Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Interesante
  • Çfarë është vlan dhe si ta përdorim atë. Siguria dhe ndarja e aksesit në burimet e rrjetit

Çfarë është vlan dhe si ta përdorim atë. Siguria dhe ndarja e aksesit në burimet e rrjetit

27.05.2019 Interesante

VLAN-et janë rrjete virtuale që ekzistojnë në nivelin e dytë të modelit OSI. Kjo do të thotë, VLAN mund të konfigurohet në nivelin e dytë. Nëse shikoni VLAN-et, duke u abstraguar nga koncepti i "rrjeteve virtuale", atëherë mund të themi se një VLAN është thjesht një etiketë në një kornizë që transmetohet përmes rrjetit. Etiketa përmban numrin VLAN (quhet VLAN ID ose VID), të cilit i caktohen 12 bit, domethënë wealan mund të numërohet nga 0 në 4095. Numrat e parë dhe të fundit janë të rezervuar, nuk mund të përdoren. Zakonisht, stacionet e punës nuk dinë asgjë për VLAN-et (përveç nëse i konfiguroni në mënyrë specifike VLAN-et në karta). Çelësat mendojnë për to. Në portat e çelsave, tregohet se në cilin VLAN ndodhen. Në varësi të kësaj, i gjithë trafiku që del përmes portit shënohet me një etiketë, domethënë VLAN. Kështu, çdo port ka një PVID ( identifikuesi i portit vlan).Ky trafik më pas mund të kalojë nëpër portet e tjera të switch(s) që janë në këtë VLAN dhe nuk do të kalojë nëpër të gjitha portet e tjera. Si rezultat, krijohet një mjedis (nënrrjet) i izoluar, i cili, pa një pajisje shtesë (ruter), nuk mund të ndërveprojë me nënrrjeta të tjera.

Pse nevojiten barërat e këqija?

  • Aftësia për të ndërtuar një rrjet, struktura logjike e të cilit nuk varet nga ajo fizike. Domethënë, topologjia e rrjetit në nivelin e lidhjes ndërtohet pa marrë parasysh vendndodhjen gjeografike të komponentëve përbërës të rrjetit.
  • Aftësia për të ndarë një domen transmetimi në domene të shumta transmetimi. Kjo do të thotë, trafiku i transmetimit nga një domen nuk shkon në një domen tjetër, dhe anasjelltas. Kjo zvogëlon ngarkesën në pajisjet e rrjetit.
  • Aftësia për të siguruar rrjetin nga aksesi i paautorizuar. Kjo do të thotë, në shtresën e lidhjes së të dhënave, kornizat nga Wealans të tjerë do të ndërpriten nga porti i ndërprerës, pavarësisht nga adresa IP e burimit që paketa është e kapsuluar në këtë kornizë.
  • Mundësia për të aplikuar politika për një grup pajisjesh që janë në të njëjtin wilan.
  • Aftësia për të përdorur ndërfaqe virtuale për rrugëtim.

Shembuj të përdorimit të VLAN

  • Kombinimi i kompjuterëve të lidhur me ndërprerës të ndryshëm në një rrjet të vetëm. Le të themi se keni kompjuterë që janë të lidhur me ndërprerës të ndryshëm, por ata duhet të kombinohen në një rrjet. Ne do të kombinojmë disa kompjuterë në një rrjet lokal virtual VLAN 1, dhe të tjerët - në rrjet VLAN 2. Falë funksionit VLAN kompjuterët në çdo rrjet virtual do të funksionojnë sikur të jenë të lidhur me të njëjtin ndërprerës. Kompjuterë nga rrjete të ndryshme virtuale VLAN 1 Dhe VLAN 2 do të jenë të padukshëm për njëri-tjetrin.
  • Ndarja në nënrrjeta të ndryshme të kompjuterëve të lidhur me të njëjtin ndërprerës. Në figurë, kompjuterët janë të lidhur fizikisht me të njëjtin switch, por të ndarë në rrjete të ndryshme virtuale VLAN 1 Dhe VLAN 2. Kompjuterët nga nënrrjeta të ndryshme virtuale do të jenë të padukshëm për njëri-tjetrin.

  • Ndarja e rrjetit Wi-Fi të mysafirëve dhe rrjetit Wi-Fi të ndërmarrjes. Në figurë, një pikë aksesi Wi-Fi është e lidhur fizikisht me ruterin. Dy pika virtuale Wi-Fi me emra janë krijuar në pikë pikë e nxehtë Dhe zyrë. TE pikë e nxehtë laptopët e ftuar do të lidhen nëpërmjet Wi-Fi për të hyrë në internet dhe zyrë laptopë ndërmarrjesh. Për arsye sigurie, është e nevojshme që laptopët e ftuar të mos kenë akses në rrjetin e ndërmarrjes. Për ta bërë këtë, kompjuterët e ndërmarrjes dhe një pikë virtuale Wi-Fi zyrë lidhur me një rrjet lokal virtual VLAN 1, dhe laptopët e ftuar do të jenë në një rrjet virtual VLAN 2. Laptopë të ftuar nga rrjeti VLAN 2 nuk do të ketë akses në rrjetin e ndërmarrjes VLAN 1.

