Al momento, molte organizzazioni e imprese moderne praticamente non utilizzano un'opportunità così utile e spesso necessaria come l'organizzazione di una rete virtuale (VLAN) nell'ambito di un'infrastruttura integrale, fornita dalla maggior parte degli switch moderni. Ciò è dovuto a molti fattori, quindi vale la pena considerare questa tecnologia dal punto di vista della possibilità del suo utilizzo per tali scopi.
descrizione generale
Per cominciare, vale la pena decidere quali sono le VLAN. Si riferisce a un gruppo di computer collegati a una rete che sono logicamente raggruppati in un dominio di distribuzione dei messaggi broadcast in base a un determinato attributo. Ad esempio, i gruppi possono essere distinti in base alla struttura dell'impresa o in base ai tipi di lavoro su un progetto o un'attività insieme. Le VLAN offrono numerosi vantaggi. Per cominciare, si tratta di un uso molto più efficiente della larghezza di banda (rispetto alle reti locali tradizionali), di un maggiore grado di protezione delle informazioni trasmesse, nonché di uno schema di amministrazione semplificato.
Poiché quando si utilizza una VLAN, l'intera rete è divisa in domini di trasmissione, le informazioni all'interno di tale struttura vengono trasmesse solo tra i suoi membri e non a tutti i computer sulla rete fisica. Si scopre che il traffico di trasmissione generato dai server è limitato a un dominio predefinito, ovvero non viene trasmesso a tutte le stazioni di questa rete. In questo modo è possibile ottenere la distribuzione ottimale della larghezza di banda di rete tra gruppi di computer dedicati: server e workstation di VLAN diverse semplicemente non si vedono.
Come stanno andando tutti i processi?
In una tale rete, le informazioni sono abbastanza ben protette dal fatto che i dati vengono scambiati all'interno di un gruppo specifico di computer, ovvero non possono ricevere traffico generato in un'altra struttura simile.
Se parliamo di cosa sono le VLAN, è opportuno notare un tale vantaggio di questo metodo di organizzazione, poiché una rete semplificata influisce su attività come l'aggiunta di nuovi elementi alla rete, il loro spostamento e anche la loro eliminazione. Ad esempio, se un utente VLAN si sposta in un'altra posizione, l'amministratore di rete non ha bisogno di ricablare i cavi. Dovrebbe semplicemente configurare l'apparecchiatura di rete dal suo posto di lavoro. In alcune implementazioni di tali reti, il movimento dei membri del gruppo può essere controllato automaticamente, anche senza la necessità dell'intervento dell'amministratore. Ha solo bisogno di sapere come configurare la VLAN per eseguire tutte le operazioni necessarie. Può creare nuovi gruppi logici di utenti senza nemmeno alzarsi. Tutto ciò consente di risparmiare notevolmente l'orario di lavoro, che può essere utile per risolvere compiti non meno importanti.
Modi per organizzare la VLAN
Sono disponibili tre diverse opzioni: basate su porte, protocolli di terzo livello o indirizzi MAC. Ciascun metodo corrisponde a uno dei tre livelli inferiori del modello OSI: fisico, rete e canale, rispettivamente. Se parliamo di cosa sono le VLAN, vale la pena notare la presenza del quarto metodo di organizzazione, basato su regole. È usato raramente ora, sebbene offra molta flessibilità. Puoi considerare più in dettaglio ciascuno di questi metodi per capire quali caratteristiche hanno.
VLAN basate su porte
Ciò presuppone un raggruppamento logico di determinate porte di switch fisiche selezionate per l'interazione. Ad esempio, può determinare che determinate porte, ad esempio 1, 2 e 5, formano VLAN1 e i numeri 3, 4 e 6 vengono utilizzati per VLAN2 e così via. Una porta switch può essere utilizzata per collegare più computer, per i quali, ad esempio, viene utilizzato un hub. Tutti loro saranno definiti come membri della stessa rete virtuale a cui è assegnata la porta di servizio dello switch. Un legame così rigido tra l'appartenenza alla rete virtuale è il principale svantaggio di un tale schema organizzativo.
VLAN basata su indirizzi MAC
Questo metodo si basa sull'uso di indirizzi esadecimali univoci a livello di collegamento di ciascun server o workstation sulla rete. Se parliamo di cosa sono le VLAN, allora vale la pena notare che questo metodo è considerato più flessibile del precedente, poiché i computer appartenenti a diverse reti virtuali possono essere collegati a una porta dello switch. Inoltre, monitora automaticamente lo spostamento dei computer da una porta all'altra, consentendo di mantenere il client appartenente a una rete specifica senza l'intervento dell'amministratore.
Il principio di funzionamento qui è molto semplice: lo switch mantiene una tabella di corrispondenza tra gli indirizzi MAC delle workstation e delle reti virtuali. Non appena il computer passa a un'altra porta, il campo dell'indirizzo MAC viene confrontato con i dati della tabella, dopodiché si giunge alla conclusione corretta che il computer appartiene a una particolare rete. Gli svantaggi di questo metodo sono la complessità della configurazione della VLAN, che inizialmente può causare errori. Mentre lo switch crea le proprie tabelle di indirizzi, l'amministratore di rete deve esaminarle tutte per determinare quali indirizzi corrispondono a quali gruppi virtuali, dopodiché lo assegna alle VLAN appropriate. Ed è qui che c'è un posto per gli errori, che a volte si verificano nelle Cisco VLAN, la cui configurazione è abbastanza semplice, ma la successiva ridistribuzione sarà più difficile che nel caso dell'utilizzo delle porte.
VLAN basata su protocolli di livello 3
Questo metodo viene utilizzato raramente nei cambi di livello del gruppo di lavoro o del reparto. È tipico per i backbone dotati di strumenti di routing integrati per i principali protocolli LAN: IP, IPX e AppleTalk. Questo metodo presuppone che un gruppo di porte switch che appartengono a una VLAN specifica venga associato a una sottorete IP o IPX. In questo caso, la flessibilità è fornita dal fatto che lo spostamento di un utente su una porta diversa che appartiene alla stessa rete virtuale è tracciato dallo switch e non deve essere riconfigurato. Il routing VLAN in questo caso è abbastanza semplice, perché lo switch in questo caso analizza gli indirizzi di rete dei computer definiti per ciascuna delle reti. Questo metodo supporta anche l'interazione tra diverse VLAN senza l'uso di strumenti aggiuntivi. C'è uno svantaggio di questo metodo: l'alto costo degli switch in cui è implementato. Le VLAN Rostelecom supportano il lavoro a questo livello.
conclusioni
Come avrai già capito, le reti virtuali sono uno strumento abbastanza potente in grado di risolvere problemi legati alla sicurezza della trasmissione dei dati, all'amministrazione, al controllo degli accessi e all'aumento dell'efficienza di utilizzo.
9) Routing: statico e dinamico sull'esempio di RIP, OSPF ed EIGRP.
10) Traduzione indirizzi di rete: NAT e PAT.
11) Protocolli di ridondanza del primo hop: FHRP.
12) Sicurezza delle reti informatiche e reti private virtuali: VPN.
13) Reti globali e protocolli utilizzati: PPP, HDLC, Frame Relay.
14) Introduzione a IPv6, configurazione e routing.
15) Gestione della rete e monitoraggio della rete.
PS Forse l'elenco si amplierà nel tempo.
In articoli precedenti abbiamo già lavorato con molti dispositivi di rete, capito come differiscono tra loro ed esaminato in cosa consistono i frame, i pacchetti e le altre PDU. In linea di principio, con questa conoscenza, puoi organizzare una semplice rete locale e lavorarci. Ma il mondo non si ferma. Ci sono sempre più dispositivi che caricano la rete o, peggio ancora, rappresentano un rischio per la sicurezza. E, di regola, il "pericolo" appare prima della "sicurezza". Ora lo mostrerò nell'esempio più semplice.
Per ora non toccheremo router e sottoreti diverse. Diciamo che tutti gli host si trovano sulla stessa sottorete.
Ecco un elenco di indirizzi IP:
- PC1 - 192.168.1.2/24
- PC2 - 192.168.1.3/24
- PC3 - 192.168.1.4/24
- PC4 - 192.168.1.5/24
- PC5 - 192.168.1.6/24
- PC6 - 192.168.1.7/24
Chi vuole vederlo sotto forma di animazione, apra lo spoiler (lì è mostrato il ping da PC1 a PC5).
Operazioni di rete in un dominio di trasmissione
Bello eh? Abbiamo già parlato del lavoro del protocollo ARP più di una volta in articoli passati, ma è stato l'anno scorso, quindi spiegherò brevemente. Poiché PC1 non conosce l'indirizzo MAC (o l'indirizzo del livello di collegamento) di PC2, invia un ARP all'intelligence per comunicarlo. Arriva allo switch, da dove viene inoltrato a tutte le porte attive, ovvero al PC2 e allo switch centrale. Dall'interruttore centrale volerà agli interruttori vicini, e così via, fino a raggiungere tutti. Non si tratta di una piccola quantità di traffico causata da un messaggio ARP. Tutti i membri della rete lo hanno ricevuto. Il traffico grande e non necessario è il primo problema. Il secondo problema è la sicurezza. Penso che abbiano notato che il messaggio è arrivato persino all'ufficio contabilità, i cui computer non hanno partecipato affatto. Qualsiasi intruso che si connette a uno qualsiasi degli switch avrà accesso all'intera rete. In linea di principio, le reti funzionavano in questo modo. I computer si trovavano nello stesso ambiente di canale ed erano separati solo per mezzo di router. Ma il tempo è passato ed è stato necessario risolvere questo problema a livello di canale. Cisco, in qualità di pioniere, ha ideato il proprio protocollo che contrassegnava i frame e determinava l'appartenenza a un particolare ambiente di canale. Era chiamato ISL (Inter-Switch Link). A tutti è piaciuta questa idea e IEEE ha deciso di sviluppare uno standard aperto simile. Lo standard si chiama 802.1q. Ha ricevuto un'enorme distribuzione e anche Cisco ha deciso di passare ad essa.
