je u istom VLAN-u) i na središnji prekidač preko trunk porta.
Budući da nije bilo striktno propisano koje vrste VLAN-a proslijediti na koje portove, to će poslati na oba prekidača. I ovdje prekidači, nakon što su vidjeli VLAN broj, razumiju da nemaju uređaje s takvim VLAN-om i hrabro ga odbace.
PC1 čeka odgovor koji nikada ne dolazi. Možete ga vidjeti u obliku animacije ispod spojlera.
Animacija
Sada sljedeća situacija. Za člana Uprave prima se još jedna osoba, ali u uredu ravnateljstva nema mjesta te se jedno vrijeme traži da se osoba smjesti u računovodstvo. Mi rješavamo ovaj problem.
Povezali smo računalo na FastEthernet 0/3 port prekidača i dodijelili IP adresu 192.168.1.8/24.
Sada ću konfigurirati prekidač SW2... Budući da računalo mora biti u 2. VLAN-u, za koji switch ne zna, kreirat ćemo ga na switchu.
SW2 (config) #vlan 2 SW2 (config-vlan) #name Dir-ya
Zatim konfiguriramo FastEthernet 0/3 port, koji gleda na PC7.
SW2 (config) #sučelje fastEthernet 0/3 SW2 (config-if) #switchport način pristupa SW2 (config-if) #switchport pristup vlan 2
I posljednja stvar je konfigurirati priključak za trunk.
SW2 (config) #sučelje fastEthernet 0/24 SW2 (config-if) #switchport trunk dopušteno vlan add 2 - obratite pozornost na ovu naredbu. Naime, ključna riječ "dodaj". Ako ne dodate ovu riječ, tada ćete izbrisati sve ostale VLAN-ove dopuštene za prijenos na ovom portu. Stoga, ako ste već podigli deblo na portu i prenijeli su se drugi VLAN-ovi, onda morate dodati ovaj način.
Da bi okviri lijepo išli, ispravit ću središnji prekidač CentrSW.
CentrSW (config) #sučelje fastEthernet 0/1 CentrSW (config-if) #switchport trunk dopušteno vlan 2 CentrSW (config) #sučelje fastEthernet 0/2 CentrSW (config-if) #switchport trunk dopušteno vlan 2,3 CentrSW (config) #sučelje fastEthernet 0/3 CentrSW (config-if) #switchport trunk dopušteno vlan 4
Provjerite vrijeme. Pingiram PC1 na PC7.
Do sada je cijeli put sličan prethodnom. Ali od ovog trenutka (sa donje slike) središnji prekidač će donijeti drugačiju odluku. Prima okvir i vidi da je označen s 2. VLAN-om. To znači da ga trebate poslati samo na mjesto gdje je to dopušteno, odnosno na fa0 / 2 port.
I tako dolazi do SW2. Otvaramo ga i vidimo da je još uvijek označeno. Ali sljedeći čvor je računalo i oznaka se mora ukloniti. Kliknite na "Outbound PDU Details" da vidite kako će okvir izletjeti iz prekidača.
I doista. Prekidač će poslati okvir u "čistom" obliku, odnosno bez oznaka.
ARP doseže PC7. Otvaramo ga i uvjeravamo se da je neoznačeni okvir PC7 sam sebe prepoznao i šalje odgovor.
Otvaramo okvir na prekidaču i vidimo da će biti poslan označen za slanje. Nadalje, okvir će putovati istim putem kako je došao.
ARP doseže PC1, što je označeno kvačicom na omotnici. Sada zna MAC adresu i pokreće ICMP.
Otvaramo paket na prekidaču i vidimo istu sliku. Na razini veze, okvir je označen prekidačem. Tako će biti sa svakom porukom.
Vidimo da paket uspješno stiže do PC7. Neću pokazivati put natrag, jer je sličan. Ako nekoga zanima, cijeli put možete vidjeti u animaciji ispod spojlera ispod. A ako želite sami proniknuti dublje u ovu topologiju, prilažem poveznicu na laboratorij.
VLAN logika
Ovo je u osnovi najpopularnija upotreba VLAN-ova. Bez obzira na njihovu fizičku lokaciju, možete logično kombinirati čvorove u grupe, izolirajući ih na taj način od drugih. Vrlo je zgodno kada zaposlenici fizički rade na različitim lokacijama, ali moraju biti ujedinjeni. I naravno, sa sigurnosne točke gledišta, VLAN-ovi su nezamjenjivi. Glavna stvar je da ograničen broj ljudi ima pristup mrežnim uređajima, ali ovo je zasebna tema.
Postignuta ograničenja na razini podatkovne veze. Promet više ne ide nikamo, već se odvija strogo kako je predviđeno. Ali sada se postavlja pitanje da odjeli moraju međusobno komunicirati. A budući da se nalaze u različitim kanalnim okruženjima, u igri dolazi usmjeravanje. No prije nego počnemo, posložimo topologiju. Prva stvar na koju možemo staviti ruku je adresiranje čvorova. Ponavljam da svaki odjel mora biti na svojoj podmreži. Ukupno dobijemo:
- Direkcija - 192.168.1.0/24
- Računovodstvo - 192.168.2.0/24
- Odjel ljudskih potencijala - 192.168.3.0/24
Nakon što su podmreže definirane, odmah se obraćamo čvorovima.
- PC1:
IP: 192.168.1.2
Maska: 255.255.255.0 ili / 24
Pristupnik: 192.168.1.1 - PC2:
IP: 192.168.1.3
Maska: 255.255.255.0 ili / 24
Pristupnik: 192.168.1.1 - PC3:
IP: 192.168.2.2
Maska: 255.255.255.0 ili / 24
Pristupnik: 192.168.2.1 - PC4:
IP: 192.168.2.3
Maska: 255.255.255.0 ili / 24
Pristupnik: 192.168.2.1 - PC5:
IP: 192.168.3.2
Maska: 255.255.255.0 ili / 24
Pristupnik: 192.168.3.1 - PC6:
IP: 192.168.3.3
Maska: 255.255.255.0 ili / 24
Pristupnik: 192.168.3.1 - PC7:
IP: 192.168.1.4
Maska: 255.255.255.0 ili / 24
Pristupnik: 192.168.1.1
Čvorovi su dodali parametar kao što je adresa pristupnika. Ovu adresu koriste kada trebaju poslati poruku hostu na drugoj podmreži. Prema tome, svaka podmreža ima svoj pristupnik.
Ostaje konfigurirati usmjerivač, a ja otvaram njegov CLI. Po tradiciji dat ću smisleno ime.
Usmjerivač (config) #hostname Gateway Gateway (config) #
Zatim prijeđimo na konfiguriranje sučelja.
Gateway (config) #interface fastEthernet 0/0 - idite na potrebno sučelje. Gateway (config-if) #bez isključivanja - omogućite ga. % LINK-5-CHANGED: sučelje FastEthernet0 / 0, promijenjeno stanje na gore% LINEPROTO-5-UPDOWN: Linijski protokol na sučelju FastEthernet0 / 0, promijenjeno stanje na gore
Sada pažnja! Uključili smo sučelje, ali na njega nismo objesili IP adresu. Činjenica je da je potrebna samo veza ili kanal s fizičkog sučelja (fastethernet 0/0). Ulogu pristupnika obavljat će virtualna sučelja ili podsučelja. Trenutno postoje 3 vrste VLAN-a. To znači da će postojati 3 podsučelja. Krenimo s konfiguriranjem.