Përfitimet e përdorimit të VLAN-ve

  • Ndarje fleksibile e pajisjeve në grupe
  • Si rregull, një nënrrjet korrespondon me një VLAN. Kompjuterët e vendosur në VLAN të ndryshëm do të jenë të izoluar nga njëri-tjetri. Ju gjithashtu mund të kombinoni kompjuterë të lidhur me ndërprerës të ndryshëm në një rrjet virtual.
  • Reduktimi i trafikut të transmetimit në rrjet
  • Çdo VLAN përfaqëson një domen të veçantë transmetimi. Trafiku i transmetimit nuk do të transmetohet ndërmjet VLAN-ve të ndryshëm. Nëse konfiguroni të njëjtin VLAN në çelësa të ndryshëm, atëherë portat e ndërprerësve të ndryshëm do të formojnë një domen transmetimi.
  • Rritja e sigurisë dhe menaxhimit të rrjetit
  • Në një rrjet të ndarë në nënrrjeta virtuale, është e përshtatshme të aplikohen politika dhe rregulla sigurie për çdo VLAN. Politika do të zbatohet në të gjithë nënrrjetin, jo në një pajisje të vetme.
  • Reduktimi i sasisë së pajisjeve dhe kabllove të rrjetit
  • Krijimi i një VLAN të ri nuk kërkon blerjen e një ndërprerës dhe vendosjen e një kabllo rrjeti. Sidoqoftë, duhet të përdorni çelësa më të shtrenjtë të menaxhuar me mbështetje VLAN.

Portet e etiketuara dhe të pataguara

Kur një port duhet të jetë në gjendje të marrë ose dërgojë trafik nga VLAN të ndryshëm, ai duhet të jetë në një gjendje të etiketuar ose trunk. Konceptet e një porti trunk dhe një porti të etiketuar janë të njëjta. Një port i trunkuar ose i etiketuar mund të transmetojë ose VLAN të specifikuara individualisht ose të gjitha VLAN-të si parazgjedhje, përveç nëse specifikohet ndryshe. Nëse një port nuk është i etiketuar, atëherë ai mund të transmetojë vetëm një VLAN (vendas). Nëse porti nuk specifikon se në cilin VLAN është, atëherë supozohet se është në një gjendje të pa etiketuar në VLAN-in e parë (VID 1).

Pajisjet e ndryshme janë konfiguruar ndryshe në këtë rast. Për njërën pajisje, duhet të specifikoni në ndërfaqen fizike se në çfarë gjendje është kjo ndërfaqe, dhe nga ana tjetër, në një VLAN specifik, duhet të specifikoni se cila port është pozicionuar si - me ose pa etiketë. Dhe nëse është e nevojshme që ky port të kalojë nëpër disa VLAN, atëherë në secilën prej këtyre VLAN-ve duhet ta regjistroni këtë port me një etiketë. Për shembull, në çelsat Rrjetet Enterasys ne duhet të specifikojmë se në cilin VLAN ndodhet një port i caktuar dhe ta shtojmë atë port në listën e daljes së atij VLAN në mënyrë që trafiku të mund të kalojë nëpër atë port. Nëse duam që trafiku i një VLAN tjetër të kalojë përmes portit tonë, atëherë këtë portë e shtojmë edhe në listën e daljeve të këtij VLAN. Në pajisje HP(p.sh. çelsat ProCurve) ne tregojmë në vetë VLAN se cilat porte mund të kalojnë trafikun e këtij VLAN dhe shtojmë gjendjen e porteve - të etiketuara ose të pataguara. Më e lehtë në harduer Sistemet Cisco. Në çelsat e tillë, ne thjesht tregojmë se cilat porte nuk janë të etiketuara me cilat VLAN (janë në akses) dhe cilat porte janë në gjendjen e etiketuar (janë në trungu).

Për të vendosur portat në trungu janë krijuar protokolle të veçanta. Njëra prej tyre ka standardin IEEE 802.1Q. Ky është një standard ndërkombëtar që mbështetet nga të gjithë prodhuesit dhe përdoret më së shpeshti për të vendosur rrjete virtuale. Përveç kësaj, prodhues të ndryshëm mund të kenë protokollet e tyre të transferimit të të dhënave. Për shembull, Cisco krijoi një protokoll për pajisjet e mia ISL (Inter Switch Lisk).