E proprio la tecnologia VLAN si basa sul funzionamento del protocollo 802.1q. Iniziamo a parlare di lei.
Nella parte 3, ho mostrato come appare un frame ethernet. Guardalo e rinfrescati la memoria. Ecco come appare una cornice senza tag.
Ora diamo un'occhiata a quello taggato.
Come puoi vedere, la differenza è che una certa Etichetta. Questo è ciò che ci interessa. Scaviamo più a fondo. Si compone di 4 parti.
1) TPID (English Tag Protocol ID) o Tagged Protocol Identifier- è composto da 2 byte ed è sempre uguale a 0x8100 per VLAN.
2) PCP (English Priority Code Point) o valore di priorità- consiste di 3 bit. Utilizzato per dare priorità al traffico. Gli amministratori di sistema simpatici e barbuti sanno come gestirlo correttamente e gestirlo quando sulla rete transita traffico diverso (voce, video, dati, ecc.)
3) CFI (English Canonical Format Indicator) o Canonical Format Indicator- un campo semplice composto da un bit. Se impostato su 0, questo è il formato dell'indirizzo MAC standard.
4) VID (ID VLAN inglese) o identificatore VLAN- è composto da 12 bit e mostra in quale VLAN si trova il frame.
Voglio attirare l'attenzione sul fatto che il tag frame viene eseguito tra i dispositivi di rete (switch, router, ecc.) e i frame non vengono taggati tra il nodo finale (computer, laptop) e il dispositivo di rete. Pertanto, la porta del dispositivo di rete può essere in 2 stati: accesso o tronco.
- Porta di accesso o porta di accesso- una porta situata in una VLAN specifica e che trasmette frame senza tag. Di norma, questa è la porta che guarda il dispositivo dell'utente.
- Porta trunk o porta trunk- porta che trasmette il traffico taggato. Di norma, questa porta viene sollevata tra i dispositivi di rete.
Sto reclutando una squadra mostra vlan.
Vengono costruiti diversi tavoli. In effetti, solo il primo è importante per noi. Ora ti mostrerò come leggerlo.
1 colonnaè il numero VLAN. Il numero 1 è inizialmente presente qui: si tratta di una VLAN standard inizialmente su ogni switch. Svolge un'altra funzione, di cui scriverò di seguito. Ci sono anche riservati dal 1002 al 1005. Questo è per altri ambienti di canale che è improbabile che vengano utilizzati ora. Non puoi nemmeno eliminarli.
Switch(config)#no vlan 1005 La VLAN predefinita 1005 potrebbe non essere eliminata.
Durante l'eliminazione, Cisco visualizza un messaggio che informa che questa VLAN non può essere eliminata. Pertanto, viviamo e non tocchiamo queste 4 VLAN.
2 colonneè il nome della VLAN. Quando crei una VLAN, puoi, a tua discrezione, trovare nomi significativi per loro al fine di identificarli in seguito. C'è già default, fddi-default, token-ring-default, fddinet-default, trnet-default.
3 colonne- stato. Questo mostra in quale stato si trova la VLAN. Al momento, la VLAN 1 o predefinita è nello stato attivo e le 4 successive sono act/unsup (sebbene attive, ma non supportate).
4 colonne- porti. Questo mostra a quali VLAN appartengono le porte. Ora, quando non abbiamo ancora toccato nulla, sono in default.
Iniziamo a configurare gli switch. È buona norma assegnare agli switch nomi significativi. Che cosa faremo. Porto la squadra.
Switch(config)#hostname CentrSW CentrSW(config)#
Il resto è configurato allo stesso modo, quindi mostrerò il diagramma della topologia aggiornato.
Iniziamo la configurazione con lo switch SW1. Innanzitutto, creiamo una VLAN sullo switch.
SW1(config)#vlan 2 - crea la VLAN 2 (la VLAN 1 è riservata per impostazione predefinita, quindi prendiamo quella successiva). SW1(config-vlan)#name Dir-ya - entra nelle impostazioni VLAN e assegnagli un nome.
La VLAN è stata creata. Passiamo ora ai porti. L'interfaccia FastEthernet0/1 guarda a PC1 e FastEthernet0/2 guarda a PC2. Come accennato in precedenza, i frame tra di loro devono essere trasmessi senza tag, quindi li trasferiremo allo stato di accesso.
SW1(config)#interface fastEthernet 0/1 - vai alla configurazione della 1a porta. SW1(config-if)#switchport mode access - cambia la porta in modalità access. SW1(config-if)#switchport access vlan 2 - assegnato alla porta della 2a VLAN. SW1(config)#interface fastEthernet 0/2 - vai alla configurazione della 2a porta. SW1(config-if)#switchport mode access - cambia la porta in modalità access. SW1(config-if)#switchport access vlan 2 - assegnato alla porta della 2a VLAN.
Poiché entrambe le porte sono fisse nella stessa VLAN, potrebbero comunque essere configurate come un gruppo.
SW1(config)#interface range fastEthernet 0/1-2, ovvero selezionare il pool e quindi l'impostazione è simile. SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 2
Configura le porte di accesso. Ora impostiamo un trunk tra SW1 e CentrSW.
SW1(config)#interface fastEthernet 0/24 - vai alla configurazione della 24a porta. SW1(config-if)#switchport mode trunk - cambia la porta in modalità trunk. %LINEPROTO-5-UPDOWN: protocollo di linea sull'interfaccia FastEthernet0/24, stato modificato in down %LINEPROTO-5-UPDOWN: protocollo di linea sull'interfaccia FastEthernet0/24, stato modificato in up
Vediamo subito che la porta è stata riconfigurata. In linea di principio, questo è sufficiente per funzionare. Ma da un punto di vista della sicurezza, solo le VLAN realmente necessarie dovrebbero essere autorizzate per la trasmissione. Iniziamo.
SW1(config-if)#switchport trunk consentito vlan 2 - consentiamo la trasmissione solo della seconda VLAN.
Senza questo comando, verranno trasmesse tutte le VLAN disponibili. Vediamo come è cambiata la tabella con il comando mostra vlan.
La 2a VLAN è apparsa con il nome Dir-ya e vediamo le porte fa0/1 e fa0/2 ad essa appartenenti.
Per visualizzare solo la tabella superiore, è possibile utilizzare il comando mostra breve vlan.
Puoi anche ridurre l'output specificando un ID VLAN specifico.
O il suo nome.
Tutte le informazioni VLAN sono archiviate nella memoria flash nel file vlan.dat.
Come puoi vedere, non ci sono informazioni sul trunk in nessuno dei comandi. Può essere visualizzato da un'altra squadra mostra il tronco dell'interfaccia.
Sono disponibili informazioni sulle porte trunk e su quali VLAN trasmettono. C'è anche una colonna vlan nativo. Questo è esattamente il traffico che non dovrebbe essere taggato. Se un frame senza tag arriva allo switch, viene automaticamente assegnato alla Vlan nativa (per impostazione predefinita, nel nostro caso, questa è la VLAN 1). È possibile una VLAN nativa e molti affermano che deve essere modificata per motivi di sicurezza. Per fare ciò, nella modalità di configurazione della porta trunk, è necessario utilizzare il comando - switchport trunk nativo vlan X, dove X- numero di VLAN assegnate. In questa topologia non cambieremo, ma è utile sapere come farlo.
Resta da configurare il resto dei dispositivi.
Centro SW:
Lo switch centrale è un collegamento, il che significa che deve conoscere tutte le VLAN. Pertanto, prima li creiamo, quindi trasferiamo tutte le interfacce in modalità trunk.
CentrSW(config)#vlan 2 CentrSW(config-vlan)# nome Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# nome buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# nome otdel -kadrov CentrSW(config)#interface range fastEthernet 0/1-3 CentrSW(config-if-range)#switchport modalità trunk
Non dimenticare di salvare la configurazione. Comando copia running-config startup-config.
SW2(config)#vlan 3 SW2(config-vlan)#name buhgalter SW2(config)#interface range fastEthernet 0/1-2 SW2(config-if-range)#switchport mode access SW2(config-if-range)# switchport access vlan 3 SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport trunk SW2(config-if)#switchport trunk consentito vlan 3
SW3:
SW3(config)#vlan 4 SW3(config-vlan)#name otdel kadrov SW3(config)#interface range fastEthernet 0/1-2 SW3(config-if-range)#switchport mode access SW3(config-if-range) #switchport access vlan 4 SW3(config)#interface fastEthernet 0/24 SW3(config-if)#switchport mode trunk SW3(config-if)#switchport trunk consentito vlan 4
Tieni presente che abbiamo sollevato e configurato VLAN, ma abbiamo lasciato l'indirizzo dell'host allo stesso modo. Cioè, in effetti, tutti i nodi si trovano sulla stessa sottorete, ma separati da VLAN. Non puoi farlo. A ciascuna VLAN deve essere assegnata una sottorete separata. L'ho fatto solo a scopo didattico. Se ogni dipartimento si sedesse sulla propria sottorete, sarebbero limitati a priori, poiché lo switch non sa come instradare il traffico da una sottorete all'altra (inoltre questa è già una limitazione a livello di rete). E dobbiamo limitare i dipartimenti a livello di collegamento dati.
