În prezent, multe organizații și întreprinderi moderne practic nu folosesc o oportunitate atât de utilă, și adesea necesară, precum organizarea unui virtual (VLAN) în cadrul unei infrastructuri integrale, care este oferită de majoritatea switch-urilor moderne. Acest lucru se datorează multor factori, așa că merită să luăm în considerare această tehnologie din punctul de vedere al posibilității de utilizare a acesteia în astfel de scopuri.
descriere generala
Pentru început, merită să decideți care sunt VLAN-urile. Prin aceasta se înțelege un grup de computere conectate la o rețea care sunt grupate logic într-un domeniu de distribuție a mesajelor difuzate pe baza unui atribut specific. De exemplu, grupurile pot fi distinse în funcție de structura întreprinderii sau de tipurile de muncă la un proiect sau sarcină împreună. VLAN-urile oferă mai multe beneficii. Pentru început, vorbim de o utilizare mult mai eficientă a lățimii de bandă (în comparație cu rețelele locale tradiționale), de un grad sporit de protecție a informațiilor care sunt transmise, precum și de o schemă simplificată de administrare.
Deoarece atunci când se utilizează un VLAN, întreaga rețea este împărțită în domenii de difuzare, informațiile din cadrul unei astfel de structuri sunt transmise numai între membrii săi și nu către toate computerele din rețeaua fizică. Rezultă că traficul de difuzare generat de servere este limitat la un domeniu predefinit, adică nu este difuzat către toate posturile din această rețea. În acest fel, este posibil să se realizeze o distribuție optimă a lățimii de bandă a rețelei între grupuri dedicate de computere: serverele și stațiile de lucru din diferite VLAN-uri pur și simplu nu se văd.
Cum decurg toate procesele?
Într-o astfel de rețea, informațiile sunt destul de bine protejate împotriva schimbului de date efectuat în cadrul unui grup specific de computere, adică nu pot primi trafic generat într-o altă structură similară.
Dacă vorbim despre ce sunt VLAN-urile, atunci este oportun să remarcăm un astfel de avantaj al acestei metode de organizare, deoarece rețeaua simplificată afectează sarcini precum adăugarea de noi elemente în rețea, mutarea lor și, de asemenea, ștergerea lor. De exemplu, dacă un utilizator VLAN se mută într-o locație diferită, administratorul de rețea nu trebuie să reconnecteze cablurile. Trebuie doar să configureze echipamentul de rețea de la locul său de muncă. În unele implementări ale unor astfel de rețele, mișcarea membrilor grupului poate fi controlată automat, fără a necesita măcar intervenția unui administrator. Trebuie doar să știe cum să configureze VLAN-ul pentru a efectua toate operațiunile necesare. El poate crea noi grupuri logice de utilizatori fără să se ridice măcar de pe scaun. Toate acestea economisesc mult timp de lucru, ceea ce poate fi util pentru rezolvarea unor probleme nu mai puțin importante.
Metode de organizare VLAN
Există trei opțiuni diferite: bazat pe port, bazat pe L3 sau bazat pe MAC. Fiecare metodă corespunde unuia dintre cele trei straturi inferioare ale modelului OSI: fizic, de rețea și, respectiv, de legătură de date. Dacă vorbim despre ce sunt VLAN-urile, atunci este de remarcat prezența unei a patra metode de organizare - bazată pe reguli. Acum este rar folosit, deși oferă multă flexibilitate. Puteți lua în considerare mai detaliat fiecare dintre metodele enumerate pentru a înțelege ce caracteristici au.
VLAN bazat pe porturi
Aceasta presupune o grupare logică de porturi de comutare fizice specifice selectate pentru comunicare. De exemplu, poate determina că anumite porturi, de exemplu, 1, 2 și 5 formează VLAN1, iar numerele 3, 4 și 6 sunt folosite pentru VLAN2 și așa mai departe. Un port al comutatorului poate fi folosit pentru a conecta mai multe computere, pentru care, de exemplu, este utilizat un hub. Toți vor fi definiți ca membri ai unei rețele virtuale, la care este înregistrat portul de serviciu al comutatorului. Această legare strânsă a apartenenței la rețeaua virtuală este principalul dezavantaj al acestei organizații.
VLAN bazat pe adrese MAC
Această metodă se bazează pe utilizarea adreselor unice hexazecimale ale stratului de legătură disponibile pentru fiecare server sau stație de lucru din rețea. Dacă vorbim despre ce sunt VLAN-urile, atunci este de remarcat faptul că această metodă este considerată a fi mai flexibilă în comparație cu cea anterioară, deoarece este foarte posibil să se conecteze computere aparținând diferitelor rețele virtuale la un port de comutare. În plus, monitorizează automat mișcarea computerelor de la un port la altul, ceea ce vă permite să păstrați clientul aparținând unei anumite rețele fără intervenția administratorului.
Principiul de funcționare aici este foarte simplu: comutatorul menține un tabel de corespondență între adresele MAC ale stațiilor de lucru și rețelele virtuale. De îndată ce computerul trece la un alt port, câmpul adresei MAC este comparat cu datele din tabel, după care se ajunge la concluzia corectă despre apartenența computerului la o anumită rețea. Dezavantajele acestei metode sunt complexitatea configurației VLAN, care poate provoca inițial erori. În ciuda faptului că comutatorul construiește independent tabelele de adrese, administratorul de rețea trebuie să se uite la toate pentru a determina care adrese corespund căror grupuri virtuale, după care le atribuie VLAN-urilor corespunzătoare. Și aici există un loc pentru erori, ceea ce se întâmplă uneori în VLAN-urile Cisco, a căror configurare este destul de simplă, dar redistribuirea ulterioară va fi mai dificilă decât în cazul utilizării porturilor.
VLAN bazat pe protocoale de nivel al treilea
Această metodă este rar folosită la comutatoarele de grup de lucru sau departament. Este tipic pentru coloana vertebrală echipată cu facilități de rutare încorporate pentru principalele protocoale LAN - IP, IPX și AppleTalk. Această metodă presupune că un grup de porturi de comutare care aparțin unui anumit VLAN va fi asociat cu o subrețea IP sau IPX. În acest caz, flexibilitatea este oferită de faptul că deplasarea unui utilizator către un alt port, care aparține aceleiași rețele virtuale, este monitorizată de comutator și nu trebuie reconfigurată. Rutarea VLAN în acest caz este destul de simplă, deoarece comutatorul în acest caz analizează adresele de rețea ale computerelor care sunt definite pentru fiecare dintre rețele. Această metodă acceptă, de asemenea, interacțiunea între diferite VLAN-uri fără utilizarea unor instrumente suplimentare. Există, de asemenea, un dezavantaj al acestei metode - costul ridicat al comutatoarelor în care este implementată. VLAN Rostelecom suport lucrează la acest nivel.
concluzii
După cum ați înțeles deja, rețelele virtuale sunt un instrument destul de puternic care poate rezolva probleme legate de securitatea transmiterii datelor, administrare, controlul accesului și creșterea eficienței utilizării.
Să ne imaginăm următoarea situație. Avem un birou al unei companii mici cu 100 de calculatoare și 5 servere în arsenalul său. Totodată, această firmă angajează diverse categorii de angajați: manageri, contabili, ofițeri de personal, tehnicieni specialiști, administratori. Este necesar ca fiecare dintre departamente să lucreze în propria sa subrețea. Cum să diferențiem traficul acestei rețele? În general, există două astfel de moduri: prima modalitate este de a împărți grupul de adrese IP în subrețele și de a-și aloca propria subrețea pentru fiecare departament, a doua modalitate este de a folosi VLAN-uri.
VLAN (Virtual Local Area Network) este un grup de noduri de rețea al căror trafic, inclusiv difuzarea, este complet izolat de traficul altor noduri de rețea la nivel de legătură. În rețelele moderne, VLAN-urile sunt mecanismul principal pentru crearea unei topologii de rețea logice care este independentă de topologia sa fizică.
Tehnologia VLAN este definită în IEEE 802.1q, un standard deschis care descrie o procedură de etichetare pentru transmiterea informațiilor de membru VLAN. 802.1q plasează o etichetă în interiorul cadrului Ethernet care transmite informații despre traficul care aparține unui VLAN.