Drejtimi ndërvlanor

Çfarë është rrugëtimi inter-vlane? Ky është një rrugëtim normal i nënrrjetit. Dallimi i vetëm është se çdo nënrrjet korrespondon me një VLAN në nivelin e dytë. Çfarë do të thotë. Le të themi se kemi dy VLAN: VID = 10 dhe VID = 20. Në nivelin e dytë, këto VLAN ndajnë një rrjet në dy nënrrjeta. Pritësit që janë në këto nënrrjeta nuk e shohin njëri-tjetrin. Domethënë trafiku është tërësisht i izoluar. Në mënyrë që hostet të komunikojnë me njëri-tjetrin, është e nevojshme të drejtoni trafikun e këtyre VLAN-ve. Për ta bërë këtë, ne duhet t'i caktojmë një ndërfaqe secilit prej VLAN-ve në nivelin e tretë, domethënë t'u bashkëngjitni atyre një adresë IP. Për shembull, për VID = 10, adresa IP do të jetë 10.0.10.1/24, dhe për VID = 20, adresa IP do të jetë 10.0.20.1/24. Këto adresa do të vazhdojnë të veprojnë si porta hyrëse për të hyrë në nënrrjeta të tjera. Kështu, ne mund të drejtojmë trafikun pritës nga një VLAN në një VLAN tjetër. Çfarë na jep rrugëtimi VLAN në krahasim me rrugëzimin e thjeshtë të rrjetit pa përdorur VLAN? Dhe ja çfarë:

  • Mundësia për t'u bërë anëtar i një nënrrjeti tjetër në anën e klientit është i bllokuar. Kjo do të thotë, nëse hosti është në një VLAN të caktuar, atëherë edhe nëse ai ndryshon adresimin e tij nga një nënrrjet tjetër, ai përsëri do të mbetet në VLAN që ishte. Kjo do të thotë se ai nuk do të ketë akses në një nënrrjet tjetër. Dhe kjo, nga ana tjetër, do të mbrojë rrjetin nga klientët "të këqij".
  • Ne mund të vendosim disa ndërfaqe fizike të switch-it në një VLAN. Kjo do të thotë, ne kemi mundësinë që menjëherë të konfigurojmë kursin në ndërprerësin e nivelit të tretë duke lidhur klientët e rrjetit me të, pa përdorur një ruter të jashtëm. Ose mund të përdorim një ruter të jashtëm të lidhur me një ndërprerës të nivelit të dytë me VLAN të konfiguruar dhe të krijojmë aq shumë nënndërfaqe në portin e ruterit sa numri i përgjithshëm i VLAN-ve që i nevojiten për të drejtuar.
  • Është shumë i përshtatshëm për të përdorur shtresën e dytë në formën e një VLAN midis nivelit të parë dhe të tretë. Është i përshtatshëm për të shënuar nënrrjetet si VLAN me ndërfaqe specifike. Është i përshtatshëm të konfigurosh një VLAN dhe të vendosësh një sërë portash ndërprerës në të. Dhe në përgjithësi, shumë gjëra janë të përshtatshme për të bërë kur ka një VLAN.

Fatkeqësisht, shumë ndërmarrje dhe organizata moderne praktikisht nuk përdorin një veçori kaq të dobishme dhe shpesh thjesht të nevojshme të ofruar nga shumica e ndërprerësve modernë të rrjetit lokal (LAN), si organizimi i LAN-ve virtualë (VLAN, VLAN) brenda infrastrukturës së rrjetit. Është e vështirë të thuhet se çfarë e shkaktoi atë. Ndoshta mungesa e informacionit në lidhje me përfitimet e ofruara nga teknologjia VLAN, kompleksiteti i saj i dukshëm ose ngurrimi për të përdorur një mjet "të papërpunuar" që nuk garanton ndërveprim ndërmjet pajisjeve të rrjetit të prodhuesve të ndryshëm (edhe pse teknologjia VLAN është e standardizuar prej një viti, dhe të gjithë prodhuesit kryesorë të pajisjeve të rrjetit aktiv e mbështesin këtë standard). Prandaj, ky artikull fokusohet në teknologjinë VLAN. Ai do të marrë në konsideratë përfitimet e përdorimit të VLAN-ve, mënyrat më të zakonshme për të organizuar VLAN-të dhe ndërveprimin midis tyre, si dhe veçoritë e ndërtimit të VLAN-ve kur përdorni ndërprerës nga disa prodhues të njohur.

pse është e nevojshme

Çfarë është një VLAN? Ky është një grup kompjuterësh të lidhur në një rrjet, të grupuar logjikisht në një domen të shpërndarjes së mesazheve të transmetimit sipas disa atributeve. Për shembull, grupet e kompjuterëve mund të ndahen në përputhje me strukturën organizative të ndërmarrjes (sipas departamenteve dhe
divizione) ose në bazë të punës në një projekt ose detyrë të përbashkët.

Ekzistojnë tre përfitime kryesore nga përdorimi i një VLAN. Ky është një përdorim shumë më efikas i gjerësisë së brezit sesa në LAN-et tradicionale, një nivel i rritur i mbrojtjes së informacionit të transmetuar nga aksesi i paautorizuar dhe thjeshtimi i administrimit të rrjetit.

Meqenëse i gjithë rrjeti ndahet logjikisht në domene transmetimi kur përdoret një VLAN, informacioni dërgohet nga anëtarët e VLAN vetëm te anëtarët e tjerë të të njëjtit VLAN, dhe jo te të gjithë kompjuterët në rrjetin fizik. Kështu, trafiku i transmetimit (zakonisht i gjeneruar nga serverë që njoftojnë praninë dhe aftësitë e tyre në pajisjet e tjera në rrjet) është i kufizuar në një domen të paracaktuar në vend që të transmetohet në të gjitha stacionet në rrjet. Kjo arrin shpërndarjen optimale të gjerësisë së brezit të rrjetit midis grupeve logjike të kompjuterëve: stacionet e punës dhe serverët nga VLAN të ndryshëm "nuk e shohin" njëri-tjetrin dhe nuk ndërhyjnë me njëri-tjetrin.