Ancora una volta invio il ping da PC1 a PC3.
Entra nel corso di ARP, che è ciò di cui abbiamo bisogno ora. Apriamolo.
Finora, niente di nuovo. ARP è incapsulato in Ethernet.
Il telaio arriva all'interruttore ed è contrassegnato. Ora non c'è una normale ethernet, ma 802.1q. Aggiunti campi di cui ho scritto prima. Questo TPID, che è 8100 e indica che è 802.1q. E TCI, che combina 3 campi PCP, CFI e VID. Il numero in questo campo è il numero VLAN. Andiamo avanti.
Dopo il tag, invia un frame al PC2 (perché si trova nella stessa VLAN) e allo switch centrale tramite la porta trunk.
Poiché non era codificato quali tipi di VLAN far passare attraverso quali porte, invierà a entrambi gli switch. E qui gli switch, dopo aver visto il numero VLAN, capiscono che non hanno dispositivi con tale VLAN e lo scartano audacemente.
PC1 è in attesa di una risposta che non arriva mai. Puoi vedere sotto lo spoiler sotto forma di animazione.
Animazione
Ora la prossima situazione. Un'altra persona viene assunta come parte della direzione, ma non c'è posto nell'ufficio della direzione e per un po' chiedono di inserire una persona nell'ufficio contabilità. Risolviamo questo problema.
Abbiamo collegato il computer alla porta FastEthernet 0/3 dello switch e assegnato l'indirizzo IP 192.168.1.8/24.
Ora imposta l'interruttore SW2. Poiché il computer deve trovarsi nella 2a VLAN, di cui lo switch non è a conoscenza, lo creeremo sullo switch.
SW2(config)#vlan 2 SW2(config-vlan)#name Dir-ya
Successivamente, configuriamo la porta FastEthernet 0/3, che guarda a PC7.
SW2(config)#interface fastEthernet 0/3 SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2
E l'ultima cosa è configurare la porta del trunk.
SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport trunk consentito vlan add 2 - prestare attenzione a questo comando. Vale a dire, la parola chiave "aggiungi". Se non aggiungi questa parola, cancellerai tutte le altre VLAN consentite per la trasmissione su questa porta. Pertanto, se avevi già un trunk sulla porta e sono state trasmesse altre VLAN, devi aggiungerlo in questo modo.
Per far andare bene le cornici, correggerò l'interruttore centrale CentrSW.
CentrSW(config)#interface fastEthernet 0/1 CentrSW(config-if)#switchport trunk consentito vlan 2 CentrSW(config)#interface fastEthernet 0/2 CentrSW(config-if)#switchport trunk consentito vlan 2,3 CentrSW(config) #interface fastEthernet 0/3 CentrSW(config-if)#switchport trunk consentito vlan 4
Controlla il tempo. Invio ping da PC1 a PC7.
Finora, l'intero percorso è simile al precedente. Ma d'ora in poi (dalla foto sotto), l'interruttore centrale prenderà una decisione diversa. Riceve un frame e vede che è contrassegnato con la 2a VLAN. Ciò significa che devi inviarlo solo dove è consentito, ovvero alla porta fa0 / 2.
E ora arriva a SW2. Lo apriamo e vediamo che è ancora contrassegnato. Ma il nodo successivo è un computer e il tag deve essere rimosso. Fare clic su "Dettagli PDU in uscita" per vedere in che forma il frame volerà fuori dall'interruttore.
E senza dubbio. Lo switch invierà il frame in una forma "pulita", cioè senza tag.
ARP raggiunge PC7. Lo apriamo e ci assicuriamo che il frame PC7 senza tag si riconosca e invii una risposta.
Apriamo il frame sull'interruttore e vediamo che verrà contrassegnato per l'invio. Quindi il telaio viaggerà nello stesso modo in cui è arrivato.
ARP raggiunge PC1, come evidenziato da un segno di spunta sulla busta. Ora conosce l'indirizzo MAC e usa ICMP.
Apriamo la confezione sull'interruttore e osserviamo la stessa immagine. Al livello di collegamento, la cornice è contrassegnata dall'interruttore. Questo sarà il caso di ogni post.
Vediamo che il pacchetto raggiunge con successo PC7. Non mostrerò la via del ritorno, perché è simile. Se qualcuno è interessato, può vedere l'intero percorso nell'animazione sotto lo spoiler qui sotto. E se vuoi scegliere tu stesso questa topologia, allego un link al laboratorio.
Logica VLAN
Ecco, in linea di principio, l'applicazione più popolare delle VLAN. Indipendentemente dalla posizione fisica, è possibile combinare logicamente i nodi in gruppi, isolandoli così dagli altri. È molto conveniente quando i dipendenti lavorano fisicamente in luoghi diversi, ma devono essere uniti. E, naturalmente, dal punto di vista della sicurezza, le VLAN non sono intercambiabili. La cosa principale è che una cerchia ristretta di persone ha accesso ai dispositivi di rete, ma questo è un problema separato.
Restrizioni raggiunte a livello di canale. Il traffico ora non cammina da nessuna parte, ma segue rigorosamente lo scopo previsto. Ma ora sorge la domanda che i dipartimenti devono comunicare tra loro. E poiché si trovano in ambienti di canale diversi, entra in gioco il routing. Ma prima di iniziare, mettiamo in ordine la topologia. La prima cosa a cui mettiamo mano è l'indirizzamento dei nodi. Anche in questo caso, ogni dipartimento deve trovarsi nella propria sottorete. In totale otteniamo:
- Direzione - 192.168.1.0/24
- Contabilità - 192.168.2.0/24
- Ufficio risorse umane - 192.168.3.0/24
Una volta definite le sottoreti, indirizziamo immediatamente i nodi.
- PC1:
IP: 192.168.1.2
Maschera: 255.255.255.0 o /24
Gateway: 192.168.1.1 - PC2:
IP: 192.168.1.3
Maschera: 255.255.255.0 o /24
Gateway: 192.168.1.1 - PC3:
IP: 192.168.2.2
Maschera: 255.255.255.0 o /24
Gateway: 192.168.2.1 - PC4:
IP: 192.168.2.3
Maschera: 255.255.255.0 o /24
Gateway: 192.168.2.1 - PC5:
IP: 192.168.3.2
Maschera: 255.255.255.0 o /24
Gateway: 192.168.3.1 - PC6:
IP: 192.168.3.3
Maschera: 255.255.255.0 o /24
Gateway: 192.168.3.1 - PC7:
IP: 192.168.1.4
Maschera: 255.255.255.0 o /24
Gateway: 192.168.1.1
I nodi hanno aggiunto un parametro come l'indirizzo del gateway. Usano questo indirizzo quando devono inviare un messaggio a un host che si trova su una sottorete diversa. Di conseguenza, ogni sottorete ha il proprio gateway.
Resta da configurare il router e apro la sua CLI. Per tradizione, darò un nome significativo.
Router(config)#hostname Gateway Gateway(config)#
Successivamente, passiamo alla configurazione delle interfacce.
Gateway(config)#interface fastEthernet 0/0 - vai all'interfaccia richiesta. Gateway(config-if)#no shutdown - abilitalo. %LINK-5-CHANGED: interfaccia FastEthernet0/0, stato modificato in su %LINEPROTO-5-UPDOWN: protocollo di linea sull'interfaccia FastEthernet0/0, stato modificato in su
Ora attenzione! Abbiamo abilitato l'interfaccia, ma non le abbiamo assegnato un indirizzo IP. Il fatto è che è necessario solo un collegamento o un canale dall'interfaccia fisica (fastethernet 0/0). Il ruolo dei gateway sarà svolto da interfacce o sottointerfacce virtuali (sottointerfaccia inglese). Attualmente ci sono 3 tipi di VLAN. Ciò significa che ci saranno 3 sottointerfacce Iniziamo a configurare.
Gateway(config)#interface fastEthernet 0/0.2 Gateway(config-if)#encapsulation dot1Q 2 Gateway(config-if)#ip address 192.168.1.1 255.255.255.0 Gateway(config)#interface fastEthernet 0/0.3 Gateway(config-if )#encapsulation dot1Q 3 Gateway(config-if)#ip address 192.168.2.1 255.255.255.0 Gateway(config)#interface fastEthernet 0/0.4 Gateway(config-if)#encapsulation dot1Q 4 Gateway(config-if)#ip address 192.168 .3.1 255.255.255.0
Il router è configurato. Andiamo allo switch centrale e configuriamo una porta trunk su di esso in modo che passi i frame contrassegnati al router.
CentrSW(config)#interface fastEthernet 0/24 CentrSW(config-if)#modalità switchport trunk CentrSW(config-if)#switchport trunk consentito vlan 2,3,4
La configurazione è terminata e si passa alla pratica. Invio ping da PC1 a PC6 (cioè a 192.168.3.3).