Gateway (config) #interface fastEthernet 0 / 0.2 Gateway (config-if) #encapsulation dot1Q 2 Gateway (config-if) #ip adresa 192.168.1.1 255.255.255.0 Gateway (config) #netconfig Gateway /fast. ) #encapsulation dot1Q 3 Gateway (config-if) #ip adresa 192.168.2.1 255.255.255.0 Gateway (config) #sučelje fastEthernet 0 / 0.4 Gateway (config-if) #encapsulation dot12 gate12 #config adresa (config-if) .3.1 255.255.255.0
Usmjerivač je konfiguriran. Idemo do središnjeg prekidača i na njemu konfigurirati trunk port tako da prosljeđuje označene okvire na usmjerivač.
CentrSW (config) #sučelje fastEthernet 0/24 CentrSW (config-if) #switchport mode trunk CentrSW (config-if) #switchport trunk dopušteno vlan 2,3,4
Konfiguracija je završena i prijeđimo na praksu. Pingiram PC1 na PC6 (tj. 192.168.3.3).
PC1 nema pojma tko je PC6 ili 192.168.3.3, ali zna da se nalaze na različitim podmrežama (kako on razumije, to je opisano u prethodnom članku). Stoga će poslati poruku kroz zadani pristupnik, čija je adresa navedena u njegovim postavkama. Iako PC1 zna IP adresu zadanog gatewaya, nedostaje mu MAC adresa za potpunu sreću. I on koristi ARP.
Bilješka. Kada okvir stigne u CentrSW, prekidač ga ne emitira samo nikome. Emitira samo na one portove gdje je dopušten prolaz 2. VLAN-a. Odnosno, na ruter i na SW2 (u 2. VLAN-u sjedi korisnik).
Usmjerivač se prepoznaje i šalje odgovor (prikazano strelicom). I obratite pozornost na donji okvir. Kada je SW2 primio ARP od središnjeg prekidača, slično ga nije poslao na sva računala, već je poslao samo PC7 koji je u 2. VLAN-u. Ali PC7 ga odbacuje jer nije za njega. Gledamo dalje.
ARP je dosegao PC1. Sada zna sve i može poslati ICMP. Još jednom, skrećem vam pozornost na činjenicu da će odredišna MAC adresa (link layer) biti adresa usmjerivača, a odredišna IP adresa (mrežni sloj) će biti PC6 adresa.
ICMP dolazi do usmjerivača. Pogleda na svoj stol i shvati da ne poznaje nikoga pod adresom 192.168.3.3. Ispušta pristigli ICMP i dopušta ARP-u izviđanje.
PC6 se prepoznaje i šalje odgovor.
Odgovor stiže do usmjerivača i on dodaje unos u svoju tablicu. ARP tablicu možete vidjeti pomoću naredbe pokazati arp.
Idemo dalje. PC1 nije zadovoljan što nitko ne odgovara i šalje sljedeću ICMP poruku.
Ovaj put ICMP stiže bez problema. Vratit će se istim putem. Samo ću vam pokazati krajnji rezultat.
Prvi paket se izgubio (kao rezultat ARP-a), a drugi je stigao bez problema.
Tko želi vidjeti u animaciji, dobrodošao ispod spojlera.
InterVLAN usmjeravanje
Tako. Postigli smo da ako su čvorovi u istoj podmreži i u istom VLAN-u, onda će ići izravno kroz prekidače. U slučaju kada je potrebno prenijeti poruku u drugu podmrežu i VLAN, ona će se prenijeti preko Gateway routera, koji provodi "inter-vlan" usmjeravanje. Ova topologija se zove "Router na štapiću" ili "Router na štapiću"... Kao što razumijete, vrlo je zgodno. Napravili smo 3 virtualna sučelja i pokrenuli različite okvire s oznakama preko iste žice. Bez korištenja podsučelja i VLAN-a, bilo bi potrebno koristiti zasebno fizičko sučelje za svaku podmrežu, što nije nimalo isplativo.
Inače, ovo pitanje je jako dobro posloženo u ovom videu (video traje oko 3 sata, tako da je link vezan točno na taj trenutak u vremenu). Ako ga nakon čitanja i gledanja videa želite dovršiti vlastitim rukama, prilažem link za preuzimanje.
Bavili smo se VLAN-ovima i idemo na jedan od protokola koji radi s njim.
DTP (Dynamic Trunking Protocol) ili na ruskom dinamički trunk protokol je vlasnički protokol tvrtke Cisco koji se koristi za implementaciju trunk načina rada između prekidača. Iako ovisno o državi, mogu pregovarati i u pristupnom načinu.
DTP ima 4 načina: Dinamički automatski, Dinamički poželjno, Trunk, Pristup. Pogledajmo kako se uklapaju.
| Načini rada | Dinamički auto | Poželjna dinamika | Deblo | Pristup |
|---|---|---|---|---|
| Dinamički auto | Pristup | Deblo | Deblo | Pristup |
| Poželjna dinamika | Deblo | Deblo | Deblo | Pristup |
| Deblo | Deblo | Deblo | Deblo | Nema veze |
| Pristup | Pristup | Pristup | Nema veze | Pristup |
Odnosno, lijevi stupac je 1. uređaj, a gornji red je 2. uređaj. Prema zadanim postavkama, prekidači su u "dinamičkom automatskom" načinu rada. Ako pogledate tablicu mapiranja, tada se dva prekidača u "dinamičkom automatskom" načinu rada usklađuju u "pristupnom" načinu. Hajdemo to provjeriti. Stvorim novi laboratorij i dodam 2 prekidača.
Neću ih još povezivati. Moram provjeriti jesu li oba prekidača u "dinamičkom automatskom" načinu rada. Provjerit ću s timom show interfaces switchport.
Rezultat ove naredbe je vrlo velik, pa sam ga izrezao i istaknuo točke interesa. Počnimo s Administrativni način rada... Ova linija pokazuje u kojem od 4 načina rada određeni port na prekidaču. Provjerite jesu li priključci na oba prekidača u "Dynamic auto" načinu rada. I linija Operativni način rada pokazuje u kojem su načinu rada pristali raditi. Nismo ih još spojili, pa su pali.
Odmah ću vam dati dobar savjet. Kada testirate bilo koji protokol, koristite filtre. Onemogućite prikaz rada svih protokola koji vam nisu potrebni.
Stavio sam CPT u način simulacije i filtrirao sve protokole osim DTP-a.
Mislim da je tu sve jasno. Povezujem prekidače kabelom i, kada su veze podignute, jedan od prekidača generira DTP poruku.
Otvorim ga i vidim da je DTP inkapsuliran u Ethernet okviru. Šalje ga na multicast adresu "0100.0ccc.cccc", koja se odnosi na DTP, VTP, CDP protokole.
I obratit ću pažnju na 2 polja u DTP zaglavlju.
1) DTP vrsta- ovdje pošiljatelj ubacuje prijedlog. Odnosno, na koji način želi pristati. U našem slučaju predlaže dogovor oko "pristupa".