Luați în considerare câmpurile VLAN TAG:
- TPID (Tag Protocol Identifier) - identificator de protocol de etichetare. Indică ce protocol este utilizat pentru etichetare. Pentru 802.1Q, valoarea este 0x8100.
- Prioritate - prioritate. Folosit pentru a seta prioritatea traficului transmis (QoS).
- CFI (Canoncial Format Indicator) - indică formatul adresei MAC (Ethernet sau Token Ring).
- VID (Vlan Indentifier) - identificator VLAN. Indică cărei VLAN îi aparține cadrul. Puteți specifica un număr de la 0 la 4094.
Când trimite cadre, computerul nu știe în ce VLAN se află - comutatorul face acest lucru. Comutatorul știe la ce port este conectat computerul și, pe baza acestuia, va determina în ce VLAN se află acest computer.
Comutatorul are două tipuri de porturi:
- Port etichetat (etichetat, trunk) - un port prin care puteți transmite sau primi trafic de la mai multe grupuri VLAN. Când este transmis printr-un port etichetat, o etichetă VLAN este adăugată la cadru. Folosit pentru a se conecta la comutatoare, routere (adică acele dispozitive care recunosc etichetele VLAN).
- Port neetichetat (neetichetat, acces) - portul prin care sunt transmise cadrele neetichetate. Folosit pentru a se conecta la nodurile finale (calculatoare, servere). Fiecare port neetichetat se află pe un anumit VLAN. Când traficul este transmis de pe acest port, eticheta VLAN este eliminată și traficul neetichetat merge către computer (care nu recunoaște VLAN-ul). În caz contrar, atunci când traficul este primit pe un port neetichetat, i se adaugă o etichetă VLAN.
Configurarea VLAN pe Dlink DES-3528 Managed Switch
Seria de switch-uri DES-3528/3552 xStack sunt switch-uri de acces stivuibile L2 + care conectează în siguranță utilizatorii finali la întreprinderi mari și la rețelele întreprinderilor mici și mijlocii (IMM). Comutatoarele oferă stivuire fizică, rutare statică, suport multicast și caracteristici avansate de securitate. Toate acestea fac din acest dispozitiv o soluție ideală de nivel de acces. Comutatorul se integrează cu ușurință cu comutatoarele de bază L3 pentru a forma o țesătură de rețea cu mai multe straturi, cu backbone de mare viteză și servere centralizate. Switch-urile din seria DES-3528/3552 sunt echipate cu 24 sau 48 porturi Ethernet 10 / 100Mbps și acceptă până la 4 porturi Gigabit Ethernet uplink.
Să luăm în considerare principiile configurației VLAN pe comutatoarele Dlink gestionate. Pe parcursul activității noastre, vom studia cum să creăm, să ștergem, să schimbăm VLAN-uri, să adăugăm diferite tipuri de porturi (etichetate și neetichetate).
Conexiunea la switch se face prin portul consolei folosind programul HyperTerminal.
Utilizați comanda show vlan pentru a vizualiza informații despre VLAN-urile existente.
În figura de mai sus, puteți vedea că inițial a fost creat un singur VLAN implicit pe comutator cu numele implicit. Comanda show vlan afișează următoarele câmpuri:
- VID - identificator VLAN
- Tip VLAN - tip VLAN
- Porturile membre - porturile implicate
- Porturi statice - porturi statice
- Porturi etichetate curente - porturi etichetate curente
- Current Untagged Ports - porturi curente neetichetate
- Static Tagged Ports - porturi etichetate static
- Static Untagged Ports - porturi statice neetichetate
- Total de intrări - total de intrări
- Nume VLAN - nume VLAN
- Publicitate - stare
Să creăm un nou VLAN folosind inițialele AA ca nume și numărul 22 ca identificator. Pentru a face acest lucru, vom folosi comanda create vlan.
Noul VLAN nu include încă niciun port. Folosind config vlan, schimbați VLAN AA, astfel încât porturile etichetate 10, 14-17 și porturile neetichetate 2-5 să apară în el.
Utilizați comanda show vlan pentru a afișa informații despre VLAN-urile create.
Se știe că porturile etichetate pot aparține mai multor VLAN-uri, iar porturile neetichetate pot aparține doar unui singur VLAN. În prezent, atât porturile etichetate, cât și cele neetichetate sunt incluse în VLAN implicit și VLAN AA. Utilizați comanda config vlan pentru a elimina toate porturile utilizate în VLAN AA din VLAN implicit.
Din imaginea de mai sus, puteți vedea că acum porturile 2-5, 10, 14-17 sunt doar în VLAN AA.
Luați în considerare împărțirea rețelei în diferite VLAN-uri. Circuitul este asamblat în dulapul de cablaje și este configurată subrețeaua 10.0.0.0 / 8.
La momentul inițial de timp, toate computerele sunt pe aceeași subrețea și fac ping între ele. Este necesar să le separați astfel încât PC22, PC20, PC18 să fie într-un VLAN, iar PC 19, PC21 să fie într-un alt VLAN. Pentru a face acest lucru, creați două VLAN-uri:
- VLAN = 10 numit net1 (PC18, PC20, PC22)
- VLAN = 20 numit net2 (PC19, PC21)
Pentru switch-uri, a fost elaborat un plan de configurare a portului pe baza diagramei. În același timp, s-a luat în considerare faptul că porturile neetichetate trebuie folosite pentru computere, iar porturile etichetate pentru conexiunile între switch-uri. La configurarea comutatoarelor, porturile etichetate au fost plasate în VLAN = 10 și VLAN = 20, iar porturile neetichetate au fost plasate numai în VLAN-ul căruia îi aparține computerul.
Pe fiecare dintre comutatoare, trebuie să configurați porturile conform diagramei. Figura de mai jos prezintă un exemplu de setare SW5. Mai întâi, se creează un vlan cu identificatorul net1 și eticheta 10. Apoi, creăm al doilea vlan net2 cu eticheta 20. După aceea, adăugăm porturile de comutare la vlan-ul corespunzător. Portul 1 este conectat la PC22, care se află în VLAN 10. Aceasta înseamnă că portul 1 va fi neetichetat. Al doilea port este conectat la SW4 conform schemei și trebuie să treacă prin el însuși 10 și 20 de VLAN-uri.
Restul comutatoarelor sunt configurate prin analogie.
Utilizați comanda show vlan pentru a vizualiza fiecare dintre VLAN-urile pe care le-am creat.
VLAN (Virtual Local Area Network) este o funcție în routere și switch-uri care vă permite să creați mai multe VLAN-uri pe o singură interfață de rețea fizică (Ethernet, interfață Wi-Fi).
VLAN face parte dintr-un LAN mai mare. Cel mai simplu mecanism pentru izolarea diferitelor subrețele pe Ce este Ethernet, interfețe WI-FI. Pentru a organiza un VLAN, un comutator de rețea (Cum să alegi un comutator de rețea (comutator, comutator)) trebuie să accepte tehnologia VLAN și protocolul 802.1q.
Avantaje VLAN:
crește numărul de domenii de difuzare, dar scade dimensiunea fiecărui domeniu de difuzare, ceea ce la rândul său reduce traficul de rețea și crește securitatea rețelei (ambele consecințe sunt legate între ele datorită unui singur domeniu de difuzare mare);
reduce efortul administratorilor de a crea subrețele;
reduce cantitatea de echipamente, deoarece rețelele pot fi separate mai degrabă logic decât fizic;
îmbunătățește gestionarea diferitelor tipuri de trafic.
Termenii VLAN
Ce este VLAN nativ? Acesta este un concept din standardul 802.1Q care înseamnă VLAN pe un comutator, unde toate cadrele merg fără etichetă, de exemplu. traficul este trimis neetichetat. În mod implicit, acesta este VLAN 1. La unele modele de switch, cum ar fi Cisco, acest lucru poate fi modificat prin specificarea unui alt VLAN ca nativ.