PC1 non ha idea di chi siano PC6 o 192.168.3.3, ma sa che si trovano su sottoreti diverse (il modo in cui lo capisce è descritto nell'articolo precedente). Pertanto, invierà un messaggio attraverso il gateway principale, il cui indirizzo è specificato nelle sue impostazioni. E sebbene PC1 conosca l'indirizzo IP del gateway principale, l'indirizzo MAC non è sufficiente per una completa felicità. E lancia ARP.
Nota. Una volta che un frame arriva a CentrSW, lo switch non lo invia a chiunque. Invia solo a quelle porte dove è consentito il passaggio della 2a VLAN. Cioè, sul router e su SW2 (c'è un utente seduto nella 2a VLAN).
Il router si riconosce e invia una risposta (indicata da una freccia). E guarda il telaio inferiore. Quando SW2 ha ricevuto ARP dallo switch centrale, allo stesso modo non lo ha inviato a tutti i computer, ma ha inviato solo PC7, che si trova nella 2a VLAN. Ma PC7 lo scarta, poiché non fa per lui. Diamo un'occhiata oltre.
ARP ha raggiunto PC1. Ora sa tutto e può inviare ICMP. Ancora una volta, presterò attenzione al fatto che come indirizzo MAC di destinazione (livello di collegamento), ci sarà l'indirizzo del router e come indirizzo IP di destinazione (livello di rete), l'indirizzo PC6.
ICMP raggiunge il router. Guarda il suo foglio di calcolo e si rende conto di non conoscere nessuno a 192.168.3.3. Elimina l'ICMP in entrata e consente di esplorare ARP.
PC6 si riconosce e invia una risposta.
La risposta raggiunge il router e aggiunge una voce nella sua tabella. È possibile visualizzare la tabella ARP con il comando mostra arp.
Andiamo avanti. PC1 è scontento che nessuno gli risponda e invii il prossimo messaggio ICMP.
Questa volta l'ICMP se la cava senza problemi. Seguirà lo stesso percorso di ritorno. Ti mostro solo il risultato finale.
Il primo pacchetto è andato perso (a causa del lavoro di ARP) e il secondo è arrivato senza problemi.
Chi se ne frega di vederlo in animazione, benvenuto nello spoiler.
Instradamento InterVLAN
Così. Abbiamo ottenuto che se i nodi si trovano nella stessa sottorete e nella stessa VLAN, passeranno direttamente attraverso gli switch. Nel caso in cui sia necessario inviare un messaggio a un'altra sottorete e VLAN, verrà trasmesso tramite il router gateway, che esegue il routing "inter-vlane". Questa topologia è chiamata "router su un bastone" o "router su un bastone". Come puoi vedere, è molto conveniente. Abbiamo creato 3 interfacce virtuali e inviato diversi frame con tag lungo un filo. Senza l'uso di sottointerfacce e VLAN, sarebbe necessario utilizzare un'interfaccia fisica separata per ciascuna sottorete, il che non è affatto redditizio.
A proposito, questa domanda è analizzata molto bene in questo video (il video dura circa 3 ore, quindi il collegamento è legato a quel particolare momento). Se dopo aver letto e visto il video vuoi finire tutto con le tue mani, allego un link per il download.
Ci siamo occupati delle VLAN e siamo passati a uno dei protocolli che funzionano con esso.
DTP (Dynamic Trunking Protocol) o in russo protocollo trunk dinamico- un protocollo proprietario di Cisco, utilizzato per implementare la modalità trunk tra gli switch. Sebbene, a seconda dello stato, possano essere coerenti anche nella modalità di accesso.
Ci sono 4 modalità in DTP: Dynamic auto, Dynamic desiderabile, Trunk, Access. Vediamo come si incastrano.
| Modalità | automatico dinamico | dinamico desiderabile | Tronco | Accesso |
|---|---|---|---|---|
| automatico dinamico | Accesso | Tronco | Tronco | Accesso |
| dinamico desiderabile | Tronco | Tronco | Tronco | Accesso |
| Tronco | Tronco | Tronco | Tronco | Nessuna connessione |
| Accesso | Accesso | Accesso | Nessuna connessione | Accesso |
Cioè, la colonna di sinistra è il 1° dispositivo e la riga superiore è il 2° dispositivo. Per impostazione predefinita, gli interruttori sono in modalità "auto dinamica". Se guardi la tabella di mappatura, due opzioni nella modalità "auto dinamica" sono coerenti nella modalità "accesso". Diamo un'occhiata. Creo un nuovo lab e aggiungo 2 interruttori.
Non li collegherò ancora. Devo assicurarmi che entrambi gli interruttori siano in modalità "auto dinamica". Controllerò con la squadra mostra le interfacce switchport.
Il risultato di questo comando è molto grande, quindi l'ho ritagliato ed evidenziato i punti di interesse. Iniziamo con Modalità amministrativa. Questa riga mostra in quale delle 4 modalità si trova questa porta sullo switch. Ci assicuriamo che le porte su entrambi gli switch siano in modalità "Dynamic auto". Una stringa Modalità operativa mostra in quale modalità operativa hanno accettato di lavorare. Non li abbiamo ancora collegati, quindi sono nello stato "down".
Ti do subito un buon consiglio. Quando si testa un protocollo, utilizzare i filtri. Disattiva la visualizzazione del lavoro di tutti i protocolli che non ti servono.
Metto CPT in modalità simulazione e filtro tutti i protocolli tranne DTP.
Penso che qui sia tutto chiaro. Collego gli interruttori con un cavo e, quando i collegamenti vengono sollevati, uno degli interruttori genera un messaggio DTP.
Lo apro e vedo che è incapsulato DTP in un frame Ethernet. Lo invia all'indirizzo multicast "0100.0ccc.cccc", che fa riferimento ai protocolli DTP, VTP, CDP.
E presterò attenzione a 2 campi nell'intestazione DTP.
1) Tipo DTP- qui il mittente inserisce un'offerta. Cioè, in quale modalità vuole essere d'accordo. Nel nostro caso, suggerisce di concordare "l'accesso".
2) Indirizzo MAC vicino- in questo campo annota il MAC address della sua porta.
Invia e aspetta una risposta da un vicino.
Il messaggio raggiunge SW1 e genera una risposta. Dove negozia anche la modalità di "accesso", inserisce il suo indirizzo MAC e lo invia a SW2.
Raggiunge con successo DTP. In teoria, avrebbero dovuto essere coerenti nella modalità di "accesso". Controllerò.
Come previsto, hanno accettato la modalità di "accesso".
Qualcuno dice che la tecnologia è conveniente e la usa. Ma sconsiglio vivamente di utilizzare questo protocollo nella mia rete. Non sono l'unico a consigliarlo e ora spiegherò perché. Il punto è che questo protocollo apre una grande falla nella sicurezza. Aprirò il lab che si è occupato del lavoro "Router su una chiavetta" e aggiungerò un altro interruttore lì.
Ora andrò nelle impostazioni del nuovo switch e hardcode la porta per funzionare in modalità trunk.
Nuovo_SW(config)#interfaccia fastEthernet 0/1 Nuovo_SW(config-if)#tronco in modalità switchport
Li collego e vedo come si abbinano.
Va bene. Le modalità "auto dinamica" e "trunk" sono coerenti nella modalità tronco. Ora stiamo aspettando che qualcuno inizi a mostrare l'attività. Diciamo che PC1 ha deciso di inviare un messaggio a qualcuno. Genera ARP e rilascia alla rete.
Saltiamo il suo percorso fino al momento in cui arriva a SW2.
Ed ecco il più interessante.
Lo invia allo switch appena connesso. Spiego cosa è successo. Non appena abbiamo concordato il tronco con lui, inizia a inviargli tutti i frame in arrivo. Sebbene il diagramma mostri che l'interruttore lascia cadere i frame, questo non significa nulla. Puoi collegare qualsiasi dispositivo di intercettazione (sniffer) allo switch o al posto dello switch e visualizzare con calma ciò che sta accadendo sulla rete. Sembra che abbia intercettato un innocuo ARP. Ma se guardi più in profondità, puoi vedere che l'indirizzo MAC "0000.0C1C.05DD" e l'indirizzo IP "192.168.1.2" sono già noti. Cioè, PC1 si è tradito senza pensare. Ora l'attaccante sa di un computer del genere. Inoltre, sa di essere seduto nella 2a VLAN. Allora può fare molto. La cosa più banale è cambiare il tuo indirizzo MAC, indirizzo IP, abbinare rapidamente in Access e impersonare PC1. Ma il più interessante. Dopotutto, potresti non capirlo subito. Di solito, quando impostiamo la modalità operativa della porta, questa viene immediatamente visualizzata nella configurazione. sto importando mostra la configurazione in esecuzione.
Ma qui le impostazioni della porta sono vuote. sto importando mostra le interfacce switchport e scorrere fino a fa0/4.
E qui vediamo che il tronco è d'accordo. Mostra running-config non fornisce sempre informazioni complete. Pertanto, ricorda anche altri comandi.
Penso che sia chiaro il motivo per cui non puoi fidarti di questo protocollo. Sembra semplificare la vita, ma allo stesso tempo può creare un grosso problema. Quindi affidati al metodo manuale. Durante la configurazione, designa immediatamente quali porte funzioneranno in modalità trunk e quali in accesso. E, soprattutto, disabilita sempre la corrispondenza. In modo che gli interruttori non cerchino di essere d'accordo con nessuno. Questo viene fatto con il comando "switchport nonegotiate".
Passiamo al prossimo protocollo.