Meqenëse komunikimi është vetëm brenda një VLAN specifik, kompjuterët nga rrjete të ndryshme virtuale nuk mund të marrin trafikun e krijuar në VLAN të tjera. Përdorimi i analizuesve të protokollit dhe mjeteve të monitorimit të rrjetit për të mbledhur trafikun në VLAN të tjera nga ai të cilit përdoruesi që dëshiron ta bëjë këtë paraqet vështirësi të konsiderueshme. Kjo është arsyeja pse në një mjedis VLAN, informacioni i transmetuar në rrjet mbrohet shumë më mirë nga aksesi i paautorizuar.

Një përfitim tjetër i përdorimit të VLAN-ve është thjeshtimi i administrimit të rrjetit. Kjo është veçanërisht e vërtetë për detyra të tilla si shtimi i elementeve të rinj në rrjet, zhvendosja e tyre dhe heqja e tyre. Për shembull, kur një përdorues VLAN lëviz në një dhomë tjetër, edhe nëse është në një kat tjetër ose në një ndërtesë tjetër të ndërmarrjes, administratori i rrjetit nuk ka nevojë të rilidhë kabllot. Ai vetëm duhet të konfigurojë pajisjet e rrjetit në përputhje me rrethanat nga vendi i tij i punës. Përveç kësaj, në disa implementime VLAN, lëvizja e anëtarëve të VLAN mund të kontrollohet automatikisht pa kërkuar ndërhyrjen e administratorit. Operacionet për krijimin e grupeve të reja logjike të përdoruesve, shtimin e anëtarëve të rinj në grupe, administratori i rrjetit mund të kryejë gjithashtu përmes rrjetit pa lënë vendin e tij të punës. E gjithë kjo kursen ndjeshëm kohën e punës së administratorit, e cila mund të përdoret për të zgjidhur detyra të tjera po aq të rëndësishme.

Metodat e organizimit VLAN

Prodhuesit kryesorë të ndërprerësve të departamenteve dhe të grupeve të punës zakonisht përdorin një nga tre metodat për organizimin e VLAN-ve në pajisjet e tyre: bazuar në portet, adresat MAC ose protokollet e shtresës së tretë. Secila prej këtyre metodave korrespondon me një nga tre nivelet më të ulëta të modelit të ndërveprimit të sistemeve të hapura OSI: fizik, kanal dhe rrjet, përkatësisht. Ekziston një mënyrë e katërt për të organizuar një VLAN - bazuar në rregulla. Aktualisht përdoret rrallë, megjithëse ofron më shumë fleksibilitet në organizimin e VLAN-ve dhe mund të përdoret gjerësisht në pajisje në të ardhmen e afërt. Le të hedhim një vështrim të shpejtë në secilën nga metodat e mësipërme të organizimit VLAN, avantazhet dhe disavantazhet e tyre.

VLAN të bazuara në port. Siç nënkupton edhe emri i metodës, VLAN-et organizohen nga shoqërimi logjik i porteve të zgjedhura fizike të switch-it. Për shembull, një administrator rrjeti mund të specifikojë që portat e ndërrimit me numër 1, 2, 5 nga VLAN1, dhe portat me numër 3, 4, 6 nga VLAN2, etj. Disa kompjuterë mund të lidhen me një portë switch (për shembull, nëpërmjet hub). Të gjithë do t'i përkasin të njëjtit VLAN - atij të cilit i është caktuar porta e switch-it që i shërben. Kjo lidhje e ngushtë e anëtarësimit në VLAN është një disavantazh i metodës VLAN të bazuar në port.

VLAN bazuar në adresat MAC. Kjo metodë ju lejon të ndërtoni një VLAN bazuar në adresën unike të shtresës së lidhjes heksadecimal që ka çdo përshtatës rrjeti i një serveri ose stacioni pune në rrjet. Kjo është një mënyrë më fleksibël për të organizuar një VLAN në krahasim me atë të mëparshmin, pasi pajisjet që i përkasin VLAN-ve të ndryshme mund të lidhen në të njëjtën portë switch. Për më tepër, lëvizjet e kompjuterit nga një port kalimi në tjetrin gjurmohen nga çelësi automatikisht dhe ju lejojnë të mbani kompjuterin e lëvizur që i përket një VLAN specifik pa ndërhyrjen e një administratori të rrjetit. Funksionon mjaft thjesht: ndërprerësi mban një tabelë korrespondence midis adresave MAC të kompjuterëve dhe rrjeteve virtuale. Sapo kompjuteri kalon në një portë tjetër switch, duke krahasuar fushën e adresës së burimit MAC në kokën e kornizës së parë të transmetuar pasi kompjuteri ka lëvizur me të dhënat e tabelës së tij, çelësi nxjerr përfundimin e saktë në lidhje me kompjuterin e zhvendosur që i përket VLAN. . Disavantazhi i kësaj metode të organizimit të një VLAN është mundimi fillestar i konfigurimit të një VLAN, i cili është i mbushur me gabime. Megjithëse tabela e adresave MAC ndërtohet automatikisht nga ndërprerësit, administratori i rrjetit duhet t'i shikojë të gjitha dhe të përcaktojë që kjo adresë MAC heksadecimal i korrespondon një stacioni të caktuar pune, dhe më pas ta caktojë atë në rrjetin e duhur virtual. Vërtetë, rikonfigurimi i mëvonshëm i një VLAN të bazuar në MAC do të kërkojë shumë më pak përpjekje sesa në rastin e një VLAN të bazuar në port.