Termen neetichetat: un singur VLAN poate primi toate pachetele care nu sunt alocate niciunui VLAN (în terminologia 3Com, Planet, Zyxel - neetichetat, în terminologia Cisco - VLAN nativ). Comutatorul va adăuga etichete ale acestui VLAN la toate cadrele primite care nu au nicio etichetă.
Trompă VLAN este un canal fizic care transportă mai multe canale VLAN, care se disting prin etichete (etichete adăugate la pachete). Trunkurile sunt de obicei create între „porturile etichetate” ale dispozitivelor VLAN: un comutator-comutator sau un comutator-ruter. (În documentele Cisco, termenul „trunk” se mai numește și agregarea mai multor legături fizice într-una logică: Link Aggregation, Port Trunking). Un router (comutator de nivel 3) acționează ca o coloană vertebrală pentru traficul de rețea al diferitelor VLAN-uri.
Pentru a spune simplu, vlan este un canal logic într-un canal fizic (cablu), iar trunchiul este un set de canale logice (vlan) într-un canal fizic (cablu).
VLAN-urile pot fi identificate prin:
Porto (utilizare cea mai frecventă). Port VLAN-urile vă permit să identificați un anumit port într-un VLAN. Porturile pot fi definite individual, în grupuri, în rânduri întregi și chiar în diferite switch-uri prin intermediul protocolului trunk. Aceasta este cea mai simplă și mai frecvent utilizată metodă de detectare a VLAN. Aceasta este cea mai comună utilizare a injecției VLAN bazate pe porturi atunci când stațiile de lucru utilizează protocolul TCP / IP Dynamic Configuration Protocol (DHCP). Mai jos este o imagine a unui VLAN bazat pe port:
Adresă MAC - adresa (foarte rar). VLAN-urile bazate pe adrese MAC permit utilizatorilor să fie pe același VLAN chiar dacă utilizatorul se mută dintr-o locație în alta. Această metodă necesită ca un administrator să determine adresa MAC a fiecărei stații de lucru și apoi să introducă aceste informații în comutator. Această metodă poate fi foarte dificil de depanat dacă utilizatorul a schimbat adresa MAC. Orice modificare a configurației trebuie să fie coordonată cu administratorul de rețea, ceea ce poate cauza întârzieri administrative.
ID utilizator (foarte rar)
VLAN Linux și D-Link DGS-1100-08P
Configurarea DGS-1100-08P... Să ne conectăm la el pe primul port. Să-i atribuim IP 10.90.91.2. Să creăm 3 VLAN-uri: vlan1 (portul 1 (etichetat)) pentru utilizarea serviciului, adică numai pentru configurarea comutatorului, vlan22 (portul 1 (etichetat); porturile 2,3,4 (neetichetat)), vlan35 (portul 1 ( etichetat); porturi 5.6 (neetichetat)). Porturile 7.8 sunt neutilizate și dezactivate prin meniul Port Settings (Speed: Disabled). 
Menționăm că pe viitor puteți controla D-Link DGS-1100-08P (IP 10.90.91.2) doar prin vlan1, adică în cazul nostru, administratorul de sistem trebuie să se conecteze la primul port al DGS-1100-08P (La conectarea la alt port - comutatorul nu va permite accesul la 10.90.91.2).
Ne uităm la parametrii vlan-ului creat în fișierele ls -l / proc / net / vlan / total 0 -rw ------- 1 root root 0 Aug 17 15:06 config -rw ----- -- 1 rădăcină rădăcină 0 Aug 17 15:06 vlan1 -rw ------- 1 rădăcină rădăcină 0 Aug 17 15:06 vlan22
Crearea unui vlan prin vconfig și încărcarea automată prin / etc / network / interfețe nu au funcționat, prin urmare creăm un fișier de pornire și îl scriem în bootstrapping-ul serverului. vlan_create.sh #! / bin / sh -e ip link adăugați link eth4 nume vlan22 tip vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up
Creați un VLAN numit vlan22 legat de portul eth4. Să îi atribuim un IP: 192.168.122.254. link ip adăugați link eth4 nume vlan22 tip vlan id 22 ip addr adăugați 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up
Vlan de service numai pentru configurarea comutatorului:
ip link adăugați link eth4 nume vlan44 tip vlan id 1 ip addr adăugați 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 up ip link adăugați link eth4 nume vlan35 tip vlan id 35 ip addr add 192.168.35.254/ 24 deconfig vlan34 up vlan349) Rutare: static și dinamic pe exemplul RIP, OSPF și EIGRP.
10) Traducerea adreselor de rețea: NAT și PAT.
11) Protocoale de redundanță primul hop: FHRP.
12) Securitatea rețelelor de calculatoare și rețelele private virtuale: VPN.
13) Rețele globale și protocoale utilizate: PPP, HDLC, Frame Relay.
14) Introducere în IPv6, configurare și rutare.
15) Managementul rețelei și monitorizarea rețelei.
P.S. Poate că, în timp, lista va fi completată.
În articolele anterioare, am lucrat deja cu multe dispozitive de rețea, am înțeles cum diferă între ele și am examinat în ce constau cadrele, pachetele și alte PDU-uri. În principiu, cu aceste cunoștințe, puteți organiza o rețea locală simplă și puteți lucra în ea. Dar lumea nu stă pe loc. Există tot mai multe dispozitive care încarcă rețeaua sau, și mai rău, reprezintă o amenințare la adresa securității. Și, de regulă, „pericol” apare înaintea „securității”. Acum voi arăta asta cu cel mai simplu exemplu.
Nu ne vom referi deocamdată la routere și subrețele diferite. Să presupunem că toate nodurile sunt pe aceeași subrețea.
Voi oferi imediat o listă de adrese IP:
- PC1 - 192.168.1.2/24
- PC2 - 192.168.1.3/24
- PC3 - 192.168.1.4/24
- PC4 - 192.168.1.5/24
- PC5 - 192.168.1.6/24
- PC6 - 192.168.1.7/24
Dacă vrei să-l vezi în animație, deschide spoilerul (afișează ping de la PC1 la PC5).
Funcționare în rețea într-un singur domeniu de difuzare
Frumos nu? În articolele anterioare, am vorbit deja despre activitatea protocolului ARP de mai multe ori, dar asta a fost anul trecut, așa că voi explica pe scurt. Deoarece PC1 nu cunoaște adresa MAC (sau adresa stratului de legătură) a PC2, trimite un cercetător ARP pentru a-l informa. Vine la switch, de unde este retransmis la toate porturile active, adica la PC2 si la switch-ul central. De la comutatorul central va zbura către comutatoarele vecine și așa mai departe, până ajunge la toată lumea. Aceasta nu este o cantitate mică de trafic cauzată de un mesaj ARP. Toți membrii rețelei l-au primit. Traficul mare și inutil este prima problemă. A doua problemă este securitatea. Cred că au observat că mesajul a ajuns chiar și la departamentul de contabilitate, ale cărui calculatoare nu au participat deloc la asta. Orice atacator care se conectează la oricare dintre switch-uri va avea acces la întreaga rețea. În principiu, rețelele funcționau așa. Calculatoarele erau în același mediu de canal și erau separate doar cu ajutorul routerelor. Dar timpul a trecut și a fost necesar să se rezolve această problemă la nivel de legătură de date. Cisco, ca pionier, a venit cu propriul protocol, care a marcat cadrele și a determinat apartenența la un anumit mediu de canal. S-a numit ISL (Inter-Switch Link)... Tuturor le-a plăcut ideea, iar IEEE a decis să dezvolte un standard deschis similar. Standardul a fost numit 802,1q... A primit o distribuție uriașă și Cisco a decis să treacă și la el.
Și tocmai tehnologia VLAN se bazează pe munca protocolului 802.1q. Să începem să vorbim despre ea.
În partea 3, v-am arătat cum arată un cadru Ethernet. Privește-l și împrospătează-ți memoria. Așa arată un cadru neetichetat.
Acum să aruncăm o privire la cel etichetat.
După cum puteți vedea, diferența este că este o anumită Etichetă... Acesta este ceea ce ne interesează. Să săpăm mai adânc. Este format din 4 părți.