VTP (protocollo trunking VLAN)- un protocollo proprietario di Cisco, utilizzato per lo scambio di informazioni sulle VLAN.
Immagina la situazione in cui hai 40 switch e 70 VLAN. Per sempre, è necessario crearli manualmente su ogni switch e registrare su quali porte trunk consentire la trasmissione. Questa è una faccenda lunga e noiosa. Pertanto, VTP può assumere questo compito. Crei VLAN su uno switch e tutti gli altri vengono sincronizzati con la sua base. Dai un'occhiata alla seguente topologia.
Ci sono 4 interruttori qui. Uno di questi è un server VTP e gli altri 3 sono client. Le VLAN che verranno create sul server vengono sincronizzate automaticamente sui client. Spiegherò come funziona VTP e cosa può fare.
Così. VTP può creare, modificare ed eliminare VLAN. Ciascuna di queste azioni comporta l'aumento del numero di revisione (ogni azione aumenta il numero di +1). Successivamente, invia annunci, dove è indicato il numero di revisione. I clienti che ricevono questo annuncio confrontano il loro numero di revisione con quello ricevuto. E se il numero in entrata è più alto, sincronizzano il loro database con esso. In caso contrario, la dichiarazione viene ignorata.
Ma questo non è tutto. VTP ha ruoli. Per impostazione predefinita, tutti gli switch funzionano come server. Te ne parlerò.
- Server VTP. Sa tutto. Cioè, crea, modifica, elimina VLAN. Se riceve un annuncio in cui la revisione è precedente, viene sincronizzata. Invia costantemente annunci e ritrasmissioni dai vicini.
- Cliente VTP- Questo ruolo è già limitato. Non è possibile creare, modificare o eliminare VLAN. Tutte le VLAN ricevono e sincronizzano dal server. Informa periodicamente i vicini sulla sua base VLAN.
- VTP trasparente- questo è un ruolo così indipendente. Può creare, modificare ed eliminare VLAN solo nel suo database. Non impone nulla a nessuno e non accetta nulla da nessuno. Se riceve un qualche tipo di annuncio, lo trasmette, ma non si sincronizza con la sua base. Se nei ruoli precedenti il numero di revisione aumentava ad ogni modifica, in questa modalità il numero di revisione è sempre 0.
Leggi la teoria e passa alla pratica. Verifichiamo che lo switch centrale sia in modalità Server. Inseriamo il comando mostra lo stato vtp.
Vediamo quella modalità operativa VTP: Server. Puoi anche notare che la versione VTP è la seconda. Sfortunatamente, CPT 3a versione non è supportata. Versione di revisione zero.
Ora configuriamo gli interruttori inferiori.
SW1(config)#vtp mode client Impostazione del dispositivo in modalità VTP CLIENT.
Viene visualizzato un messaggio che indica che il dispositivo è passato alla modalità client. Il resto è configurato esattamente allo stesso modo.
Affinché i dispositivi possano fare pubblicità, devono trovarsi nello stesso dominio. E c'è una caratteristica qui. Se il dispositivo (in modalità Server o Client) non è membro di alcun dominio, al primo annuncio ricevuto andrà al dominio pubblicizzato. Se il client si trova in un determinato dominio, non accetterà annunci da altri domini. Apriamo SW1 e assicuriamoci che non appartenga a nessun dominio.
Assicurati che sia vuoto.
Ora andiamo allo switch centrale e lo trasferiamo al dominio.
CentrSW(config)#vtp dominio cisadmin.ru Modifica del nome di dominio VTP da NULL a cisadmin.ru
Vediamo un messaggio che è stato trasferito al dominio cisadmin.ru.
Controlliamo lo stato.
E senza dubbio. Il nome di dominio è cambiato. Si noti che il numero di revisione è ancora zero. Cambierà non appena creeremo una VLAN su di esso. Ma prima di crearlo, devi mettere il simulatore in modalità simulazione per vedere come genererà annunci. Creiamo la 20a VLAN e vediamo l'immagine seguente.
Una volta creata la VLAN e incrementato il numero di revisione, il server genera annunci pubblicitari. Ne ha due. Apriamo prima quello a sinistra. Questo annuncio si chiama "Annuncio riepilogativo" o in russo "Annuncio riepilogativo". Questo annuncio viene generato dallo switch una volta ogni 5 minuti, dove si parla del nome di dominio e della revisione corrente. Vediamo come appare.
Nel frame Ethernet, annotare l'indirizzo MAC di destinazione. È lo stesso di sopra quando è stato generato DTP. Cioè, nel nostro caso, risponderanno solo coloro che hanno VTP in esecuzione. Ora diamo un'occhiata al campo successivo.
Ecco solo tutte le informazioni. Analizzerò i campi più importanti.
- Management Domain Name - il nome del dominio stesso (in questo caso, cisadmin.ru).
- Identità dell'Updater - ID di chi effettua l'aggiornamento. Qui, di regola, viene scritto l'indirizzo IP. Ma poiché l'indirizzo non è stato assegnato allo switch, il campo è vuoto
- Aggiorna Timestamp - ora di aggiornamento. L'ora sull'interruttore non è cambiata, quindi l'ora di fabbrica è lì.
- MD5 Digest - Hash MD5. Viene utilizzato per controllare i permessi. Cioè, se il VTP ha una password. Non abbiamo cambiato la password, quindi l'hash predefinito.
Penso che sia chiaro qui. Intestazione separata per ogni tipo di VLAN. L'elenco è così lungo che non si adatta allo schermo. Ma sono esattamente gli stessi, a parte i nomi. Non darò fastidio alla mia testa, il che significa ogni codice. Sì, e in CPT sono più convenzionali qui.
Vediamo cosa succede dopo.
I clienti ricevono annunci. Vedono che il numero di revisione è maggiore del loro e sincronizzano il database. E inviano un messaggio al server che la base VLAN è cambiata.
Come funziona il protocollo VTP
Ecco come funziona in linea di principio il protocollo VTP. Ma ha degli svantaggi molto grandi. E questi sono gli svantaggi in termini di sicurezza. Spiegherò usando l'esempio dello stesso laboratorio. Abbiamo uno switch centrale su cui vengono create le VLAN e poi, tramite multicast, le sincronizza con tutti gli switch. Nel nostro caso, parla di VLAN 20. Suggerisco di dare un'altra occhiata alla sua configurazione.
Nota. Un messaggio VTP arriva al server, dove il numero di revisione è maggiore del proprio. Capisce che la rete è cambiata ed è necessario adattarsi ad essa. Verifichiamo la configurazione.
La configurazione del server centrale è cambiata e ora lo trasmetterà esattamente.
Ora immagina di non avere una VLAN, ma centinaia. Ecco un modo semplice per mettere una rete. Naturalmente, il dominio può essere protetto da password e sarà più difficile per un utente malintenzionato fare del male. E immagina la situazione in cui il tuo interruttore è rotto e devi sostituirlo urgentemente. Tu o il tuo collega correte al magazzino per un vecchio interruttore e dimenticate di controllare il numero di revisione. È più alto degli altri. Quello che succede dopo, l'hai già visto. Pertanto, consiglio di non utilizzare questo protocollo. Soprattutto nelle grandi reti aziendali. Se stai utilizzando VTP versione 3, sentiti libero di impostare gli interruttori in modalità "Off". Se viene utilizzata la 2a versione, passare alla modalità "Trasparente". Aggiungi i tag
Oggi inizierò una piccola serie di articoli sulle VLAN. Partiamo da cos'è, a cosa serve, come configurarlo, e poi andremo più a fondo e studieremo gradualmente, se non tutte, poi la maggior parte di tutte le opportunità che le VLAN ci forniscono.
Quindi, ricorda, abbiamo parlato di un concetto come? Penso che ricordi. Abbiamo anche parlato del fatto che esistono diversi tipi di indirizzi:.
Sulla base di questo, faremo un altro concetto introduttivo. dominio di trasmissione. Cos'è veramente?
Se viene inviato un frame/pacchetto, broadcast (se è un frame, allora il campo Destination Address, tutti i bit sono uguali a uno, oppure nella 16a forma l'indirizzo MAC sarà uguale a: FF FF FF FF FF FF), quindi questo frame verrà inoltrato a tutte le porte dello switch, ad eccezione di quello da cui è stato ricevuto il frame. Questo accadrà quando, ad esempio, il nostro switch non è gestito, o se è gestito, ma tutti si trovano nella stessa VLAN (ne parleremo più avanti).
Di seguito è riportato un elenco di dispositivi che ricevono questi frame di trasmissione e sono chiamati dominio di trasmissione.
Ora decidiamo cos'è la VLAN?
VLAN - Virtual Local Area Network, ad es. qualche rete virtuale. Cosa serve?
VLAN ci consente di separare i domini di trasmissione sullo stesso switch. Quelli. se abbiamo uno switch, assegneremo alcune porte a una VLAN, l'altra a un'altra. E avremo due diversi domini di trasmissione. Naturalmente, le possibilità non si limitano a questo. Ne parlerò ulteriormente, tutto gradualmente.
In breve, la VLAN consente all'amministratore di creare una rete in modo più flessibile suddividendola in alcune sottoreti (ad esempio una rete di contabili, una rete di gestori e così via), in altre parole, la VLAN aiuta a combinare dispositivi con alcuni comuni insieme di requisiti in un unico gruppo e di separarlo da altri gruppi isolati simili.
Farò subito una prenotazione che le VLAN funzionino a livello OSI Layer 2.