VLAN bazuar në protokollet e shtresës 3. Kjo metodë përdoret rrallë në ndërruesit e nivelit të departamentit dhe grupit të punës. Është tipike për çelsat e rrugëzimit të shtyllës kurrizore që kanë mjete të integruara rutimi për protokollet kryesore LAN - IP, IPX dhe AppleTalk. Sipas kësaj metode, një grup portash switch që i përkasin një VLAN të caktuar shoqërohet me një nënrrjet IP të caktuar ose rrjet IPX. Fleksibiliteti këtu sigurohet nga fakti që lëvizjet e përdoruesve në një portë tjetër që i përket të njëjtit VLAN gjurmohen nga çelësi dhe nuk kërkojnë rikonfigurim. Avantazhi i kësaj metode është edhe lehtësia e konfigurimit të VLAN, e cila mund të bëhet automatikisht, pasi switch analizon adresat e rrjetit të kompjuterëve të lidhur me çdo VLAN. Përveç kësaj, siç është përmendur tashmë, pajisjet që mbështesin metodën e organizimit VLAN bazuar në protokollet e Layer 3 kanë mjete të integruara të rrugëzimit, të cilat lejojnë ndërveprimin midis VLAN-ve të ndryshëm pa përdorimin e mjeteve shtesë. Ekziston, ndoshta, vetëm një pengesë e kësaj metode - çmimi i lartë i çelsave në të cilat zbatohet.

Rregullat e bazuara në VLAN. Supozohet se switch-i ka aftësinë të analizojë në detaje fushat e paracaktuara dhe madje edhe pjesët individuale të paketave që kalojnë përmes tij si mekanizma për ndërtimin e VLAN-ve. Kjo metodë ofron mundësi pothuajse të pakufizuara për krijimin e rrjeteve virtuale bazuar në shumë kritere. Për shembull, edhe nga parimi i përfshirjes së të gjithë përdoruesve në VLAN, në kompjuterët e të cilëve janë instaluar përshtatësit e rrjetit të prodhuesit të specifikuar. Pavarësisht fleksibilitetit të madh, procesi i konfigurimit të VLAN bazuar në rregulla kërkon shumë kohë. Për më tepër, prania e rregullave komplekse mund të ndikojë negativisht në xhiron e kalimit, pasi një pjesë e konsiderueshme e fuqisë së tij përpunuese do të shpenzohet për analizën e paketave.

Gjithashtu, pajisjet mund të zhvendosen automatikisht në VLAN bazuar në të dhënat e vërtetimit të përdoruesit ose pajisjes kur përdorin protokollin 802.1x.

ndërtimin e VLAN-ve të shpërndara

LAN-et moderne shpesh përmbajnë më shumë se një ndërprerës. Kompjuterët që i përkasin të njëjtit VLAN mund të lidhen me ndërprerës të ndryshëm. Kështu, për të drejtuar saktë trafikun, duhet të ekzistojë një mekanizëm që lejon ndërprerësit të shkëmbejnë informacion në lidhje me anëtarësimin në VLAN të pajisjeve të lidhura me to. Më parë, secili prodhues në pajisjet e tij zbatonte mekanizma të pronarit për shkëmbimin e një informacioni të tillë. Për shembull, në 3Com kjo teknologji u quajt VLT (Virtual LAN Trunk), në Cisco Systems - ISL (Inter-Switch Link). Prandaj, për të ndërtuar VLAN të shpërndarë, ishte e nevojshme të përdorni pajisje nga i njëjti prodhues. Situata u përmirësua në mënyrë dramatike kur u miratua standardi për ndërtimin e VLAN-ve me etiketa, IEEE 802.1Q, i cili tani dominon botën e VLAN-ve. Ndër të tjera, ai rregullon edhe mekanizmin e shkëmbimit të informacionit rreth VLAN-ve ndërmjet switch-ave. Ky mekanizëm ju lejon të plotësoni kornizat e transmetuara midis çelsave me fusha që tregojnë se i përkasin një VLAN të veçantë. Deri më sot, të gjithë prodhuesit kryesorë të ndërprerësve LAN mbështesin standardin 802.1Q në pajisjet e tyre. Prandaj, sot tashmë është e mundur të ndërtohen rrjete virtuale duke përdorur çelsat nga prodhues të ndryshëm. Edhe pse, siç do ta shihni më vonë, edhe duke funksionuar në përputhje me 802.1Q, çelsat nga prodhues të ndryshëm ofrojnë larg nga të njëjtat mundësi për organizimin e VLAN-ve.