1) TPID (Tag Protocol ID) sau Tagged Protocol Identifier- constă din 2 octeți și este întotdeauna 0x8100 pentru VLAN.
2) PCP (Priority Code Point) sau valoarea prioritară- constă din 3 biți. Folosit pentru a prioritiza traficul. Administratorii de sistem cool și bărbos știu cum să-l gestioneze corect și să-l opereze atunci când trafic diferit (voce, video, date etc.)
3) CFI (Canonical Format Indicator) sau Canonical Format Indicator- un câmp simplu format dintr-un bit. Dacă este 0, atunci acesta este formatul standard pentru adresa MAC.
4) VID (ID VLAN în engleză) sau ID VLAN- constă din 12 biți și arată în ce VLAN se află cadrul.
Vreau să vă atrag atenția asupra faptului că cadrele sunt etichetate între dispozitivele din rețea (switch-uri, routere etc.), iar cadrele nu sunt etichetate între nodul final (calculator, laptop) și dispozitivul de rețea. Prin urmare, portul unui dispozitiv de rețea poate fi în 2 stări: acces sau trompă.
- Port de acces sau port de acces- un port situat într-un anumit VLAN și care transmite cadre neetichetate. De obicei, acesta este portul cu care se confruntă dispozitivul utilizatorului.
- Port portbagaj sau port portbagaj- port care transmite trafic etichetat. De obicei, acest port se ridică între dispozitivele de rețea.
Scriu o echipă arată vlan.
Mai multe mese sunt aliniate. De fapt, doar primul este important pentru noi. Acum vă voi arăta cum să o citiți.
1 coloană este numărul VLAN. Numărul 1 este prezent inițial aici - acesta este VLAN-ul standard, care este prezent inițial pe fiecare comutator. Îndeplinește încă o funcție, despre care voi scrie mai jos. Rezervate din 1002-1005 sunt de asemenea prezente. Acest lucru este pentru alte canale media care sunt cu greu utilizate în acest moment. Nici nu le puteți șterge.
Switch (config) #no vlan 1005 VLAN implicit 1005 nu poate fi șters.
La ștergere, Cisco afișează un mesaj că acest VLAN nu poate fi șters. Prin urmare, trăim și nu atingem aceste 4 VLAN-uri.
2 coloană este numele VLAN-ului. Când creați un VLAN, puteți, la discreția dvs., să veniți cu nume semnificative pentru ele, pentru a le identifica mai târziu. Există deja implicit, fddi-default, token-ring-default, fddinet-default, trnet-default.
3 coloană- stare. Starea VLAN-ului este afișată aici. Momentan, VLAN 1 sau implicit este activ, iar următoarele 4 sunt act/unsup (deși active, dar nu sunt acceptate).
4 coloană- porturi. Aceasta arată căror VLAN-uri aparțin porturile. Acum, când nu am atins încă nimic, sunt implicite.
Să începem configurarea comutatoarelor. Este o bună practică să dați comutatoarelor dvs. nume semnificative. Ce vom face. Aduc echipa.
Comutare (config) #hostname CentrSW CentrSW (config) #
Restul sunt configurate în același mod, așa că vă voi arăta diagrama topologiei actualizată.
Să începem cu SW1. Mai întâi, să creăm un VLAN pe comutator.
SW1 (config) #vlan 2 - creați VLAN 2 (VLAN 1 este rezervat implicit, așa că îl luăm pe următorul). SW1 (config-vlan) #name Dir-ya - intrăm în setările VLAN și îi dăm un nume.
VLAN creat. Acum să trecem la porturi. FastEthernet0 / 1 se uită la PC1 și FastEthernet0 / 2 se uită la PC2. După cum am menționat mai devreme, cadrele dintre ele trebuie transmise neetichetate, așa că le vom pune în starea Acces.
SW1 (config) #interfață fastEthernet 0/1 - treceți la setarea primului port. SW1 (config-if) #switchport mode access - puneți portul în modul de acces. SW1 (config-if) #switchport access vlan 2 - atribuiți portul celui de-al 2-lea VLAN. SW1 (config) #interfață fastEthernet 0/2 - mergeți la setarea portului 2. SW1 (config-if) #switchport mode access - puneți portul în modul de acces. SW1 (config-if) #switchport access vlan 2 - atribuiți portul celui de-al 2-lea VLAN.
Deoarece ambelor porturi li se atribuie același VLAN, ele ar putea fi configurate ca un grup.
SW1 (config) #interfață interval fastEthernet 0 / 1-2 - adică selectați pool-ul și apoi setarea este similară. SW1 (config-if-range) #switchport mode access SW1 (config-if-range) #switchport access vlan 2
Porturi de acces configurate. Acum să configuram un trunchi între SW1 și CentrSW.
SW1 (config) #interfață fastEthernet 0/24 - treceți la setarea celui de-al 24-lea port. SW1 (config-if) #switchport mode trunk - transferă portul în modul trunk. % LINEPROTO-5-UPDOWN: protocol de linie pe interfața FastEthernet0 / 24, starea schimbată în jos% LINEPROTO-5-UPDOWN: protocol de linie pe interfața FastEthernet0 / 24, starea schimbată în sus
Vedem imediat că portul s-a reconfigurat. În principiu, acest lucru este suficient pentru muncă. Dar din punct de vedere al securității, numai acele VLAN-uri care sunt cu adevărat necesare ar trebui permise pentru transmisie. Să începem.
SW1 (config-if) #switchport trunk allowed vlan 2 - avem voie să transmitem doar al 2-lea VLAN.
Fără această comandă, toate VLAN-urile disponibile vor fi transmise. Să vedem cum s-a schimbat tabelul cu comanda arată vlan.
A apărut al 2-lea VLAN cu numele Dir-ya și vedem porturile fa0 / 1 și fa0 / 2 care îi aparțin.
Pentru a afișa numai tabelul de sus, puteți utiliza comanda arata vlan brief.
De asemenea, puteți scurta rezultatul specificând un anumit ID VLAN.
Sau numele lui.
Toate informațiile VLAN sunt stocate în memoria flash în fișierul vlan.dat.
După cum puteți vedea, niciuna dintre echipe nu are informații despre portbagaj. Poate fi vizualizat printr-o altă comandă arata trunchiul interfetelor.
Există informații despre porturile trunchiului și ce VLAN-uri transmit. Există și o coloană Vlan nativ... Acesta este exact traficul care nu trebuie etichetat. Dacă un cadru neetichetat ajunge la comutator, acesta este atribuit automat Vlanului nativ (în mod implicit, iar în cazul nostru, acesta este VLAN 1). VLAN nativ este posibil și mulți spun că trebuie schimbat din motive de securitate. Pentru a face acest lucru, în modul de configurare a portului trunchi, trebuie să utilizați comanda - Switchport trunk nativ Vlan X, Unde X- numărul VLAN-ului atribuit. În această topologie nu ne vom schimba, dar este util să știm cum să o facem.
Rămâne de configurat restul dispozitivelor.
CentrSW:
Comutatorul central este lipiciul, ceea ce înseamnă că trebuie să fie conștient de toate VLAN-urile. Prin urmare, le creăm mai întâi și apoi transferăm toate interfețele în modul trunk.
CentrSW (config) #vlan 2 CentrSW (config-vlan) # nume Dir-ya CentrSW (config) #vlan 3 CentrSW (config-vlan) # nume buhgalter CentrSW (config) #vlan 4 CentrSW (config-vlan) # nume otdel -kadrov CentrSW (config) #interfață fastEthernet 0 / 1-3 CentrSW (config-if-range) #trunk mod switchport
Nu uitați să salvați configurația. Echipă copiați running-config startup-config.