2) MAC adresa susjeda- u ovo polje upisuje MAC adresu svoje luke.
Šalje i čeka reakciju susjeda.
Poruka stiže do SW1 i generira odgovor. Gdje također pregovara o načinu "pristupa", ubacuje svoju MAC adresu i šalje je na put do SW2.
DTP uspješno stiže. Teoretski su se morali dogovoriti u načinu "pristup". Provjerit ću.
Očekivano, pregovarali su u "pristupnom" načinu.
Netko kaže da je tehnologija prikladna i koristi je. Ali jako ne preporučujem korištenje ovog protokola na svojoj mreži. Nisam jedini koji ovo preporučuje, a sada ću objasniti zašto. Poanta je da ovaj protokol otvara veliku sigurnosnu rupu. Otvorit ću laboratorij, koji se bavio radom "Router on stick" i tamo dodati još jedan prekidač.
Sada ću ući u postavke novog prekidača i tvrdo kodirati port da radi u trunk modu.
New_SW (config) #sučelje fastEthernet 0/1 New_SW (config-if) #switchport mode trunk
Složim ih i vidim kako se uklapaju.
Sve je točno. "Dinamički automatski" i "trunk" načini su usklađeni s deblo... Sada čekamo da netko bude aktivan. Recimo da je PC1 odlučio nekome poslati poruku. Generira ARP i pušta u mrežu.
Preskočimo njegov put do trenutka kada dođe do SW2.
I evo zabavnog dijela.
On ga šalje na novo spojeni prekidač. Objašnjavam što se dogodilo. Čim se s njim dogovorimo oko prtljažnika, on mu počinje slati sve pristigle okvire. Iako dijagram pokazuje da prekidač ispušta okvire, to ne znači ništa. Možete spojiti bilo koji njuškalo na prekidač ili umjesto prekidača i mirno gledati što se događa na mreži. Čini se da je presreo bezopasni ARP. Ali ako pogledate dublje, možete vidjeti da su MAC adresa "0000.0C1C.05DD" i IP adresa "192.168.1.2" već poznate. To jest, PC1 se izdao bez razmišljanja. Napadač sada zna za takvo računalo. Osim toga, zna da sjedi u 2. VLAN-u. Tada može učiniti mnogo. Najobičnije je promijeniti svoju MAC adresu, IP adresu, brzo se dogovoriti u Accessu i lažno predstavljati PC1. Ali ono najzanimljivije. Uostalom, možda to nećete odmah shvatiti. Obično, kada registriramo način rada porta, on se odmah prikazuje u konfiguraciji. ulazim prikaži run-config.
Ali ovdje su postavke porta prazne. ulazim show interfaces switchport i pomicanje do fa0 / 4.
I ovdje vidimo da je deblo pregovarano. Show running-config ne pruža uvijek sveobuhvatne informacije. Stoga zapamtite i druge naredbe.
Mislim da je jasno zašto ne možete vjerovati ovom protokolu. Čini se da olakšava život, ali u isto vrijeme može stvoriti veliki problem. Stoga se oslonite na ručnu metodu. Prilikom konfiguriranja, odmah odredite za sebe koji će portovi raditi u trunk modu, a koji u pristupu. Najvažnije, uvijek isključite pregovore. Da se prekidači ne pokušavaju ni s kim dogovoriti. To se radi naredbom "switchport nonegotiate".
Prijeđimo na sljedeći protokol.
VTP (VLAN Trunking Protocol) je vlasnički protokol tvrtke Cisco koji se koristi za razmjenu informacija o VLAN-ovima.
Zamislite situaciju da imate 40 prekidača i 70 VLAN-ova. Iz dobrog razloga, morate ih ručno kreirati na svakom prekidaču i registrirati koji portovi magistralnih kanala dopuštaju prijenos. Ovo je mukotrpan i dug posao. Stoga ovaj zadatak može preuzeti VTP. Na jednom prekidaču stvarate VLAN-ove, a svi ostali su sinkronizirani s njegovom bazom. Pogledajte sljedeću topologiju.
Ovdje se nalaze 4 prekidača. Jedan od njih je VTP poslužitelj, a druga 3 su klijenti. Oni VLAN-ovi koji će biti kreirani na poslužitelju automatski se sinkroniziraju na klijentima. Objasnit ću kako VTP radi i što može učiniti.
Tako. VTP može stvarati, mijenjati i brisati VLAN-ove. Svaka takva radnja dovodi do činjenice da se broj revizije povećava (svaka radnja povećava broj za +1). Zatim šalje najave u kojima je naznačen broj revizije. Kupci koji prime ovu obavijest uspoređuju svoj broj revizije s onim koji je stigao. A ako je primljeni broj veći, oni s njim sinkroniziraju svoju bazu. U suprotnom, oglas se ignorira.
Ali to nije sve. VTP ima uloge. Prema zadanim postavkama, svi prekidači rade kao poslužitelj. Pričat ću vam o njima.
- VTP poslužitelj... On sve zna napraviti. To jest, stvara, mijenja, briše VLAN-ove. Ako dobije oglas u kojem je revizija starija od njega, onda je sinkroniziran. Stalno šalje najave i reemituje od susjeda.
- VTP klijent- Ova je uloga već ograničena. Ne možete kreirati, mijenjati ili brisati VLAN-ove. Sav VLAN prima i sinkronizira s poslužitelja. Povremeno obavještava susjede o svojoj VLAN bazi.
- VTP transparentan- ovo je tako nezavisna uloga. Može stvarati, mijenjati i brisati VLAN samo u svojoj bazi. Nikome ništa ne nameće i ni od koga ništa ne prima. Ako primi nekakav oglas, prosljeđuje ga dalje, ali se ne sinkronizira sa svojom bazom. Ako se u prethodnim ulogama, sa svakom promjenom, povećavao broj revizije, tada je u ovom načinu rada broj revizije uvijek 0.
Čitamo teoriju i prelazimo na praksu. Provjerimo je li središnji prekidač u načinu rada poslužitelja. Unesite naredbu prikaži vtp status.
Vidimo da VTP način rada: poslužitelj. Također možete primijetiti da je VTP verzija druga. Nažalost, CPT verzija 3 nije podržana. Verzija revizije je nula.
Sada konfigurirajmo donje prekidače.
SW1 (config) #vtp način rada klijent Postavljanje uređaja na VTP CLIENT način rada.
Vidimo poruku da je uređaj prešao u klijentski način rada. Ostalo je konfigurirano na isti način.
Da bi uređaji razmjenjivali oglase, moraju biti u istoj domeni. I tu postoji jedna posebnost. Ako uređaj (u načinu rada poslužitelja ili klijenta) ne pripada nijednoj domeni, tada će nakon prvog primljenog oglasa otići na oglašenu domenu. Ako je klijent član neke domene, tada neće prihvaćati oglase s drugih domena. Otvorimo SW1 i provjerimo da ne pripada nijednoj domeni.
Pazimo da ovo bude prazno.
Sada idemo na središnji prekidač i prenosimo ga na domenu.