organizimi i ndërveprimit ndërmjet VLAN-ve

Kompjuterët e vendosur në VLAN të ndryshëm nuk mund të komunikojnë drejtpërdrejt me njëri-tjetrin. Për të organizuar një ndërveprim të tillë, duhet të përdorni një ruter. Më parë, ruterat e zakonshëm përdoreshin për këtë. Për më tepër, kërkohej që ruteri të kishte aq ndërfaqe fizike të rrjetit sa ka VLAN. Përveç kësaj, çelsat duhej të ndanin një port nga çdo VLAN për të lidhur ruterin. Duke pasur parasysh koston e lartë të porteve të ruterit, kostoja e një zgjidhjeje të tillë ishte shumë e lartë. Përveç kësaj, një ruter konvencional prezantoi një vonesë të konsiderueshme në transmetimin e të dhënave midis VLAN-ve. Sot për transferimin e të dhënave ndërmjet VLAN-ve, të cilët kanë një çmim të ulët për portë dhe kryejnë kursimin e trafikut në harduer me shpejtësinë e kanalit të komunikimit, përdoren çelësat e rrugëzimit. Çelësat e rrugëzimit përputhen gjithashtu me standardin IEEE 802.1Q dhe për të organizuar komunikimin midis VLAN-ve të shpërndarë, ata duhet të përdorin vetëm një portë për të lidhur secilin nga ndërprerësit e grupit të punës që lidhin pajisjet që korrespondojnë me VLAN të ndryshëm në rrjet. Me fjalë të tjera, përmes një porti të një çelësi modern të rrugëzimit, informacioni mund të shkëmbehet midis pajisjeve nga VLAN të ndryshëm.

përdorimi i burimeve të rrjetit të përbashkët nga kompjuterë të VLAN-ve të ndryshëm

Shumë interesante është mundësia e organizimit të aksesit në burimet e rrjetit të përbashkët (serverët e rrjetit, printerët, etj.) për kompjuterët që i përkasin VLAN-ve të ndryshëm. Përparësitë e kësaj mundësie janë të dukshme. Së pari, nuk ka nevojë të blini një ruter ose një ndërprerës rrugëtimi nëse nuk keni nevojë të organizoni shkëmbim të drejtpërdrejtë të të dhënave midis kompjuterëve nga VLAN të ndryshëm. Është e mundur të sigurohet ndërveprim ndërmjet kompjuterëve të VLAN-ve të ndryshëm nëpërmjet një serveri rrjeti, në të cilin kanë akses të gjithë ose disa VLAN. Së dyti, duke ruajtur të gjitha avantazhet e përdorimit të një VLAN, nuk mund të blini serverë për secilin VLAN veç e veç, por të përdorni ato të përgjithshme.

Mënyra më e lehtë për t'i dhënë akses në të njëjtin server përdoruesve nga VLAN të ndryshëm është instalimi i disa përshtatësve të rrjetit në server dhe lidhja e secilit prej këtyre përshtatësve për të ndërruar portat që i përkasin VLAN-ve të ndryshëm. Sidoqoftë, kjo qasje ka një kufizim në numrin e VLAN-ve (shumë përshtatës rrjeti nuk mund të instalohen në një server), imponon kërkesa strikte për komponentët e serverit (drejtuesit e përshtatësve të rrjetit kërkojnë një rritje të sasisë së RAM-it, një ngarkesë e madhe vendoset në CPU dhe autobusi I/O i serverit, etj.) dhe nuk kontribuon në kursimin e parave (duke përdorur përshtatës të shumtë të rrjetit dhe porta shtesë të ndërprerës).

Me ardhjen e standardit IEEE 802.1Q, u bë i mundur transmetimi i informacionit në lidhje me të gjitha ose disa VLAN përmes një porti switch. Siç u përmend më lart, për këtë, switch (ose pajisje tjetër që mbështet 802.1Q) shton një fushë në kornizën e transmetuar përmes rrjetit që përcakton në mënyrë unike nëse korniza i përket një VLAN specifik. Është thjesht e mundur të lidhësh një server të përbashkët për të gjithë VLAN-et në një port të tillë me vetëm një linjë komunikimi. Kushti i vetëm për këtë është që përshtatësi i rrjetit të serverit duhet të mbështesë standardin 802.1Q në mënyrë që serveri të dijë se nga cili VLAN erdhi kërkesa dhe, në përputhje me rrethanat, ku të dërgojë përgjigjen. Kjo është mënyra se si ndarja e serverëve midis VLAN-ve zbatohet në çelësat e menaxhuar nga departamenti dhe grupi i punës në 3Com, Hewlett-Packard dhe Cisco Systems.

përfundimi

Siç mund ta shihni, VLAN-et janë një mjet i fuqishëm rrjeti që mund të zgjidhë problemet e administrimit, sigurinë e transmetimit të të dhënave, kontrollin e aksesit në burimet e informacionit dhe të rrisë ndjeshëm efikasitetin e përdorimit të gjerësisë së brezit të rrjetit.