SW2 (config) #vlan 3 SW2 (config-vlan) #nume buhgalter SW2 (config) #interfață fastEthernet 0 / 1-2 SW2 (config-if-range) #switchport mode access SW2 (config-if-range) # switchport access vlan 3 SW2 (config) #interfață fastEthernet 0/24 SW2 (config-if) #switchport mode trunk SW2 (config-if) #switchport trunk permis vlan 3
SW3:
SW3 (config) #vlan 4 SW3 (config-vlan) #nume otdel kadrov SW3 (config) #interfață fastEthernet 0 / 1-2 SW3 (config-if-range) #switchport mode access SW3 (config-if-range) #switchport access vlan 4 SW3 (config) #interfață fastEthernet 0/24 SW3 (config-if) #switchport mode trunk SW3 (config-if) #switchport trunk permis vlan 4
Rețineți că am creat și configurat VLAN-ul, dar am lăsat gazda să se adreseze la fel. Adică, practic toate nodurile sunt pe aceeași subrețea, dar separate de VLAN-uri. Nu poți face asta. Fiecărui VLAN trebuie alocată o subrețea separată. Am făcut asta doar în scopuri educaționale. Dacă fiecare departament s-ar afla pe propria sa subrețea, atunci ar fi limitate a priori, deoarece comutatorul nu poate direcționa traficul de la o subrețea la alta (în plus, aceasta este deja o limitare la nivel de rețea). Și trebuie să limităm departamentele la nivel de legătură.
Trimit din nou PC1 la PC3.
ARP este în desfășurare, de care avem nevoie acum. Să-l deschidem.
Până acum, nimic nou. ARP este încapsulat în ethernet.
Cadrul ajunge la comutator și este etichetat. Acum nu există ethernet obișnuit, ci 802.1q. Câmpurile despre care am scris mai devreme au fost adăugate. Acest TPID care este 8100 și indică faptul că este 802,1q. ȘI TCI care combină 3 câmpuri PCP, CFI și VID... Numărul din acest câmp este numărul VLAN. Trecând peste.
După etichetă, trimite cadrul către PC2 (din moment ce se află în același VLAN) și către comutatorul central prin portul trunk.
Deoarece nu a fost strict prescris ce tipuri de VLAN să treacă pe ce porturi, acesta îl va trimite la ambele switch-uri. Și aici comutatoarele, după ce au văzut numărul VLAN, înțeleg că nu au dispozitive cu un astfel de VLAN și îl aruncă cu îndrăzneală.
PC1 așteaptă un răspuns care nu vine niciodată. Îl puteți vedea sub formă de animație sub spoiler.
Animaţie
Acum, următoarea situație. Încă o persoană este angajată ca membru al direcției, dar în biroul direcției nu este loc și pentru o perioadă li se cere să plaseze o persoană în compartimentul de contabilitate. Rezolvăm această problemă.
Am conectat un computer la portul FastEthernet 0/3 al switch-ului și am atribuit adresa IP 192.168.1.8/24.
Acum voi configura comutatorul SW2... Deoarece computerul trebuie să fie în al 2-lea VLAN, despre care comutatorul nu știe, îl vom crea pe comutator.
SW2 (config) #vlan 2 SW2 (config-vlan) #nume Dir-ya
În continuare, configurăm portul FastEthernet 0/3, care se uită la PC7.
SW2 (config) #interfață fastEthernet 0/3 SW2 (config-if) #switchport mode access SW2 (config-if) #switchport access vlan 2
Și ultimul lucru este să configurați portul trunchiului.
SW2 (config) #interfață fastEthernet 0/24 SW2 (config-if) #switchport trunk permis vlan add 2 - acordați atenție acestei comenzi. Și anume, cuvântul cheie „adăugați”. Dacă nu adăugați acest cuvânt, atunci veți șterge toate celelalte VLAN-uri permise pentru transmisie pe acest port. Prin urmare, dacă ați ridicat deja un trunchi pe port și au fost transmise alte VLAN-uri, atunci trebuie să adăugați în acest fel.
Pentru ca ramele să meargă frumos, voi corecta comutatorul central CentrSW.
CentrSW (config) #interfață fastEthernet 0/1 CentrSW (config-if) #switchport trunk permis vlan 2 CentrSW (config) #interfață fastEthernet 0/2 CentrSW (config-if) #switchport trunk permis vlan 2,3 CentrSW (config) #interfață fastEthernet 0/3 CentrSW (config-if) #switchport trunk permis vlan 4
Verificați ora. Trimit PC1 la PC7.
Până acum, întreaga cale este similară cu cea anterioară. Dar din acest moment (din poza de mai jos) comutatorul central va lua o alta decizie. El primește cadrul și vede că este etichetat cu al 2-lea VLAN. Aceasta înseamnă că trebuie să-l trimiteți numai în locul unde este permis, adică în portul fa0 / 2.
Și așa vine la SW2. Îl deschidem și vedem că este încă etichetat. Dar următorul nod este computerul și eticheta trebuie îndepărtată. Faceți clic pe „Detalii PDU de ieșire” pentru a vedea cum va zbura cadrul din comutator.
Și într-adevăr. Comutatorul va trimite cadrul într-o formă „curată”, adică fără etichete.
ARP ajunge la PC7. Îl deschidem și ne asigurăm că cadrul neetichetat PC7 s-a recunoscut și trimite un răspuns.
Deschidem cadrul de pe comutator și vedem că va fi trimis etichetat pentru trimitere. În plus, cadrul va călători în același mod în care a venit.
ARP ajunge la PC1, așa cum este indicat de o bifă de pe plic. Acum știe adresa MAC și pornește ICMP.
Deschidem pachetul pe comutator și vedem aceeași imagine. La nivel de legătură, cadrul este etichetat de comutator. Așa va fi cu fiecare mesaj.
Vedem că pachetul ajunge cu succes la PC7. Nu voi arăta drumul înapoi, pentru că este asemănător. Dacă cineva este interesat, puteți vedea întreaga cale în animație sub spoilerul de mai jos. Și dacă vrei să aprofundezi tu în această topologie, atașez un link către laborator.
Logica VLAN
Aceasta este practic cea mai populară utilizare pentru VLAN-uri. Indiferent de locația lor fizică, puteți combina în mod logic nodurile în grupuri, izolându-le astfel de altele. Este foarte convenabil atunci când angajații lucrează fizic în locații diferite, dar trebuie să fie uniți. Și bineînțeles, din punct de vedere al securității, VLAN-urile sunt de neînlocuit. Principalul lucru este că un număr limitat de persoane au acces la dispozitivele de rețea, dar acesta este un subiect separat.
S-au atins restricții la nivel de legătură de date. Traficul nu mai merge nicăieri, ci decurge strict conform intenției. Dar acum se pune întrebarea că departamentele trebuie să comunice între ele. Și din moment ce se află în medii de canale diferite, rutarea intră în joc. Dar înainte de a începe, să punem topologia în ordine. Primul lucru pe care îl putem pune mâna este adresarea nodurilor. Repet că fiecare departament trebuie să fie pe propria subrețea. Total obținem:
- Directia - 192.168.1.0/24
- Contabilitate - 192.168.2.0/24
- Compartimentul Resurse Umane - 192.168.3.0/24
Odată definite subrețelele, ne adresăm imediat nodurilor.
- PC1:
IP: 192.168.1.2
Mască: 255.255.255.0 sau / 24
Gateway: 192.168.1.1 - PC2:
IP: 192.168.1.3
Mască: 255.255.255.0 sau / 24
Gateway: 192.168.1.1 - PC3:
IP: 192.168.2.2
Mască: 255.255.255.0 sau / 24
Gateway: 192.168.2.1 - PC4:
IP: 192.168.2.3
Mască: 255.255.255.0 sau / 24
Gateway: 192.168.2.1 - PC5:
IP: 192.168.3.2
Mască: 255.255.255.0 sau / 24
Gateway: 192.168.3.1 - PC6:
IP: 192.168.3.3
Mască: 255.255.255.0 sau / 24
Gateway: 192.168.3.1 - PC7:
IP: 192.168.1.4
Mască: 255.255.255.0 sau / 24
Gateway: 192.168.1.1
Nodurile au adăugat un astfel de parametru precum adresa gateway-ului. Ei folosesc această adresă atunci când trebuie să trimită un mesaj unei gazde dintr-o subrețea diferită. În consecință, fiecare subrețea are propriul gateway.
Rămâne să configurez routerul și îi deschid CLI. Prin tradiție, voi da un nume semnificativ.
Router (config) #hostname Gateway Gateway (config) #
În continuare, să trecem la configurarea interfețelor.