Ricordiamo che quando abbiamo considerato il frame, non c'era campo per VLAN lì. Come determinare, quindi, a quale VLAN appartiene questo o quel frame?
Ci sono diversi standard.
1. IEEE 802.1Q - Questo standard è aperto. Questo standard contrassegna un frame particolare che è "attaccato" ad alcune VLAN con tagging.
Il tagging è una funzione dello switch (o di qualsiasi altro dispositivo che "comprende" la VLAN), che inserisce un tag a 4 byte nel frame ethernet. La procedura di tagging non modifica i dati di intestazione, quindi le apparecchiature che non supportano la tecnologia VLAN possono facilmente inoltrare tale frame più avanti lungo la rete, mantenendo il tag.
Ecco come apparirà il frame dopo aver inserito il tag VLAN.
In base alla loro figura, vediamo che il tag VLAN è composto da 4 campi, li descriveremo:
- 2 byte Tag Protocol Identifier (TPID) - questo è l'identificatore del protocollo, nel nostro caso è 802.1Q, nella 16a forma questo campo apparirà come: 0x8100.
- Priorità - un campo per impostare la priorità secondo lo standard 802.1p (a riguardo nei seguenti articoli). La dimensione di questo campo è di 3 bit (8 valori 0-7).
- Indicatore di formato canonico (CFI). Indicatore di formato canonico, la dimensione di questo campo è 1 bit. Questo campo indica il formato dell'indirizzo mac (1 è cononico, 0 non è canonico.)
- ID VLAN, infatti, questo è ciò per cui siamo qui oggi 🙂 ID VLAN. La dimensione del campo è di 12 bit, può assumere un valore compreso tra 0 e 4095.
Quando si utilizza la VLAN (tagging) secondo lo standard 802.1Q, vengono apportate modifiche al frame, quindi è necessario ricalcolare il valore FCS, che viene effettivamente eseguito dallo switch.
Lo standard 802.1Q ha qualcosa come Native VLAN, per impostazione predefinita Native VLAN ID è uguale a uno (può essere modificato), Native VLAN è caratterizzata dal fatto che questa VLAN non è contrassegnata.
2. Collegamento inter-switch (ISL). Un protocollo sviluppato da Cisco e utilizzabile solo sulle proprie apparecchiature.
Questo protocollo è stato sviluppato prima dell'adozione di 802.1Q.
Attualmente, ISL non è più supportato su hardware più recente, ma potresti comunque riscontrare il protocollo in azione, quindi dobbiamo familiarizzare con esso.
A differenza di 802.1Q, dove veniva eseguito un semplice frame tagging (inserendo 4 byte all'interno del frame), qui viene utilizzata la tecnologia di incapsulamento, ovvero viene aggiunta un'intestazione che contiene informazioni sulla VLAN. VLAN ISL, a differenza di 802.1Q, supporta fino a 1000 VLAN.
Considera il frame in una forma grafica, come appare questo incapsulamento.
Qui possiamo immediatamente vedere il primo e forse il più fondamentale inconveniente dell'ISL: si tratta di un aumento del frame di 30 byte (26 byte di intestazione e 4 byte FCS).
Consideriamo più in dettaglio l'intestazione ISL, vediamo cosa è memorizzato lì in così tanti byte!
- Indirizzo di destinazione (DA) - l'indirizzo del destinatario, qui viene indicato un indirizzo multicast speciale, che indica che il frame è incapsulato utilizzando ISL. L'indirizzo multicast può essere 0x01-00-0C-00-00 o 0x03-00-0c-00-00.
- Tipo - lunghezza campo 4 bit, indica il protocollo che è incapsulato nel frame. Può assumere più valori:
0000 ethernet
0001 - Anello dei gettoni
0010 - FDDI
0011-ATM
Nel nostro caso, poiché stiamo considerando Ethernet, questo valore sarà uguale a tutti 0.
- USER - una sorta di analogo "troncato" del campo Priority in 802.1Q, viene utilizzato per impostare la priorità del frame. Sebbene il campo richieda 4 bit, può assumere 4 valori (in 802.1Q - 8).
- Source Address (SA) - indirizzo di origine, questo posto viene sostituito con il valore dell'indirizzo MAC della porta da cui è stato inviato questo frame incapsulato.
- LEN è la lunghezza della cornice. Non tiene conto di campi quali: DA,TYPE,USER,SA,LEN,FCS. Pertanto, risulta che questo valore è uguale al frame incapsulato - 18 byte.
- AAAA03 (SNAP) - SNAP e LLC (Questo campo contiene il valore AAAA03).
- HSA - High Bits of Source Address - 3 byte alti dell'indirizzo MAC (ricorda che questi byte contengono il codice del produttore), per Cisco questo è 00-00-0C
- VLAN - finalmente è arrivato al campo principale. L'ID VLAN è effettivamente specificato qui. Il campo ha una dimensione di 15 bit.
- BPDU - Bridge Protocol Data Unit e Cisco Discovery Protocol. Campo per protocolli BPDU e CDP. Che cos'è e perché, faremo conoscenza nei seguenti articoli.
- INDX - Index, viene indicato l'indice della porta del mittente, utilizzato a scopo diagnostico.
- RES - Riservato a Token Ring e FDDI. Campo riservato per Token Ring e FDDI. Il campo ha 16 bit. Se viene utilizzato il protocollo ethernet, in questo campo vengono inseriti tutti gli zeri.
- Encapsulated Frame è un frame normale che è stato incapsulato. Questo frame ha i propri campi, come DA, SA, LEN, FCS e così via.
- FCS - proprio ISL FCS (poiché il frame è completamente cambiato, è necessario un nuovo controllo del frame, gli ultimi 4 byte sono per questo).
Possiamo trarre alcune conclusioni a favore di 802.1Q.
- Il tagging aggiunge solo 4 byte al frame, a differenza di ISL (30 byte).
- 802.1Q è supportato su qualsiasi apparecchiatura che supporti le VLAN, mentre ISL funziona solo su dispositivi Cisco e non su tutti.
In questo articolo, abbiamo brevemente familiarizzato con il concetto di VLAN. Successivamente, capiremo i dettagli.
VLAN (Virtual Local Area Network, rete locale virtuale) è una funzione in router e switch che consente di creare più reti locali virtuali su un'interfaccia di rete fisica (Ethernet, interfaccia Wi-Fi).
Una VLAN fa parte di una LAN più ampia. Il meccanismo più semplice per isolare varie sottoreti su What is Ethernet, interfacce WI-FI. Per organizzare una VLAN, uno switch di rete (Come scegliere uno switch di rete (switch, switch, switch inglese)) deve supportare la tecnologia VLAN e il protocollo 802.1q.
Vantaggi VLAN:
aumenta il numero di domini di trasmissione, ma riduce le dimensioni di ciascun dominio di trasmissione, che a sua volta riduce il traffico di rete e aumenta la sicurezza della rete (entrambi gli effetti sono legati insieme a causa di un unico grande dominio di trasmissione);
riduce lo sforzo degli amministratori per creare sottoreti;
riduce la quantità di apparecchiature, poiché le reti possono essere separate logicamente e non fisicamente;
migliora la gestione dei vari tipi di traffico.
Termini VLAN
Che cos'è la VLAN nativa: questo è un concetto nello standard 802.1Q, che denota una VLAN sullo switch, in cui tutti i frame vanno senza tag, ad es. il traffico viene trasmesso senza tag. Per impostazione predefinita, questa è la VLAN 1. In alcuni modelli di switch, come Cisco, è possibile modificarla specificando una VLAN diversa come nativa.
Termine senza tag: una sola VLAN può ricevere tutti i pacchetti che non sono assegnati ad alcuna VLAN (nella terminologia di 3Com, Planet, Zyxel - senza tag, nella terminologia Cisco - VLAN nativa). Lo switch aggiungerà i tag di questa VLAN a tutti i frame ricevuti che non hanno alcun tag.
Tronco VLAN è un canale fisico su cui vengono trasmessi diversi canali VLAN, distinti da tag (etichette aggiunte ai pacchetti). I trunk vengono solitamente creati tra "porte con tag" dei dispositivi VLAN: uno switch switch o uno switch router. (Nei documenti Cisco, il termine "trunk" viene utilizzato anche per riferirsi alla combinazione di più collegamenti fisici in uno logico: Link Aggregation, Port Trunking). Il router (switch di livello 3) funge da backbone della rete (backbone) per il traffico di rete di diverse VLAN.
Per dirla semplicemente, vlan è un canale logico all'interno di un canale fisico (cavo) e trunk è un insieme di canali logici (vlan) all'interno di un canale fisico (cavo).
Le VLAN possono essere definite da:
Porto (uso più comune). Le VLAN basate su un numero di porta consentono di identificare una porta specifica in una VLAN. Le porte possono essere definite individualmente, per gruppi, per intere righe e persino tra switch tramite un protocollo trunk. Questo è il metodo più semplice e più comunemente utilizzato per determinare le VLAN. Questo è l'uso più comune dell'implementazione VLAN basata su porta quando le workstation utilizzano il protocollo DHCP/IP dinamico (DHCP). Di seguito è riportato un disegno VLAN basato su porta:
Indirizzo MAC - indirizzo (molto raro). Le VLAN basate su indirizzi MAC consentono agli utenti di trovarsi nella stessa VLAN anche se l'utente si sposta da un luogo all'altro. Questo metodo richiede che l'amministratore determini l'indirizzo MAC di ciascuna workstation e quindi immetta queste informazioni nello Switch. Questo metodo può essere molto difficile da risolvere se l'utente ha modificato l'indirizzo MAC. Eventuali modifiche alla configurazione devono essere approvate dall'amministratore di rete, il che potrebbe causare ritardi amministrativi.