Oleg Podukov, kreu i departamentit teknik të COMPLETE

Sot do të filloj një seri të vogël artikujsh rreth VLAN-ve. Le të fillojmë me atë se çfarë është, për çfarë shërben, si ta konfigurojmë dhe më pas do të thellohemi dhe gradualisht do të studiojmë, nëse jo të gjitha, atëherë mbi të gjitha mundësitë që na ofrojnë VLAN-të.

Pra, mbani mend, ne folëm për një koncept të tillë si? Unë mendoj se ju kujtohet. Ne folëm gjithashtu për faktin se ekzistojnë disa lloje adresash:.

Bazuar në këtë, ne do të bëjmë një koncept tjetër hyrës. domeni i transmetimit. Çfarë është ai në të vërtetë?

Nëse një kornizë/paketë dërgohet, transmetohet (nëse është kornizë, atëherë fusha Adresa e Destinacionit, të gjithë bitët janë të barabartë me një, ose në formën e 16-të adresa MAC do të jetë e barabartë me: FF FF FF FF FF FF), atëherë ky kuadër do të përcillet në të gjitha portat e switch-it, përveç nga ku është marrë korniza. Kjo do të ndodhë kur, për shembull, ndërprerësi ynë nuk menaxhohet, ose nëse menaxhohet, por të gjithë janë në të njëjtin VLAN (më shumë për këtë më vonë).
Këtu është një listë e pajisjeve që marrin këto korniza transmetimi dhe quhen domeni i transmetimit.

Tani le të vendosim se çfarë është VLAN?

VLAN - Virtual Local Area Network, d.m.th. disa rrjete virtuale. Për çfarë është?

VLAN na lejon të ndajmë domenet e transmetimit në të njëjtin ndërprerës. ato. nëse kemi një switch, do t'i caktojmë disa porte njërit VLAN, tjetrin në një tjetër. Dhe ne do të kemi dy fusha të ndryshme transmetimi. Natyrisht, mundësitë nuk kufizohen me kaq. Unë do të flas për to më tej, të gjitha gradualisht.

Shkurtimisht, VLAN lejon administratorin të krijojë në mënyrë më fleksibël një rrjet duke e ndarë atë në disa nënrrjeta (për shembull, një rrjet kontabilistësh, një rrjet menaxherësh etj.), me fjalë të tjera, VLAN ndihmon në kombinimin e pajisjeve me disa të zakonshme grup kërkesash në një grup të vetëm dhe për ta ndarë atë nga grupe të tjera të ngjashme të izoluara.

Do të bëj një rezervim menjëherë që VLAN-të punojnë në nivelin OSI Layer 2.
Kujtojmë që kur morëm parasysh kornizën, nuk kishte asnjë fushë për VLAN atje. Atëherë, si të përcaktohet se cilit VLAN i përket ky apo ai kornizë?

Ka disa standarde.

1. IEEE 802.1Q - Ky standard është i hapur. Ky standard shënon një kornizë të veçantë që është "bashkangjitur" me disa VLAN me etiketim.
Etiketimi është një funksion i switch-it (ose çdo pajisje tjetër që "kupton" VLAN), i cili fut një etiketë 4-bajtë në kornizën e ethernetit. Procedura e etiketimit nuk ndryshon të dhënat e kokës, kështu që pajisjet që nuk mbështesin teknologjinë VLAN mund ta përcjellin lehtësisht një kornizë të tillë më tej përmes rrjetit, duke e mbajtur etiketën.

Kështu do të duket korniza pas futjes së etiketës VLAN.

Bazuar në figurën e tyre, shohim se etiketa VLAN përbëhet nga 4 fusha, ne do t'i përshkruajmë ato:

- 2 bajt Identifikuesi i Protokollit të Etiketës (TPID) - ky është identifikuesi i protokollit, në rastin tonë është 802.1Q, në formën e 16-të kjo fushë do të duket si: 0x8100.

- Prioriteti - një fushë për vendosjen e përparësisë sipas standardit 802.1p (për të në artikujt vijues). Madhësia e kësaj fushe është 3 bit (8 vlera 0-7).

- Treguesi i Formatit Kanonik (CFI). Treguesi i formatit kanonik, madhësia e kësaj fushe është 1 bit. Kjo fushë tregon formatin e adresës mac (1 është kononik, 0 nuk është kanonik.)

- VLAN ID, në fakt, kjo është ajo që ne jemi këtu për sot 🙂 VLAN ID. Madhësia e fushës është 12 bit, mund të marrë një vlerë nga 0 në 4095.

Kur përdorni VLAN (tagging) sipas standardit 802.1Q, bëhen ndryshime në kornizë, prandaj është e nevojshme të rillogaritet vlera FCS, e cila në fakt bëhet nga çelësi.