Gateway (config) #interface fastEthernet 0/0 - accesați interfața necesară. Gateway (config-if) #no shutdown - activați-l. % LINK-5-CHANGED: Interfață FastEthernet0 / 0, starea schimbată în sus% LINEPROTO-5-UPDOWN: Protocol de linie pe interfața FastEthernet0 / 0, starea schimbată în sus
Acum atentie! Am pornit interfața, dar nu am atașat o adresă IP pe ea. Faptul este că doar o legătură sau un canal este nevoie de la interfața fizică (fastethernet 0/0). Rolul gateway-urilor va fi îndeplinit de interfețe sau subinterfețe virtuale. În prezent există 3 tipuri de VLAN-uri. Aceasta înseamnă că vor exista 3 subinterfețe. Să începem configurarea.
Gateway (config) #interfață fastEthernet 0 / 0.2 Gateway (config-if) #încapsulation dot1Q 2 Gateway (config-if) #adresă ip 192.168.1.1 255.255.255.0 Gateway (config) #interfață fastEthernet 0 / 0.3 Gateway (config-if) ) #capsulation dot1Q 3 Gateway (config-daca) #ip adresa 192.168.2.1 255.255.255.0 Gateway (config) #interfață fastEthernet 0 / 0.4 Gateway (config-if) #capsulation dot1Q 4 Gateway (config-daca 192.ip6 adresa) .3.1 255.255.255.0
Routerul este configurat. Să mergem la comutatorul central și să configuram un port trunchi pe acesta, astfel încât să treacă cadrele etichetate către router.
CentrSW (config) #interfață fastEthernet 0/24 CentrSW (config-if) #switchport mode trunk CentrSW (config-if) #switchport trunk permis vlan 2,3,4
Configurația este completă și să trecem la practică. Trimit PC1 la PC6 (adică 192.168.3.3).
PC1 nu are idee cine este PC6 sau 192.168.3.3, dar știe că sunt pe subrețele diferite (după cum înțelege că acest lucru este descris în articolul anterior). Prin urmare, va trimite un mesaj prin gateway-ul implicit, a cărui adresă este specificată în setările sale. Deși PC1 cunoaște adresa IP a gateway-ului implicit, îi lipsește o adresă MAC pentru o fericire completă. Și folosește ARP.
Notă. Odată ce un cadru ajunge la CentrSW, comutatorul nu îl transmite oricui. Emite doar în acele porturi unde este permisă trecerea celui de-al doilea VLAN. Adică către router și către SW2 (există un utilizator care stă în al 2-lea VLAN).
Routerul se recunoaște și trimite un răspuns (indicat cu o săgeată). Și acordați atenție cadrului de jos. Când SW2 a primit ARP de la comutatorul central, el nu l-a trimis în mod similar la toate computerele, ci a trimis doar PC7, care se află în al 2-lea VLAN. Dar PC7 îl aruncă pentru că nu este pentru el. Ne uităm mai departe.
ARP a ajuns la PC1. Acum știe totul și poate trimite ICMP. Încă o dată, vă atrag atenția asupra faptului că adresa MAC de destinație (stratul de legătură) va fi adresa routerului, iar adresa IP de destinație (stratul de rețea) va fi adresa PC6.
ICMP ajunge la router. Se uită la masa lui și își dă seama că nu cunoaște pe nimeni sub adresa 192.168.3.3. Aruncă ICMP care sosește și îl lasă pe ARP să cerceteze.
PC6 se recunoaște și trimite un răspuns.
Răspunsul ajunge la router și adaugă o intrare în tabelul său. Puteți vizualiza tabelul ARP cu comanda arata arp.
Trecând peste. PC1 nu este fericit că nimeni nu răspunde și trimite următorul mesaj ICMP.
De data aceasta, ICMP ajunge fără probleme. El va urma aceeași cale înapoi. Îți voi arăta doar rezultatul final.
Primul pachet s-a pierdut (ca urmare a ARP), iar al doilea a sosit fără probleme.
Cui îi pasă să vadă în animație, bine ați venit sub spoiler.
Rutare InterVLAN
Asa de. Am realizat că, dacă nodurile sunt în aceeași subrețea și în aceeași VLAN, atunci ele vor trece direct prin comutatoare. În cazul în care este necesară transmiterea unui mesaj către o altă subrețea și VLAN, acesta va fi transmis prin routerul Gateway, care realizează rutarea „inter-vlan”. Această topologie se numește "Router pe un stick" sau "Router pe un stick"... După cum înțelegeți, este foarte convenabil. Am creat 3 interfețe virtuale și am rulat cadre diferite etichetate pe același fir. Fără utilizarea subinterfețelor și VLAN-urilor, ar fi necesar să se folosească o interfață fizică separată pentru fiecare subrețea, ceea ce nu este deloc profitabil.
Apropo, această întrebare este foarte bine rezolvată în acest videoclip (videoclipul durează aproximativ 3 ore, deci linkul este legat exact de acel moment în timp). Dacă, după ce ați citit și vizionat videoclipul, doriți să-l finalizați cu propriile mâini, atașez un link de descărcare.
Ne-am ocupat de VLAN-uri și mergem la unul dintre protocoalele care funcționează cu el.
DTP (Dynamic Trunking Protocol) sau în rusă protocol trunchi dinamic este un protocol proprietar de la Cisco care este folosit pentru a implementa modul trunk între comutatoare. Deși în funcție de stat, aceștia pot negocia și în modul de acces.
DTP are 4 moduri: Dinamic automat, Dinamic de dorit, Trunk, Acces. Să vedem cum se potrivesc.
| Moduri | Auto dinamic | Dinamic de dorit | Trompă | Acces |
|---|---|---|---|---|
| Auto dinamic | Acces | Trompă | Trompă | Acces |
| Dinamic de dorit | Trompă | Trompă | Trompă | Acces |
| Trompă | Trompă | Trompă | Trompă | Nici o legătură |
| Acces | Acces | Acces | Nici o legătură | Acces |
Adică, coloana din stânga este primul dispozitiv, iar rândul de sus este al 2-lea dispozitiv. În mod implicit, comutatoarele sunt în modul „dinamic automat”. Dacă vă uitați la tabelul de mapare, atunci două comutatoare în modul „auto dinamic” sunt reconciliate în modul „acces”. Hai să verificăm. Creez un nou laborator și adaug 2 comutatoare.
Nu le voi conecta încă. Trebuie să mă asigur că ambele comutatoare sunt în modul „dinamic automat”. Voi verifica cu o echipă arată interfețele switchport.
Rezultatul acestei comenzi este foarte mare, așa că l-am decupat și am evidențiat punctele de interes. Sa incepem cu Modul Administrativ... Această linie arată în care dintre cele 4 moduri funcționează un anumit port pe comutator. Asigurați-vă că porturile de pe ambele comutatoare sunt în modul „Dynamic auto”. Și linia Mod operațional arată în ce mod de operare au fost de acord să lucreze. Nu le-am conectat încă, așa că nu sunt.
Îți voi da un sfat bun imediat. Când testați orice protocol, utilizați filtre. Dezactivați afișarea funcționării tuturor protocoalelor de care nu aveți nevoie.
Am pus CPT în modul de simulare și am filtrat toate protocoalele, cu excepția DTP.
Cred că totul este clar aici. Conectez comutatoarele cu un cablu și, când legăturile sunt ridicate, unul dintre comutatoare generează un mesaj DTP.
Îl deschid și văd că este DTP încapsulat într-un cadru Ethernet. Îl trimite la adresa multicast „0100.0ccc.cccc”, care se referă la protocoalele DTP, VTP, CDP.
Și voi fi atent la 2 câmpuri din antetul DTP.
1) Tip DTP- aici expeditorul introduce o propunere. Adică în ce mod vrea să fie de acord. În cazul nostru, el sugerează să fie de acord asupra „accesului”.
2) Adresa MAC a vecinului- în acest câmp scrie adresa MAC a portului său.
El trimite și așteaptă o reacție de la un vecin.
Mesajul ajunge la SW1 și generează un răspuns. Unde negociază și modul „acces”, își introduce adresa MAC și o trimite în drum spre SW2.