ID utente (molto raro)
VLAN Linux e D-Link DGS-1100-08P
Impostazione DGS-1100-08P. Connettiamoci ad esso nella prima porta. Assegniamogli IP 10.90.91.2. Creiamo 3 VLAN: vlan1 (porta 1 (taggata)) per uso ufficiale, cioè solo per configurare lo switch, vlan22 (porta 1 (taggata); porte 2,3,4 (taggata)), vlan35 (porta 1 (con tag); porte 5,6 (senza tag)). Le porte 7,8 non vengono utilizzate e vengono disabilitate tramite il menu Port Settings(Speed: Disabled). 
Indichiamo che in futuro D-Link DGS-1100-08P (IP 10.90.91.2) potrà essere gestito solo tramite vlan1, ovvero nel nostro caso l'amministratore di sistema dovrà connettersi alla prima porta di DGS-1100-08P ( Quando ci si connette a una porta diversa, lo switch non consentirà l'accesso a 10.90.91.2).
Esaminiamo i parametri del vlan creato nei file ls -l / proc/ net/ vlan/ total 0 -rw------- 1 root root 0 Aug 17 15:06 config -rw----- -- 1 radice radice 0 17 ago 15:06 vlan1 -rw------- 1 radice radice 0 17 ago 15:06 vlan22
La creazione di un vlan tramite vconfig e il caricamento automatico tramite /etc/network/interfaces non ha funzionato, quindi creiamo un file di avvio e lo aggiungiamo al caricamento automatico del server. vlan_create.sh #!/bin/sh -e ip link add link eth4 name vlan22 type vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up
Crea una VLAN denominata vlan22 associata alla porta della scheda di rete eth4. Assegniamogli IP: 192.168.122.254. ip link aggiungi link eth4 nome vlan22 tipo vlan id 22 ip addr aggiungi 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up
Service vlan solo per la configurazione dello switch:
ip link aggiungi link eth4 nome vlan44 tipo vlan id 1 ip addr aggiungi 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 upLa tecnologia VLAN consente di dividere la rete in segmenti logici. Ciascuno di questi segmenti logici ha il proprio dominio di trasmissione. Il traffico Unicast, Broadcast e Multicast viene trasmesso solo tra dispositivi inclusi nella stessa VLAN. La VLAN viene spesso utilizzata per separare i segmenti di rete IP, seguiti dall'instradamento e dal filtraggio del traffico tra diverse VLAN su un router o su uno switch L3.
Come configurare la VLAN su un router Cisco è disponibile nell'articolo Cisco VLAN - configurazione della VLAN su un router Cisco. Qui parleremo della configurazione della VLAN sugli switch Cisco Catalyst.
Prima di configurare la VLAN sullo switch, è necessario decidere se la rete utilizzerà il VTP (VLAN Trunking Protocol) o meno. L'utilizzo di VTP facilita la gestione (creazione, cancellazione, ridenominazione) delle VLAN nella rete. Nel caso di VTP, una modifica (informazioni VLAN) può essere effettuata centralmente, su uno switch, e queste modifiche si propagheranno ad altri switch nella rete. Se non si utilizza VTP, è necessario apportare modifiche su ogni switch.
VTP impone i suoi limiti: VTP versione 1 e 2 supportano solo l'intervallo VLAN di base (da 1 a 1005), il supporto per l'intervallo esteso (da 1006 a 4094) è possibile solo nel protocollo versione 3. Il supporto per il protocollo VTP versione 3 inizia con Cisco IOS versione 12.2 (52)SE e successive. Prenderemo in considerazione l'impostazione del protocollo VTP in un altro articolo, ma in questo assumeremo che non stiamo utilizzando VTP.
La configurazione della VLAN sullo switch può essere suddivisa in tre fasi: creazione di una VLAN, configurazione delle porte, verifica.
1. Creare una VLAN su Cisco Catalyst
I numeri VLAN (ID VLAN) possono variare da 1 a 4094:
1 - 1005 intervallo di base (intervallo normale)
1002 - 1005 riservato a Token Ring e VLAN FDDI
1006 - 4094 intervallo esteso
Durante la creazione o la modifica di una VLAN, è possibile impostare le seguenti opzioni:
| ID VLAN | Numero VLAN |
| Nome VLAN ( nome) | Nome VLAN |
| tipo VLAN( media) | Tipo di VLAN (Ethernet, Fiber Distributed Data Interface, titolo entità di rete FDDI, TrBRF o TrCRF, Token Ring, Token Ring-Net) |
| Stato VLAN ( stato) | Stato VLAN (attiva o sospesa) |
| MTU VLAN( mtu) | La dimensione massima di un blocco di dati che può essere trasmesso a livello di collegamento dati |
| DISSE ( disse) | Identificatore di associazione di sicurezza - identificatore di associazione di sicurezza (standard IEEE 802.10) |
| SPAN remoto ( intervallo remoto) | Creazione di una VLAN per il monitoraggio del traffico remoto (in futuro, in una tale VLAN, è possibile eseguire il mirroring del traffico da qualsiasi porta e inviarlo tramite il trunk a un altro switch, in cui il traffico da questa VLAN viene inviato alla porta desiderata con uno sniffer connesso ) |
| Numero di identificazione del bridge per VLAN TrBRF ( ponte) | Identificatore del numero di bridge per la funzione TrBRF (Token Ring Bridge Relay Function). Lo scopo della funzione è creare un ponte di anelli. |
| Numero di squillo per VLAN FDDI e TrCRF ( squillare) | Numero di anello per VLAN di tipo FDDI e TrCRF (funzioni relè concentratore Token Ring). TrCRF sono chiamati anelli che sono inclusi nel ponte. |
| Numero VLAN principale per VLAN TrCRF ( genitore) | Numero VLAN principale per tipo VLAN FDDI o Token Ring |
| Tipo Spanning Tree Protocol (STP) per TrCRF VLAN ( tipo stp) | Tipo Spanning Tree Protocol (STP) per tipo VLAN TrCRF |
| VLAN traslazionale numero 1 ( tb-vlan1) | Numero VLAN per la conversione iniziale da un tipo di VLAN a un altro |
| VLAN traslazionale numero 2 ( tb-vlan2) | Numero VLAN da rimappare da un tipo di VLAN a un altro |
In pratica, molto spesso, quando si crea una VLAN, vengono impostati solo l'ID VLAN e il nome VLAN.
Valori standard:
Per creare una VLAN è necessario:
1. Entra in modalità privilegiata e inserisci la password richiesta (comando " abilitare«)
Sw1> sw1> abilita Password: sw1#
2. Passa alla modalità di configurazione globale (comando " configurare il terminale«)
Sw1# sw1#configure terminal Immettere i comandi di configurazione, uno per riga. Termina con CNTL/Z. sw1(config)#
3. Crea una VLAN con il comando " vlan ID ", dove ID - Numero VLAN (Dopo la creazione, la console entrerà nella modalità di configurazione VLAN, dove è possibile impostare i parametri sopra elencati per la VLAN)
sw1(config)# sw1(config)#vlan 200 sw1(config-vlan)#
4. Impostare i parametri necessari per la VLAN creata (ad esempio, nome)
Sw1(config-vlan)# sw1(config-vlan)#name TESTVLAN sw1(config-vlan)#
Se, nella modalità di configurazione VLAN, si inserisce un punto interrogativo, verranno visualizzati i parametri impostabili per questa VLAN:
Sw1(config-vlan)#? Comandi di configurazione VLAN: sono Numero massimo di tutti gli hop di Route Explorer per questa VLAN (o zero se non specificato) backupcrf Modalità CRF di backup del bridge VLAN Caratteristiche di bridging dell'uscita VLAN Applica modifiche, numero di revisione del bump e supporto della modalità di uscita Tipo di supporto di la VLAN mtu VLAN Nome unità di trasmissione massima Nome Ascii della VLAN no Nega un comando o imposta i suoi valori di default numero ID genitore della VLAN padre di FDDI o VLAN di tipo Token Ring private-vlan Configura una VLAN privata remote-span Configura come VLAN SPAN remota ring Numero dell'anello di VLAN di tipo FDDI o Token Ring dette IEEE 802.10 SAID shutdown Stato di commutazione della VLAN di arresto Stato operativo della VLAN ste Numero massimo di hop di Spanning Tree Explorer per questa VLAN (o zero se non specificato) stp Caratteristiche dello spanning tree della VLAN tb -vlan1 Numero ID della prima VLAN traslazionale per questa VLAN (o zero se nessuna) tb-vlan2 Numero ID della seconda VLAN traslazionale per questa VLAN (o zero se nessuna)
5. Uscire dalla modalità di configurazione vlan (comando " Uscita"o" fine" - uscita dalla modalità di configurazione globale)
Sw1(config-vlan)# sw1(config-vlan)#end sw1#
Non dimenticare di salvare la configurazione con il comando " copia running-config startup-config» in modalità privilegiata
Sw1# sw1#copy running-config startup-config Nome file di destinazione ? configurazione dell'edificio...