CentrSW (config) #vtp domena cisadmin.ru Promjena naziva VTP domene iz NULL u cisadmin.ru
Vidimo poruku da je prenesena na domenu cisadmin.ru.
Provjerimo stanje.
I doista. Naziv domene je promijenjen. Imajte na umu da je broj revizije trenutno nula. Promijenit će se čim stvorimo VLAN na njemu. Ali prije nego što ga stvorite, morate staviti simulator u način simulacije da vidite kako će generirati oglase. Kreiramo 20. VLAN i vidimo sljedeću sliku.
Čim se VLAN stvori i poveća broj revizije, poslužitelj generira reklame. Ima ih dva. Prvo, otvorimo onu s lijeve strane. Ova se objava na ruskom zove "Sažetak oglasa" ili "sažetak oglasa". Ovu najavu generira prekidač svakih 5 minuta, gdje se govori o nazivu domene i trenutnoj reviziji. Pogledajmo kako to izgleda.
U okviru Etherneta uočite odredišnu MAC adresu. Isto je kao gore kada je DTP generiran. To jest, u našem slučaju će na njega odgovoriti samo oni koji imaju pokrenut VTP. Pogledajmo sada sljedeće polje.
Ovdje su samo sve informacije. Idemo kroz najvažnija polja.
- Upravljačko ime domene - naziv same domene (u ovom slučaju, cisadmin.ru).
- Identitet ažuriranja - identifikator programa za ažuriranje. Ovdje se obično upisuje IP adresa. Ali pošto adresa nije dodijeljena prekidaču, polje je prazno
- Update Timestamp - vrijeme ažuriranja. Vrijeme na prekidaču se nije promijenilo, pa je tvorničko vrijeme tu.
- MD5 Digest - MD5 hash. Koristi se za provjeru vjerodajnica. To jest, ako VTP ima lozinku. Nismo promijenili lozinku, tako da je hash zadana postavka.
Mislim da je ovdje jasno. Zasebno zaglavlje za svaku vrstu VLAN-a. Popis je toliko dugačak da nije stao na ekran. Ali upravo su takvi, osim imena. Neću se gnjaviti, što znači da neću koristiti svaki kod. A u CPT-u su više konvencija.
Da vidimo što će se dalje dogoditi.
Klijenti primaju oglase. Oni vide da je broj revizije veći od njihovog i sinkroniziraju bazu. I šalju poruku poslužitelju da se promijenila baza VLAN-a.
Kako VTP radi
Ovako VTP u osnovi radi. Ali ima vrlo velike nedostatke. A ti nedostaci su u smislu sigurnosti. Objasnit ću na primjeru istog laboratorija. Imamo središnji prekidač na kojem se kreiraju VLAN-ovi, a zatim ih putem multicasta sinkronizira sa svim switchevima. U našem slučaju, on govori o VLAN-u 20. Predlažem da još jednom pogledate njegovu konfiguraciju.
Bilješka. VTP poruka stiže do poslužitelja, gdje je broj revizije veći od njegovog. Shvaća da se mreža promijenila i potrebno joj se prilagoditi. Provjerimo konfiguraciju.
Konfiguracija središnjeg poslužitelja se promijenila i sada će emitirati upravo to.
Sada zamislite da nemamo jedan VLAN, već stotine. Na tako jednostavan način možete staviti mrežu. Naravno, domena se može zaštititi lozinkom i napadaču će biti teže nauditi. Zamislite situaciju da vam je prekidač pokvaren i da ga hitno trebate zamijeniti. Vi ili vaš kolega trčite u skladište po staru centralu i zaboravite provjeriti broj revizije. Ispada da je viši od ostalih. Već ste vidjeli što se dalje događa. Stoga preporučam da ne koristite ovaj protokol. Pogotovo u velikim korporativnim mrežama. Ako koristite VTP verziju 3, slobodno stavite prekidače u "Off" način rada. Ako se koristi 2. verzija, prijeđite na "transparentni" način rada. Dodaj oznake
Danas ću započeti mali niz članaka o VLAN-ovima. Krenimo od toga što je, čemu služi, kako ga postaviti, a mi ćemo ići dublje i postupno istraživati, ako ne i sve najviše od svih mogućnosti koje nam pružaju VLAN-ovi.
Dakle, zapamtite, razgovarali smo o takvom konceptu kao? Mislim da se sjećaš. Također smo razgovarali o tome da postoji nekoliko vrsta adresa:.
Na temelju toga napravit ćemo još jedan uvodni koncept. Broadcast domena. Što on zapravo jest?
Ako je okvir/paket poslan, emitiran (ako je ovo okvir onda su svi bitovi u polju Destination Address jednaki jedan, ili će u 16. obliku MAC adresa biti: FF FF FF FF FF FF), tada će ovaj okvir biti proslijeđen na sve portove prekidača, osim na onaj s kojeg je primljen ovaj okvir. To će se dogoditi kada, na primjer, naš prekidač nije upravljan, ili ako se njime upravlja, ali su svi u istom VLAN-u (više o tome kasnije).
Ovo je popis uređaja koji primaju te okvire emitiranja i naziva se domena emitiranja.
Sada odlučimo, što je VLAN?
VLAN - Virtualna lokalna mreža, t.j. svojevrsna virtualna mreža. Čemu služi?
VLAN nam omogućuje da podijelimo domene za emitiranje u jednom prekidaču. Oni. ako imamo jedan switch, dodjeljujemo neke portove jednom VLAN-u, drugi drugom. I imat ćemo dva različita domena za emitiranje. Naravno, to ne ograničava mogućnosti. O njima ću dalje, sve postupno.
Ukratko, VLAN omogućuje administratoru da stvori mrežu fleksibilnije, dijeleći je na neke podmreže (na primjer, mreža računovođa, mreža menadžera i tako dalje), drugim riječima, VLAN pomaže ujediniti uređaje s nekim zajedničkim skup zahtjeva u jednu skupinu, te ga odvojiti od drugih tako odvojenih skupina.
Odmah ću rezervirati da VLAN-ovi rade na OSI Layer 2.
Zapamtite, kada smo pogledali okvir, tamo nije bilo polja za VLAN. Kako onda možete odrediti kojem VLAN-u pripada određeni okvir?
Postoji nekoliko standarda.
1. IEEE 802.1Q - Ovaj standard je otvoren. Ovaj standard označava ovaj ili onaj okvir, koji je "vezan" za neko VLAN označavanje.
Označavanje je funkcija prekidača (ili bilo kojeg drugog uređaja koji "razumije" VLAN) koji umeće 4-bajtnu oznaku u ethernet okvir. Postupak označavanja ne mijenja podatke zaglavlja, tako da oprema koja ne podržava VLAN tehnologiju može lako prenijeti takav okvir dalje preko mreže uz zadržavanje oznake.
Ovako će okvir izgledati nakon umetanja VLAN oznake.
Na temelju njihove slike vidimo da se VLAN oznaka sastoji od 4 polja, opisujemo ih:
- 2 bajta Tag Protocol Identifier (TPID) - ovo je identifikator protokola, u našem slučaju to je 802.1Q, u 16. obliku ovo polje će izgledati ovako: 0x8100.
- Prioritet — polje za postavljanje prioriteta prema standardu 802.1p (o tome u sljedećim člancima). Veličina ovog polja je 3 bita (8 vrijednosti 0-7).