DTP sosește cu succes. În teorie, ei trebuiau să cadă de acord în modul „acces”. Am să verific.
După cum era de așteptat, au negociat în modul „acces”.
Cineva spune că tehnologia este convenabilă și o folosește. Dar descurajez foarte mult utilizarea acestui protocol în rețeaua mea. Nu sunt singurul care recomand acest lucru, iar acum voi explica de ce. Ideea este că acest protocol deschide o mare gaură de securitate. Voi deschide laboratorul, care s-a ocupat de munca „Router pe un stick” și voi adăuga un alt comutator acolo.
Acum voi intra în setările noului comutator și voi codifica hard portul pentru a funcționa în modul trunk.
New_SW (config) #interfață fastEthernet 0/1 New_SW (config-if) #switchport mode trunk
Le-am pus împreună și văd cum se potrivesc.
Totul este corect. Modurile „auto dinamic” și „portbagaj” sunt potrivite cu trompă... Acum așteptăm ca cineva să fie activ. Să presupunem că PC1 a decis să trimită un mesaj cuiva. Generează ARP și lansează în rețea.
Sa sarim peste drumul lui pana in momentul in care ajunge in SW2.
Și iată partea distractivă.
Îl trimite la comutatorul nou conectat. Îți explic ce s-a întâmplat. De îndată ce cădem de acord cu el asupra portbagajului, începe să-i trimită toate cadrele primite. Deși diagrama arată că comutatorul cade cadre, acest lucru nu înseamnă nimic. Puteți conecta orice sniffer la comutator sau în locul comutatorului și puteți vedea cu calm ce se întâmplă în rețea. Se pare că a interceptat ARP inofensiv. Dar dacă te uiți mai profund, poți vedea că adresa MAC „0000.0C1C.05DD” și adresa IP „192.168.1.2” sunt deja cunoscute. Adică, PC1 s-a trădat fără să se gândească. Atacatorul știe acum despre un astfel de computer. În plus, știe că stă în al 2-lea VLAN. Atunci poate face multe. Cel mai obișnuit este să vă schimbați adresa MAC, adresa IP, să fiți de acord rapid în Acces și să vă uzurpați identitatea PC1. Dar cel mai interesant lucru. La urma urmei, este posibil să nu înțelegi imediat acest lucru. De obicei, atunci când înregistrăm modul de funcționare a portului, acesta este afișat imediat în configurație. eu intru arată rularea-config.
Dar aici setările portului sunt goale. eu intru arată interfețele switchportși derularea la fa0 / 4.
Și aici vedem că trunchiul este negociat. Show running-config nu oferă întotdeauna informații complete. Prin urmare, memorează și alte comenzi.
Cred că este clar de ce nu poți avea încredere în acest protocol. Se pare că ușurează viața, dar în același timp poate crea o problemă uriașă. Deci bazați-vă pe metoda manuală. Când configurați, desemnați imediat ce porturi vor funcționa în modul trunchi și care în acces. Cel mai important, dezactivați întotdeauna negocierea. Pentru ca comutatoarele să nu încerce să fie de acord cu nimeni. Acest lucru se face cu comanda „switchport nonegotiate”.
Să trecem la următorul protocol.
VTP (VLAN Trunking Protocol) este un protocol proprietar de la Cisco care este utilizat pentru a face schimb de informații despre VLAN-uri.
Imaginați-vă o situație în care aveți 40 de comutatoare și 70 de VLAN-uri. Dintr-un motiv întemeiat, trebuie să le creați manual pe fiecare comutator și să vă înregistrați pe ce porturi de trunchi să permiteți transmisia. Aceasta este o afacere tristă și lungă. Prin urmare, această sarcină poate fi preluată de VTP. Creați VLAN-uri pe un comutator, iar toate celelalte sunt sincronizate cu baza acestuia. Aruncă o privire la următoarea topologie.
Sunt 4 comutatoare aici. Unul dintre ei este serverul VTP, iar ceilalți 3 sunt clienți. Acele VLAN-uri care vor fi create pe server sunt sincronizate automat pe clienți. Voi explica cum funcționează VTP și ce poate face.
Asa de. VTP poate crea, modifica și șterge VLAN-uri. Fiecare astfel de acțiune duce la faptul că numărul de revizuire este crescut (fiecare acțiune crește numărul cu +1). Apoi trimite anunțuri unde este indicat numărul de revizuire. Clienții care primesc acest anunț își compară numărul de revizuire cu cel care a primit. Și dacă numărul primit este mai mare, își sincronizează baza cu acesta. În caz contrar, anunțul este ignorat.
Dar asta nu este tot. VTP-ul are roluri. În mod implicit, toate comutatoarele funcționează ca server. O să vă povestesc despre ele.
- Server VTP... El știe să facă totul. Adică creează, schimbă, șterge VLAN-uri. Dacă primește o reclamă în care revizuirea este mai veche decât aceasta, atunci este sincronizată. Trimite constant anunturi si retransmisii de la vecini.
- Client VTP- Acest rol este deja limitat. Nu puteți crea, modifica sau șterge VLAN-uri. Toate VLAN-urile primesc și se sincronizează de la server. Informează periodic vecinii despre baza sa VLAN.
- VTP Transparent- acesta este un rol atât de independent. Poate crea, modifica și șterge VLAN-uri numai în propria bază. Nu impune nimic nimănui și nu acceptă nimic de la nimeni. Dacă primește un fel de reclamă, îl transmite mai departe, dar nu se sincronizează cu baza sa. Dacă în rolurile anterioare, cu fiecare modificare, numărul de revizuire a fost crescut, atunci în acest mod numărul de revizuire este întotdeauna 0.
Citim teoria și trecem la practică. Să verificăm dacă comutatorul central este în modul Server. Introdu comanda arată starea vtp.
Vedem că Mod de operare VTP: Server. De asemenea, puteți observa că versiunea VTP este a doua. Din păcate, versiunea 3 CPT nu este acceptată. Versiunea de revizuire este zero.
Acum să configuram comutatoarele inferioare.
SW1 (config) #vtp mode client Setarea dispozitivului la modul VTP CLIENT.
Vedem un mesaj că dispozitivul a trecut în modul client. Restul sunt configurate în același mod.
Pentru ca dispozitivele să facă schimb de anunțuri, acestea trebuie să fie în același domeniu. Și aici există o particularitate. Dacă dispozitivul (în modul Server sau Client) nu aparține niciunui domeniu, atunci la primul anunț primit, acesta va merge în domeniul promovat. Dacă clientul este membru al unui domeniu, atunci nu va accepta anunțuri de pe alte domenii. Să deschidem SW1 și să ne asigurăm că nu aparține niciunui domeniu.
Ne asigurăm că acesta este gol.
Acum mergem la comutatorul central și îl transferăm pe domeniu.
CentrSW (config) #vtp domain cisadmin.ru Schimbarea numelui de domeniu VTP din NULL în cisadmin.ru
Vedem un mesaj că a fost transferat pe domeniul cisadmin.ru.
Să verificăm starea.
Și într-adevăr. Numele de domeniu s-a schimbat. Vă rugăm să rețineți că numărul de revizuire este în prezent zero. Se va schimba de îndată ce vom crea un VLAN pe el. Dar înainte de a-l crea, trebuie să puneți simulatorul în modul de simulare pentru a vedea cum va genera reclame. Creăm al 20-lea VLAN și vedem următoarea imagine.
De îndată ce VLAN-ul este creat și numărul de revizuire a crescut, serverul generează reclame. Are două dintre ele. Mai întâi, să-l deschidem pe cel din stânga. Acest anunț se numește „Anunț rezumat” sau „anunț rezumat” în limba rusă. Acest anunț este generat de comutator la fiecare 5 minute, unde se vorbește despre numele domeniului și revizuirea curentă. Să vedem cum arată.
În cadrul Ethernet, observați adresa MAC de destinație. Este la fel ca mai sus când a fost generat DTP. Adică, în cazul nostru, doar cei care au VTP rulând vor răspunde la aceasta. Acum să ne uităm la următorul câmp.