Puoi eliminare una VLAN con il comando " nessun vlan ID » in modalità di configurazione globale:
sw1(config)# sw1(config)#no vlan 200 sw1(config)#
2. Configurazione delle porte su Cisco Catalyst
Una porta su uno switch Cisco può essere in una delle seguenti modalità:
accesso- la porta è destinata al collegamento di un dispositivo terminale. Appartiene a una sola VLAN. Il traffico in entrata da un dispositivo connesso alla porta è contrassegnato con la VLAN specificata sulla porta.
tronco- la porta è destinata alla connessione ad un altro switch o router. La porta trasmette il traffico contrassegnato. Può trasmettere il traffico di una e più VLAN attraverso un cavo fisico.
Su Cisco Catalyst, puoi impostare tu stesso la modalità porta (trunk o access) o impostare il rilevamento automatico. Con il rilevamento automatico della modalità, la porta verrà negoziata con un vicino (uno switch o un altro dispositivo collegato a questa porta). La negoziazione della modalità porta avviene trasmettendo frame DTP (Dynamic Trunking Protocol). Per il corretto funzionamento del protocollo DTP, è necessario che le interfacce siano nello stesso dominio VTP (uno dei domini VTP era nullo, impreciso)
Il rilevamento automatico della modalità porta è impostato dal comando " modalità switchport dinamica automatica' o '' in modalità di configurazione dell'interfaccia.
modalità switchport dinamica automaticatronco" o " dinamico auspicabile«
Se l'interfaccia è impostata su " modalità switchport dinamica desiderabile" - quindi la porta passa in modalità trunk solo se la porta dello switch adiacente è impostata su " tronco" o " dinamico auspicabile" o " dinamico auto«
Non tutti i dispositivi supportano il DTP, oppure possono trasmettere frame DTP in modo errato, in tal caso è meglio impostare la modalità (accesso o trunk) forzatamente con i comandi “ accesso in modalità switchport" o " trunk in modalità switchport» nella modalità di configurazione dell'interfaccia, e disabilitare la trasmissione dei frame DTP con il comando « switchport non negoziare«.
Configurazione della porta predefinita:
Impostazione della porta per il rilevamento automatico.
Azioni:
abilitare«)
configurare il terminale«)
interfaccia interfaccia-id ", dove interfaccia-id - nome e numero dell'interfaccia, ad esempio "Interface GigabitEthernet0/21"
— impostare la modalità dinamica della porta/interfaccia (comando: " modalità switchport dinamica automatica" o " modalità switchport dinamica desiderabile«)
- (opzionale) impostare la VLAN che sarà sull'interfaccia se la porta passa dalla modalità trunk alla modalità di accesso, per impostazione predefinita VLAN 1 (comando: " switchport accesso vlan vlan-id ", dove vlan-id - Numero VLAN)
- (opzionale) imposta la VLAN nativa, per trunk IEEE 802.1q, la VLAN nativa 1 per impostazione predefinita (comando: " switchport trunk vlan nativo vlan-id ", dove vlan-id - Numero VLAN nativo)
— aggiungi/rimuovi VLAN nel trunk, per impostazione predefinita sono consentiti tutti i numeri VLAN (comandi: " switchport trunk consentito vlan add lista vlan » - aggiunge al trunk le VLAN elencate lista vlan, « Il trunk switchport ha consentito la rimozione di vlan lista vlan » - rimuove le VLAN dal trunk, elencate in lista vlan, in lista vlan i vlan sono elencati separati da virgole senza spazi e gli intervalli sono separati da trattini, ad esempio 2,20,30-40,50 ). È possibile impostare immediatamente l'elenco delle VLAN richieste (comando: " trunk switchport consentito vlan lista vlan «)
nessun arresto«)
Uscita" o " fine»)
Terminale Sw1#configure Immettere i comandi di configurazione, uno per riga. Termina con CNTL/Z. sw1(config)#interface gigabitEthernet 0/23 sw1(config-if)#switchport mode dynamic desiderabile sw1(config-if)#switchport access vlan 50 sw1(config-if)#switchport trunk native vlan 100 sw1(config-if) #switchport trunk consentito vlan 2.30-35.40 sw1(config-if)#nessun arresto sw1(config-if)#end sw1#
In questo esempio, la porta 23 sarà impostata sulla modalità trunk se la porta sullo switch neighbor è impostata su dynamic auto o dynamic desiderabile o trunk . Solo la VLAN 2, la VLAN da 30 a 35 e la VLAN 40 verranno trasmesse nel trunk access, quindi l'interfaccia verrà posizionata nella VLAN 50.
Accedere all'impostazione della porta.
La VLAN sulla porta di accesso può essere impostata in modo statico o automatico. L'assegnazione automatica della VLAN si basa sull'indirizzo MAC di origine tramite VQP (VLAN Query Protocol) e VMPS (VLAN Management Policy Server). Solo gli switch dei modelli precedenti, come la serie Catalyst 4000, 5000 e 6500, possono fungere da server VMPS. In questo articolo non prenderemo in considerazione la configurazione automatica di una porta di accesso tramite VQP. Qui verrà mostrata solo l'impostazione VLAN statica sulla porta di accesso.
Per includere la porta di accesso nella VLAN richiesta, devi fare:
- entra in modalità privilegiata (comando: " abilitare«)
— entrare nella modalità di configurazione globale (comando: " configurare il terminale«)
— entrare nella modalità di configurazione dell'interfaccia di rete (comando: " interfaccia interfaccia-id ", dove interfaccia-id - nome e numero dell'interfaccia)
— impostare la modalità porta/interfaccia "access" (comando: " accesso in modalità switchport«)
— imposta la VLAN sulla porta/interfaccia (comando: " switchport accesso vlan vlan-id ", dove vlan-id - Numero VLAN)
— abilita porta/interfaccia (comando: " nessun arresto«)
— uscire dalla modalità di configurazione dell'interfaccia (comando: " Uscita" o " fine»)
Connetti un server alla 22a porta dello switch, che deve essere collocata nella 200a VLAN
Impostazione della porta:
Sw1> sw1>enable Password: sw1# sw1#configure terminal Immettere i comandi di configurazione, uno per riga. Termina con CNTL/Z. sw1(config)#interface GigabitEthernet0/22 sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 200 sw1(config-if)#no shutdown sw1(config-if)#exit sw1(config )#esci sw1#
Configurazione della porta trunk.
La configurazione della porta in modalità trunk è identica alla configurazione della porta in modalità di rilevamento automatico, tranne per il fatto che la modalità deve essere specificata non dinamica ma trunk.
Sw6# sw6#configure terminal Immettere i comandi di configurazione, uno per riga. Termina con CNTL/Z. sw6(config)#interface gigabitEthernet 0/23 sw6(config-if)#switchport trunk mode sw6(config-if)#switchport trunk consentito vlan 2.30-35.40 sw6(config-if)#no shutdown sw6(config -if)# fine sw6#
Nell'esempio, un trunk è impostato sulla 23a porta, nel trunk sono consentiti solo VLAN 2, VLAN da 30 a 35 e VLAN 40
L'aggiunta di una VLAN a una porta trunk viene eseguita dal comando: " switchport trunk consentito vlan addNUM_VLAN«
Un esempio di aggiunta di vlan 100 e 200 a quelli esistenti, nella porta trunk 23:
Sw6# sw6#configure terminal Immettere i comandi di configurazione, uno per riga. Termina con CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk consentito vlan add 100.200 sw6(config-if)# sw6(config-if)#end sw6#
La rimozione di una VLAN da una porta trunk viene eseguita dal comando: " Il trunk switchport ha consentito la rimozione di vlanNUM_VLAN«
Un esempio di eliminazione dei vlan 100 e 200 da quelli esistenti, nella porta trunk 23:
Sw6# sw6#configure terminal Immettere i comandi di configurazione, uno per riga. Termina con CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk consentito vlan rimuovere 100.200 sw6(config-if)# sw6(config-if)#end sw6#
Alcuni switch Cisco supportano due protocolli per lavorare con le VLAN: IEEE 802.1q e ISL. Il protocollo ISL è già obsoleto e non è supportato su molti switch moderni. Pertanto, è preferibile utilizzare il protocollo IEEE 802.1q
Su tali switch, prima di configurare la porta in modalità trunk, è necessario selezionare il tipo di incapsulamento dot1q (comando: " incapsulamento del trunk switchport dot1q» in modalità configurazione interfaccia)
3. Controllare l'impostazione VLAN
Visualizza le informazioni sul protocollo VTP: « mostra lo stato vtp«
Mostra le informazioni su tutte le VLAN sullo switch: " mostra vlan«
Visualizza le informazioni su una VLAN specifica e scopri su quali porte si trova: " mostra vlan id vlan-id «
Visualizza modalità di funzionamento della porta, vlan nativo, vlan di accesso, ecc.: " mostra le interfacce interfaccia-id porta dell'interruttore«
A volte, è necessario creare un'interfaccia di livello 3 per una VLAN sullo switch. Ad esempio, per instradare e filtrare il traffico IP tra diverse VLAN (deve esserci supporto per il livello L3 sia dal modello di switch stesso che dalla versione IOS). Oppure crea semplicemente un'interfaccia per gestire questo switch in una VLAN speciale.
L'interfaccia di rete per la VLAN viene creata nella modalità di configurazione globale con il comando: " interfaccia vlan-id ", dove vlan-id è il numero VLAN.
Un esempio di creazione di un'interfaccia L3 per VLAN 200.