- Indikator kanonskog formata (CFI). Indikator kanonskog formata, veličina ovog polja je 1 bit. Ovo polje označava format mac adrese (1 je konusno, 0 nije kanonsko.)
- VLAN ID, zapravo, ovo je ono što smo danas okupili za 🙂 VLAN identifikator. Veličina polja je 12 bita, može imati vrijednost od 0 do 4095.
Prilikom korištenja VLAN-a (tagiranja) prema standardu 802.1Q, mijenjaju se okvir, stoga je potrebno ponovno izračunati FCS vrijednost, što zapravo radi prekidač.
U standardu 802.1Q postoji koncept kao što je Native VLAN, prema zadanim postavkama Native VLAN ID je jedan (možete promijeniti), Native VLAN karakterizira činjenica da ovaj VLAN nije označen.
2. Inter-switch-link (ISL). Protokol koji je razvio Cisco i može se koristiti samo na vlastitoj opremi.
Ovaj protokol je razvijen čak i prije usvajanja 802.1Q.
ISL trenutno više nije podržan na novom hardveru, ali unatoč tome možete naići na ovaj protokol u radu pa se moramo upoznati s njim.
Za razliku od 802.1Q, gdje je provedeno jednostavno označavanje okvira (umetanje 4 bajta u okvir), ovdje se koristi tehnologija enkapsulacije, odnosno dodaje se zaglavlje koje sadrži informacije o VLAN-u. VLAN ISL, za razliku od 802.1Q, podržava do 1000 VLAN-ova.
Pogledajmo okvir u grafičkom obliku, kako izgleda ova inkapsulacija.
Ovdje odmah možemo vidjeti prvi i možda najosnovniji nedostatak ISL-a - povećava okvir za 30 bajtova (26 bajta zaglavlje i 4 bajta FCS).
Razmotrimo ISL Header detaljnije, da vidimo što je tamo pohranjeno u toliko bajtova!
- Destination Address (DA) - adresa primatelja, ovdje je naznačena posebna multicast adresa koja označava da je okvir inkapsuliran korištenjem ISL-a. Multicast adresa može biti 0x01-00-0C-00-00 ili 0x03-00-0c-00-00.
- Vrsta - duljina polja 4 bita, označava protokol koji je inkapsuliran u okviru. Može imati nekoliko vrijednosti:
0000 - Ethernet
0001 - Token-Ring
0010 - FDDI
0011 - bankomat
U našem slučaju, budući da razmatramo Ethernet, ova vrijednost će biti jednaka svim 0.
- USER je vrsta "skraćenog" analoga polja Priority u 802.1Q, koji se koristi za postavljanje prioriteta okvira. Iako polje zauzima 4 bita, može imati 4 vrijednosti (u 802.1Q - 8).
- Izvorna adresa (SA) - izvorna adresa, ovo mjesto se zamjenjuje vrijednošću MAC adrese porta s kojeg je ovaj inkapsulirani okvir poslan.
- LEN je duljina okvira. Ne uzima u obzir polja kao što su: DA, TYPE, USER, SA, LEN, FCS. Dakle, ispada da je ova vrijednost jednaka inkapsuliranom okviru - 18 bajtova.
- AAAA03 (SNAP) - SNAP i LLC (ovo polje sadrži vrijednost AAAA03).
- HSA - High Bits of Source Address - 3 visoka bajta MAC adrese (zapamtite da ti bajtovi sadrže kod proizvođača), za Cisco je 00-00-0C
- VLAN - konačno došao do samog glavnog polja. Ovdje je zapravo naveden VLAN ID. Polje je veličine 15 bita.
- BPDU je skraćenica za Bridge Protocol Data Unit i Cisco Discovery Protocol. Polje za BPDU i CDP protokole. Što je to i zašto, saznat ćemo u sljedećim člancima.
- INDX - Indeks, naznačen je indeks porta pošiljatelja, koristi se u dijagnostičke svrhe.
- RES - rezerviran za Token Ring i FDDI. Rezervirano polje za Token Ring i FDDI. Polje ima 16-bitnu veličinu. Ako se koristi ethernet protokol onda se u ovo polje stavljaju sve nule.
- Enkapsulirani okvir je običan okvir koji je inkapsuliran. Ovaj okvir ima svoja polja, kao što su DA, SA, LEN, FCS itd.
- FCS - vlastiti ISL FCS (budući da je okvir potpuno promijenjen, potrebna je nova provjera okvira, za to su namijenjena posljednja 4 bajta).
Možemo izvući neke zaključke u korist 802.1Q.
- Označavanje okviru dodaje samo 4 bajta, za razliku od ISL-a (30 bajtova).
- 802.1Q je podržan na bilo kojoj opremi koja podržava VLAN, dok ISL radi samo na Cisco uređajima, i to ne na svim.
U ovom članku kratko smo pogledali koncept VLAN-a. Dalje ćemo razumjeti detalje.
VLAN (Virtual Local Area Network) je funkcija u usmjerivačima i prekidačima koja vam omogućuje stvaranje više VLAN-ova na jednom fizičkom mrežnom sučelju (Ethernet, Wi-Fi sučelje).
VLAN je dio većeg LAN-a. Najjednostavniji mehanizam za izolaciju različitih podmreža na što je Ethernet, WI-FI sučeljima. Da bi se organizirao VLAN, mrežni prekidač (Kako odabrati mrežni prekidač (prekidač, prekidač)) mora podržavati VLAN tehnologiju i 802.1q protokol.
Prednosti VLAN-a:
povećava broj domena emitiranja, ali smanjuje veličinu svake domene emitiranja, što zauzvrat smanjuje mrežni promet i povećava sigurnost mreže (obje su posljedice povezane zajedno zbog jedne velike domene emitiranja);
smanjuje napor administratora za stvaranje podmreža;
smanjuje količinu opreme, budući da se mreže mogu razdvojiti logički, a ne fizički;
poboljšava upravljanje raznim vrstama prometa.
VLAN uvjeti
Što je Native VLAN? Ovo je koncept u 802.1Q standardu koji znači VLAN na prekidaču, gdje svi okviri idu bez oznake, tj. promet se šalje neoznačen. Prema zadanim postavkama, ovo je VLAN 1. Na nekim modelima prekidača, kao što je cisco, to se može promijeniti navođenjem drugog VLAN-a kao izvornog.
Termin neoznačeno: samo jedan VLAN može primiti sve pakete koji nisu dodijeljeni nijednom VLAN-u (u terminologiji 3Com, Planet, Zyxel - neoznačeno, u Ciscovoj terminologiji - izvorni VLAN). Prekidač će dodati oznake ovog VLAN-a svim primljenim okvirima koji nemaju nikakve oznake.
Deblo VLAN je fizički kanal koji nosi nekoliko VLAN kanala, koji se razlikuju po oznakama (tagovima dodanim paketima). Trankovi se obično stvaraju između "označenih portova" VLAN uređaja: switch-switch ili switch-router. (U Cisco dokumentima, izraz "trunk" se također naziva združivanjem nekoliko fizičkih veza u jednu logičku: Link Aggregation, Port Trunking). Usmjerivač (sloj 3 switch) djeluje kao okosnica za mrežni promet različitih VLAN-ova.