Aici sunt doar toate informațiile. Să trecem prin cele mai importante domenii.
- Management Domain Name - numele domeniului în sine (în acest caz, cisadmin.ru).
- Identitatea actualizatorului - identificatorul actualizatorului. Aici este de obicei scrisă adresa IP. Dar, deoarece adresa nu a fost atribuită comutatorului, câmpul este gol
- Actualizare timestamp - ora actualizării. Ora de pe comutator nu s-a schimbat, așa că ora din fabrică este acolo.
- MD5 Digest - MD5 hash. Este folosit pentru a verifica acreditările. Adică dacă VTP-ul are o parolă. Nu am schimbat parola, așa că hash-ul este implicit.
Cred că aici este clar. Antet separat pentru fiecare tip de VLAN. Lista este atât de lungă încât nu încapea pe ecran. Dar sunt exact așa, cu excepția numelor. Nu mă voi deranja, ceea ce înseamnă că nu voi folosi fiecare cod. Și în CPT sunt mai mult o convenție.
Să vedem ce se întâmplă mai departe.
Clienții primesc reclame. Ei văd că numărul de revizuire este mai mare decât al lor și sincronizează baza. Și trimit un mesaj către server că baza VLAN s-a schimbat.
Cum funcționează VTP
Acesta este modul în care funcționează în principiu VTP. Dar are dezavantaje foarte mari. Și aceste dezavantaje sunt în ceea ce privește securitatea. Voi explica folosind exemplul aceluiași laborator. Avem un comutator central pe care sunt create VLAN-uri, iar apoi prin multicast le sincronizează cu toate comutatoarele. În cazul nostru, el vorbește despre VLAN 20. Vă sugerez să aruncați o altă privire asupra configurației sale.
Notă. Un mesaj VTP ajunge la server, unde numărul de revizuire este mai mare decât cel al acestuia. El înțelege că rețeaua s-a schimbat și este necesar să se adapteze la ea. Să verificăm configurația.
Configurația serverului central s-a schimbat și acum va difuza exact asta.
Acum imaginați-vă că nu avem un VLAN, ci sute. Într-un mod atât de simplu, puteți pune o rețea. Desigur, domeniul poate fi protejat prin parolă și va fi mai greu pentru un atacator să facă rău. Imaginează-ți o situație în care întrerupătorul tău este stricat și trebuie să-l înlocuiești urgent. Dumneavoastră sau colegul dumneavoastră alergați la depozit după tabloul vechi și uitați să verificați numărul de revizuire. Se dovedește a fi mai mare decât restul. Ai văzut deja ce urmează. Prin urmare, recomand să nu utilizați acest protocol. Mai ales în rețelele corporative mari. Dacă utilizați versiunea VTP 3, atunci nu ezitați să puneți comutatoarele în modul „Oprit”. Dacă se folosește a doua versiune, treceți la modul „Transparent”. Adaugă etichete
Pe paginile site-ului nostru, am folosit în mod repetat termenul VLAN în instrucțiunile pentru configurarea diferitelor routere și crearea unei rețele corporative. Cu toate acestea, tehnologia vlan modernă necesită un studiu detaliat, așa că următoarea serie de articole este dedicată caracteristicilor și configurației „vlan” pe diferite dispozitive.
Acest material este un fel de „cuvânt introductiv”, iar aici ne vom uita la ce este VLAN și cum ajută tehnologia VLAN la configurarea rețelei.
Vlan: ce este?
VLAN este o tehnologie care vă permite să configurați mai multe domenii de difuzare virtuale într-un singur domeniu de difuzare fizic.
Cu alte cuvinte, avand de la mai multe sau un singur comutator, este posibila, astfel, diferentierea PC-urilor utilizatorilor in functie de apartenenta la un anumit departament sau, in cazul serverelor, dupa anumite roluri si specificul muncii lor.
În acest caz, mai multe probleme sunt rezolvate simultan:
- - scade numarul cererilor de difuzare;
- - se îmbunătățește, pentru că exclude posibilitatea de a intercepta traficul de către angajații terți care nu sunt incluși în acest VLAN specific;
- - devine posibilă dispersarea geografică a diferitelor departamente și divizii pe bază de apartenență. Adică, de exemplu, angajații Departamentului de Resurse Umane, nefiind în aceeași clădire, se vor putea „vedea” între ei în cadrul subrețelei lor.
Arhitectura de rețea folosește VLAN-uri pentru a oferi segmentarea rețelei a serviciilor, realizată de obicei de routere, care filtrează traficul de difuzare între diferite VLAN-uri, îmbunătățesc securitatea rețelei, efectuează agregarea subrețelelor și reduc congestia rețelei. Switch-urile nu pot redirecționa traficul între VLAN-uri din cauza restricției impuse de domeniul de difuzare.
Unele comutatoare pot avea funcții de nivel 3 OSI, care stochează și folosesc pentru a transfera trafic între subrețele. În acest caz, o interfață virtuală a unui anumit VLAN cu un anumit și este creată pe comutator. Această interfață acționează ca un dispozitiv pentru dispozitivele din acest VLAN.
Pentru ce este vlan?
În rețelele bazate pe traficul de difuzare trimis către toate dispozitivele pentru a găsi peer-uri, pe măsură ce numărul de peer-uri crește, la fel crește și cantitatea de trafic de difuzare (care poate înlocui aproape complet sarcina utilă din rețea).
VLAN-urile, pe de altă parte, ajută la reducerea traficului de rețea prin formarea mai multor domenii de difuzare, împărțind o rețea mare în mai multe segmente independente mai mici, cu un număr mic de solicitări de difuzare trimise fiecărui dispozitiv din întreaga rețea în ansamblu.
De asemenea, tehnologia VLAN ajută la crearea mai multor rețele OSI de nivel 3 pe aceeași infrastructură fizică. De exemplu, dacă distribuitorul de adrese IP este inclus în comutator într-un anumit VLAN, dispozitivele vor primi adrese numai în cadrul acestui VLAN. Dacă serverul DHCP este activat de un trunk cu un set de mai multe VLAN-uri, dispozitivele din toate aceste VLAN-uri vor putea obține adrese.
VLAN funcționează pe al 2-lea, canal, strat al modelului de rețea OSI, similar subrețelelor IP, care funcționează pe al 3-lea, rețea, strat. De obicei, fiecare VLAN are propria sa subrețea IP, deși există excepții când mai multe subrețele diferite pot exista în același VLAN. Această tehnologie este cunoscută în Cisco ca „ip secundar” și în Linux ca „ip alias”.
În tehnologiile de rețea mai vechi, utilizatorilor li s-au atribuit subrețele în funcție de locația lor geografică. Din acest motiv, ele au fost limitate de topologia fizică și distanță. Tehnologia VLAN, pe de altă parte, vă permite să grupați în mod logic utilizatori disparați din punct de vedere geografic în același grup de subrețele, indiferent de locația lor fizică. Folosind VLAN-uri, puteți gestiona cu ușurință tiparele de trafic și puteți răspunde rapid la mișcările utilizatorilor.
Tehnologia VLAN oferă o adaptare flexibilă la schimbările din rețea și simplifică administrarea.
Exemple de utilizare a vlan
Un exemplu de împărțire a unei rețele în mai multe VLAN-uri în segmente în funcție de rolurile și tehnologiile utilizate:
- 1) VLAN productiv
- 2) VoIP
- 3) Managementul rețelei
- 4) SAN - retea de stocare a datelor
- 5) Rețea de oaspeți
- 6) Zone DMZ
- 7) Separarea clienților (în cazul unui furnizor de servicii sau al unui centru de date)
Cel mai frecvent utilizat standard pentru configurația VLAN este IEEE 802.1Q, în timp ce Cisco are propriul ISL, iar 3Com are VLT. Atât IEEE 802.1Q, cât și ISL au un mecanism similar de operare numit „etichetare explicită” - cadrul de date este etichetat cu informații despre apartenența la VLAN. Diferența dintre cele două este că ISL utilizează un proces de etichetare extern fără a modifica cadrul Ethernet original, în timp ce 802.1Q utilizează un proces de etichetare intern.