Pojednostavljeno rečeno, vlan je logički kanal unutar fizičkog kanala (kabel), a trunk je skup logičkih kanala (vlans) unutar jednog fizičkog kanala (kabel).
VLAN-ovi se mogu identificirati po:
Porto (najčešća upotreba). VLAN-ovi portova omogućuju vam da identificirate određeni port u VLAN-u. Portovi se mogu definirati pojedinačno, u grupama, u cijelim redovima, pa čak i u različitim prekidačima putem trunk protokola. Ovo je najjednostavniji i najčešće korišteni VLAN način otkrivanja. Ovo je najčešća upotreba ubrizgavanja VLAN-a temeljenog na portovima kada radne stanice koriste TCP/IP protokol za dinamičku konfiguraciju (DHCP). Ispod je slika VLAN-a koji se temelji na portu:
MAC adresa - adresa (vrlo rijetko). VLAN-ovi temeljeni na MAC adresama omogućuju korisnicima da budu na istom VLAN-u čak i ako se korisnik seli s jednog mjesta na drugo. Ova metoda zahtijeva od administratora da odredi MAC adresu svake radne stanice i zatim unese te podatke u prekidač. Ovu metodu može biti vrlo teško riješiti ako je korisnik promijenio MAC adresu. Sve promjene konfiguracije moraju se uskladiti s mrežnim administratorom, što može uzrokovati administrativna kašnjenja.
ID korisnika (vrlo rijetko)
VLAN Linux i D-Link DGS-1100-08P
Postavljanje DGS-1100-08P... Spojimo se na njega na prvom portu. Dodijelimo mu IP 10.90.91.2. Kreirajmo 3 VLAN-a: vlan1 (port 1 (označen)) za korištenje usluge, odnosno samo za konfiguriranje prekidača, vlan22 (port 1 (označen); portovi 2,3,4 (neoznačeni)), vlan35 (port 1 ( označeni); portovi 5.6 (neoznačeni)). Portovi 7.8 se ne koriste i onemogućeni su putem izbornika Port Settings (Speed: Disabled). 
Ističemo da ubuduće D-Link DGS-1100-08P (IP 10.90.91.2) možete kontrolirati samo preko vlan1, odnosno u našem slučaju se administrator sustava mora spojiti na prvi port DGS-1100-08P (Prilikom spajanja na drugi port - prekidač neće dopustiti pristup 10.90.91.2).
Gledamo parametre kreiranog vlana u datotekama ls -l / proc / net / vlan / total 0 -rw ------- 1 root root 0 17. kolovoza 15:06 config -rw ----- -- 1 korijenski korijen 0 17. kolovoza 15:06 vlan1 -rw ------- 1 korijen korijen 0 17. kolovoza 15:06 vlan22
Kreiranje vlan-a putem vconfiga i automatsko učitavanje putem / etc / network / sučelja nije uspjelo, stoga kreiramo datoteku za pokretanje i zapisujemo je u bootstrapping poslužitelja. vlan_create.sh #! / bin / sh -e ip veza dodaj vezu eth4 naziv vlan22 tip vlan id 22 ip adresa dodaj 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 gore
Napravite VLAN pod nazivom vlan22 vezan na eth4 port. Dodijelimo mu IP: 192.168.122.254. ip link dodaj vezu eth4 naziv vlan22 tip vlan id 22 ip adresa dodaj 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 gore
Vlan usluge samo za konfiguraciju prekidača:
ip link dodaj vezu eth4 naziv vlan44 upiši vlan id 1 ip addr dodaj 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 gore ip link dodaj vezu eth4 naziv vlan35 upiši vlan id 35 ip addr dodaj 192.168.91.35 vlan 35 gore vlan.VLAN tehnologija omogućuje podjelu mreže na logičke segmente. Svaki takav logički segment ima svoju vlastitu domenu emitiranja. Unicast, broadcast i multicast promet se prenosi samo između uređaja uključenih u isti VLAN. VLAN se često koristi za odvajanje segmenata IP mreže, s naknadnim usmjeravanjem i filtriranjem prometa između različitih VLAN-ova na usmjerivaču ili na L3 prekidaču.
Kako konfigurirati VLAN na Cisco ruteru možete pronaći u članku Cisco VLAN - konfiguriranje vlan-a na Cisco usmjerivaču. Ovdje ćemo govoriti o konfiguriranju VLAN-a na Cisco Catalyst prekidačima.
Prije konfiguriranja VLAN-a na prekidaču, morate odlučiti hoće li se VLAN Trunking Protocol (VTP) koristiti u mreži ili ne. Korištenje VTP-a olakšava upravljanje (kreiranje, brisanje, preimenovanje) VLAN-a u mreži. U slučaju VTP-a, promjena (VLAN informacije) se može izvršiti centralno na jednom prekidaču, a promjene će se širiti na druge prekidače u mreži. Ako ne koristite VTP, promjene je potrebno izvršiti na svakom prekidaču.
VTP nameće svoja ograničenja: VTP verzije 1 i 2 podržavaju samo osnovni VLAN raspon (1 do 1005), podrška proširenog raspona (1006 do 4094) dostupna je samo u verziji 3 protokola. Podrška za verziju VTP 3 počinje s Cisco IOS verzijom 12.2 ( 52) SE i gore. Razmotrit ćemo postavljanje VTP protokola u drugom članku, ali u ovom članku ćemo pretpostaviti da ne koristimo VTP.
VLAN konfiguracija na prekidaču može se podijeliti u tri faze: kreiranje VLAN-a, konfiguracija porta, provjera.
1. Stvaranje VLAN-ova na Cisco Catalystu
VLAN brojevi (VLAN ID) mogu se kretati od 1 do 4094:
1 - 1005 osnovni raspon (normalni raspon)
1002 - 1005 rezervirano za Token Ring i FDDI VLAN
1006 - 4094 proširenog dometa
Kada kreirate ili mijenjate VLAN, možete postaviti sljedeće parametre:
| VLAN ID | VLAN broj |
| VLAN naziv ( Ime) | VLAN naziv |
| Vrsta VLAN-a ( medija) | Vrsta VLAN-a (Ethernet, Fiber Distributed Data Interface, FDDI naziv mrežnog entiteta, TrBRF ili TrCRF, Token Ring, Token Ring-Net) |
| VLAN stanje ( država) | VLAN stanje (aktivno ili suspendirano) |
| VLAN MTU ( mtu) | Maksimalna veličina podatkovnog bloka koji se može prenijeti na sloju veze |
| REKAO JE ( rekao je) | Identifikator sigurnosne asocijacije - identifikator sigurnosne asocijacije (standard IEEE 802.10) |
| Daljinski SPAN ( daljinski raspon) | Izrada VLAN-a za daljinsko praćenje prometa (U budućnosti, u takvom VLAN-u, možete preslikati promet s bilo kojeg porta, te ga prenijeti kroz trunk na drugi switch, u kojem se promet iz ovog VLAN-a može slati na željeni port sa spojenim njuškalom) |
| Identifikacijski broj mosta za TrBRF VLAN ( most) | Identifikator broja mosta za funkciju TrBRF (Token Ring Bridge Relay Function). Svrha funkcije je stvoriti most od prstenova. |
| Broj zvona za FDDI i TrCRF VLAN ( prsten) | Broj zvona za VLAN tipove FDDI i TrCRF (funkcije releja koncentratora Token Ringa). TrCRF se odnosi na prstenove koji su uključeni u most. |
| Roditeljski VLAN broj za TrCRF VLAN ( roditelj) | Roditeljski VLAN broj za FDDI ili Token Ring VLAN tip |
| Vrsta protokola spojnog stabla (STP) za TrCRF VLAN ( stp tip) | Tip protokola Spanning Tree Protocol (STP) za VLAN tip TrCRF |
| Translacijski VLAN broj 1 ( tb-vlan1) | VLAN broj za primarno mapiranje s jednog tipa VLAN-a na drugi |
| Translacijski VLAN broj 2 ( tb-vlan2) | VLAN broj za sekundarnu konverziju iz jednog tipa VLAN-a u drugi |
U praksi se najčešće pri izradi VLAN-a navodi samo VLAN ID i VLAN naziv.
Zadane vrijednosti:
Za kreiranje VLAN-a trebate:
1. Uđite u privilegirani način rada i unesite traženu lozinku (naredba “ omogućiti«)
Sw1> sw1> omogući lozinku: sw1 #
2. Prebacite se na način globalne konfiguracije (naredba “ konfigurirati terminal«)
Sw1 # sw1 # konfiguriraj terminal Unesite konfiguracijske naredbe, jednu po retku. Završite s CNTL / Z. sw1 (konfiguracija) #
3. Kreirajte VLAN naredbom “ vlan iskaznica ", gdje iskaznica - VLAN broj (nakon kreiranja, konzola će biti u VLAN konfiguracijskom modu, gdje možete postaviti gornje parametre za VLAN)
Sw1 (config) # sw1 (config) #vlan 200 sw1 (config-vlan) #
4. Postavite potrebne parametre za kreirani VLAN (na primjer, naziv)
Sw1 (config-vlan) # sw1 (config-vlan) #name TESTVLAN sw1 (config-vlan) #
Ako u načinu VLAN konfiguracije unesete upitnik, tada će se prikazati parametri koji se mogu postaviti za ovaj VLAN:
Sw1 (config-vlan) #? Naredbe za konfiguraciju VLAN-a: su maksimalni broj skokova za sve Route Explorer za ovaj VLAN (ili nula ako nije naveden) backupcrf Sigurnosna kopija CRF način VLAN mosta Premošćivanje izlaza VLAN-a Primjena promjena, bump revizionog broja i izlaznog načina medija Vrsta medija VLAN mtu VLAN Maksimalni naziv jedinice prijenosa Ascii naziv VLAN-a ne Negirajte naredbu ili postavite njezin zadani roditeljski ID broj roditeljskog VLAN-a FDDI ili VLAN tipa Token Ring VLAN-ova privatni-vlan Konfigurirajte privatni VLAN udaljeni raspon Konfigurirajte kao udaljeni SPAN VLAN ring Ring broj VLAN-ova tipa FDDI ili Token Ring navedenog IEEE 802.10 SAID shutdown Shutdown VLAN komutacijsko stanje Operativno stanje VLAN ste Maksimalan broj skokova Spanning Tree Explorer za ovaj VLAN (ili nula ako nije navedeno) stp Karakteristike poveznog stabla VLAN-a tb -vlan1 ID broj prvog translacijskog VLAN-a za ovaj VLAN (ili nula ako ga nema) tb-vlan2 ID broj drugog translacijskog VLAN-a za ovaj VLAN (ili nula ako ga nema)
5. Izađite iz načina konfiguracije vlan-a (naredba “ Izlaz", Ili" kraj"- izlaz iz načina globalne konfiguracije)
Sw1 (config-vlan) # sw1 (config-vlan) #end sw1 #
Ne zaboravite spremiti konfiguraciju naredbom " kopiraj run-config startup-config„U privilegiranom načinu rada
Sw1 # sw1 # copy running-config startup-config Naziv odredišne datoteke? Konfiguracija zgrade...
VLAN možete izbrisati naredbom “ nema vlana iskaznica "U načinu globalne konfiguracije:
Sw1 (config) # sw1 (config) #nema vlan 200 sw1 (config) #
2. Konfiguriranje portova na Cisco Catalyst
Port na Cisco switchu može biti u jednom od načina:
pristup- priključak je namijenjen za spajanje terminalnog uređaja. Pripada samo jednom VLAN-u. Dolazni promet s uređaja spojenog na priključak označen je VLAN-om navedenim na portu.
deblo- port je namijenjen za spajanje na drugi prekidač ili usmjerivač. Port prenosi označeni promet. Može prenositi promet s jednog ili više VLAN-ova putem jednog fizičkog kabela.
Na Cisco Catalystu možete sami postaviti način rada priključka (trunk ili pristup) ili postaviti automatsko otkrivanje. Prilikom automatskog otkrivanja načina rada, port će se pregovarati sa susjedom (prekidačem ili drugim uređajem spojenim na ovaj port). Način rada priključka se dogovara prijenosom DTP (Dynamic Trunking Protocol) okvira. Za uspješan rad DTP protokola potrebno je da sučelja budu u istoj VTP domeni (ili je jedna od VTP domena null, netočno)
Automatsko otkrivanje načina rada priključka postavlja se naredbom " switchport mod dinamički auto"Ili" "u načinu konfiguracije sučelja.
switchport mod dinamički autoprtljažnik" ili " dinamičan poželjno«
Ako je sučelje postavljeno na " switchport mode dinamičan poželjno"- tada port prelazi u trunk način rada samo ako je port susjednog prekidača postavljen na" deblo" ili " dinamičan poželjno" ili " dinamičan auto«
Ne podržavaju svi uređaji DTP ili mogu pogrešno odašiljati DTP okvire, u ovom slučaju je bolje podesiti način rada (pristup ili trunk) nasilno naredbama " pristup načinu switchport" ili " switchport mode trunk"U načinu konfiguracije sučelja i onemogućite prijenos DTP okvira naredbom" switchport nonegotiate«.
Zadana konfiguracija porta:
Postavljanje porta na način automatskog otkrivanja.
Radnje:
omogućiti«)
konfigurirati terminal«)
sučelje sučelje-id ", gdje sučelje-id - naziv i broj sučelja, na primjer "sučelje GigabitEthernet0 / 21")
- postavite dinamički način rada porta/sučelja (naredba: " switchport mod dinamički auto" ili " switchport mode dinamičan poželjno«)
- (opcionalno) postavite VLAN koji će biti na sučelju ako se port promijeni iz trunk načina u način pristupa, prema zadanim postavkama VLAN 1 (naredba: " switchport pristupni vlan vlan-id ", gdje vlan-id - VLAN broj)
- (opcionalno) postavite Native VLAN, za IEEE 802.1q trunk, prema zadanim postavkama Native VLAN 1 (naredba: " switchport trunk izvorni vlan vlan-id ", gdje vlan-id - izvorni VLAN broj)
- dodajte/uklonite VLAN-ove u prtljažniku, prema zadanim postavkama svi VLAN brojevi su dopušteni (naredbe: " switchport deblo dopušteno vlan add vlan-list "- dodajte VLAN-ove navedene u vlan-list, « switchport deblo dopušteno uklanjanje vlan-a vlan-list "- ukloniti iz magistralnih VLAN-ova navedenih u vlan-list, v vlan-list vlanovi su navedeni odvojeni zarezima bez razmaka, a rasponi odvojeni crticama, na primjer 2.20,30-40,50 ). Možete odmah postaviti popis potrebnih VLAN-ova (uz naredbu: " switchport deblo dopušteno vlan vlan-list «)
nema gašenja«)
Izlaz" ili " kraj»)
Sw1 # konfiguracija terminala Unesite konfiguracijske naredbe, jednu po retku. Završite s CNTL / Z. sw1 (config) #sučelje gigabitEthernet 0/23 sw1 (config-if) #switchport mode dinamički poželjan sw1 (config-if) #switchport access vlan 50 sw1 (config-if) #switchport trunk izvorni vlan 100 sw1) ( #switchport trunk dopušteno vlan 2,30-35,40 sw1 (config-if) #ne shutdown sw1 (config-if) #end sw1 #
U ovom primjeru, port 23 bit će prebačen u trunk način ako je port na susjednom prekidaču postavljen na dinamički automatski ili dinamički disirable ili trunk način. U trank-u će se prenositi samo VLAN 2, VLAN-ovi 30 do 35 i VLAN 40. Kada port radi u trunk modu, dolazni promet koji nije označen (native) bit će smješten (označen) u VLAN 100. Ako port na susjednom prekidaču radi u načinu pristupa, tada će sučelje biti postavljeno na VLAN 50.
Konfiguracija pristupnog porta.
VLAN na pristupnom portu može se postaviti statički ili automatski. Automatsko dodjeljivanje VLAN-a temelji se na izvornoj MAC adresi koristeći VLAN Query Protocol (VQP) i VLAN Management Policy Server (VMPS). Prekidači samo starijih modela, kao što su serije Catalyst 4000, 5000 i 6500, mogu djelovati kao VMPS poslužitelj. U ovom članku nećemo razmatrati automatsku konfiguraciju pristupnog porta putem VQP-a. Ovdje će biti prikazana samo statička dodjela VLAN-a na pristupnom priključku.
Da biste omogućili pristupni priključak potrebnom VLAN-u, trebate učiniti:
- uđite u privilegirani način rada (naredba: " omogućiti«)
- uđite u način globalne konfiguracije (naredba: " konfigurirati terminal«)
- uđite u način konfiguracije mrežnog sučelja (naredba: " sučelje sučelje-id ", gdje sučelje-id - naziv i broj sučelja)
- postavite način rada porta/sučelja "pristup" (naredba: " pristup načinu switchport«)
- postavite VLAN na port / sučelje (naredba: " switchport pristupni vlan vlan-id ", gdje vlan-id - VLAN broj)
- omogući port/sučelje (naredba: " nema gašenja«)
- izađite iz načina konfiguracije sučelja (naredba: " Izlaz" ili " kraj»)
Neka poslužitelj bude spojen na 22. port switcha, koji se mora postaviti u 200. VLAN
Postavka porta:
Sw1> sw1> omogući Lozinka: sw1 # sw1 # konfiguriraj terminal Unesite konfiguracijske naredbe, jednu po retku. Završite s CNTL / Z. sw1 (config) #sučelje GigabitEthernet0 / 22 sw1 (config-if) #switchport način pristupa sw1 (config-if) #switchport pristup vlan 200 sw1 (config-if) #bez isključivanja sw1 (config-if) #exit sw1 (config ) #izlaz sw1 #
Konfiguriranje magistralnog porta.
Postavka porta u trunk načinu identična je postavci porta u načinu automatskog otkrivanja, osim što način rada ne mora biti naveden dinamički, već trunk.
Sw6 # sw6 # konfiguriraj terminal Unesite konfiguracijske naredbe, jednu po retku. Završite s CNTL / Z. sw6 (config) #sučelje gigabitEthernet 0/23 sw6 (config-if) #switchport mode trunk sw6 (config-if) #switchport trunk dopušteno vlan 2,30-35,40 sw6 (config-if) #bez isključivanja sw6 (config -if) #kraj sw6 #
U primjeru, trunk je postavljen na 23. port, samo su VLAN 2, VLAN 30 do 35 i VLAN 40 dopušteni u trunk.
Dodavanje VLAN-a na trunk port izvodi se naredbom: “ switchport deblo dopušteno vlan addVLAN_NUM«
Primjer dodavanja vlan-ova 100 i 200 postojećim, na trunk portu 23:
Sw6 # sw6 # konfiguriraj terminal Unesite konfiguracijske naredbe, jednu po retku. Završite s CNTL / Z. sw6 (config) #sučelje Gi0 / 23 sw6 (config-if) #switchport trunk dopušteno vlan add 100,200 sw6 (config-if) # sw6 (config-if) #end sw6 #
Uklanjanje VLAN-a iz trunk porta izvodi se naredbom: " switchport deblo dopušteno uklanjanje vlan-aVLAN_NUM«
Primjer brisanja vlan-ova 100 i 200 iz postojećih, na trunk portu 23:
Sw6 # sw6 # konfiguriraj terminal Unesite konfiguracijske naredbe, jednu po retku. Završite s CNTL / Z. sw6 (config) #sučelje Gi0 / 23 sw6 (config-if) #switchport trunk dopušteno uklanjanje vlana 100.200 sw6 (config-if) # sw6 (config-if) #end sw6 #
Neki cisco prekidači podržavaju dva protokola za rad s VLAN-ovima, IEEE 802.1q i ISL. ISL je zastario i nije podržan na mnogim modernim prekidačima. Stoga je poželjno koristiti IEEE 802.1q protokol
Na takvim prekidačima, prije konfiguriranja porta u trunk načinu rada, morate odabrati vrstu inkapsulacije dot1q (naredba: " switchport trunk enkapsulacija dot1q"U načinu konfiguracije sučelja)
3. Provjera VLAN postavke
Pogledajte informacije o VTP protokolu: " prikaži vtp status«
Prikaži informacije o svim VLAN-ovima na prekidaču: " pokazati vlan«
Pogledajte informacije o određenom VLAN-u i saznajte na kojim se portovima nalazi: " prikaži vlan id vlan-id «
Pogledajte način rada porta, izvorni vlan, pristupni vlan i ostalo: " pokazuju sučelja sučelje-id switchport«
Ponekad je potrebno stvoriti Layer 3 sučelje za VLAN na prekidaču. Na primjer, za usmjeravanje i filtriranje IP prometa između različitih VLAN-ova (mora postojati podrška za L3 razinu i od strane samog modela prekidača i od strane IOS verzije). Ili jednostavno stvorite sučelje za upravljanje ovim prekidačem u posebnom VLAN-u.
Mrežno sučelje za VLAN kreira se u načinu globalne konfiguracije naredbom: “ sučelje vlan-id ", gdje vlan-id je VLAN broj.
Primjer stvaranja L3 sučelja za VLAN 200.