Standardi 802.1Q ka një gjë të tillë si Native VLAN, si parazgjedhje Native VLAN ID është e barabartë me një (mund të ndryshohet), Native VLAN karakterizohet nga fakti se ky VLAN nuk është etiketuar.

2. Inter-switch-link (ISL). Një protokoll i zhvilluar nga Cisco dhe mund të përdoret vetëm në pajisjet e veta.
Ky protokoll u zhvillua përpara miratimit të 802.1Q.
Aktualisht, ISL nuk mbështetet më në pajisje më të reja, por ju mund të hasni ende protokollin në veprim, kështu që ne duhet të njihemi me të.

Ndryshe nga 802.1Q, ku u krye një etiketim i thjeshtë i kornizës (duke futur 4 bajt brenda kornizës), këtu përdoret teknologjia e kapsulimit, domethënë shtohet një kokë që përmban informacione rreth VLAN. VLAN ISL, ndryshe nga 802.1Q, mbështet deri në 1000 VLAN.

Konsideroni kornizën në një formë grafike, si duket ky kapsulim.

Këtu mund të shohim menjëherë pengesën e parë dhe ndoshta më themelore të ISL - kjo është një rritje e kornizës me 30 bajte (26 bajte kokë dhe 4 bajte FCS).

Le të shqyrtojmë më në detaje titullin ISL, le të shohim se çfarë ruhet atje në kaq shumë bajt!

  • Adresa e Destinacionit (DA) - adresa e marrësit, këtu tregohet një adresë speciale multicast, e cila tregon se korniza është e kapsuluar duke përdorur ISL. Adresa multicast mund të jetë 0x01-00-0C-00-00 ose 0x03-00-0c-00-00.
  • Lloji - gjatësia e fushës 4 bit, tregon protokollin që është i kapsuluar në kornizë. Mund të marrë shumë vlera:

0000 Ethernet
0001 - Unaza Token
0010 - FDDI
0011-ATM

Në rastin tonë, meqenëse po shqyrtojmë Ethernet, kjo vlerë do të jetë e barabartë me të gjitha 0.

  • USER - një lloj analogu "i shkurtuar" i fushës Prioritet në 802.1Q, përdoret për të vendosur prioritetin e kornizës. Megjithëse fusha merr 4 bit, ajo mund të marrë 4 vlera (në 802.1Q - 8).
  • Adresa e burimit (SA) - adresa e burimit, ky vend zëvendësohet me vlerën e adresës MAC të portit nga i cili është dërguar kjo kornizë e kapsuluar.
  • LEN është gjatësia e kornizës. Ai nuk merr parasysh fusha të tilla si: DA, LLOJI, PËRDORIMI, SA, LEN, FCS. Kështu, rezulton se kjo vlerë është e barabartë me kornizën e kapsuluar - 18 bajt.
  • AAAA03 (SNAP) - SNAP dhe LLC (Kjo fushë përmban vlerën AAAA03).
  • HSA - Bit të larta të Adresës së Burimit - 3 bajtë të lartë të adresës MAC (mos harroni se këto bajtë përmbajnë kodin e prodhuesit), për Cisco kjo është 00-00-0C
  • VLAN - më në fund arrita në fushën kryesore. ID-ja e VLAN-it është specifikuar në të vërtetë këtu. Fusha ka një madhësi prej 15 bitësh.
  • BPDU - Njësia e të dhënave të Protokollit të Urës dhe Protokolli i Zbulimit Cisco. Fusha për protokollet BPDU dhe CDP. Çfarë është dhe pse, do të njihemi në artikujt në vijim.
  • INDX - Indeksi, tregohet indeksi i portit të dërguesit, i përdorur për qëllime diagnostikuese.
  • RES - Rezervuar për Unazën Token dhe FDDI. Fusha rezervë për Unazën Token dhe FDDI. Fusha ka 16 bit. Nëse përdoret protokolli ethernet, atëherë të gjitha zerat vendosen në këtë fushë.
  • Korniza e Encapsulated është një kornizë e rregullt që ka qenë e kapsuluar. Ky kuadër ka fushat e veta, si DA, SA, LEN, FCS, e kështu me radhë.
  • FCS - vetë ISL FCS (meqenëse korniza është ndryshuar plotësisht, nevojitet një kontroll i ri i kornizës, 4 bajtet e fundit janë për këtë).

Mund të nxjerrim disa përfundime në favor të 802.1Q.

  1. Etiketimi shton vetëm 4 byte në kornizë, ndryshe nga ISL (30 bytes).
  2. 802.1Q mbështetet në çdo pajisje që mbështet VLAN, ndërsa ISL funksionon vetëm në pajisjet Cisco, dhe jo të gjitha.

Në këtë artikull, ne u njohëm shkurtimisht me konceptin e VLAN. Më tej, ne do të kuptojmë detajet.

Një tjetër mjet i vogël që mund të përmirësojë pak përdorshmërinë: baneri. Kjo është një reklamë që cisco do ta shfaqë përpara autorizimit në pajisje.

Switch(config)#banner motd q Fut mesazh TEXT. Përfundoni me karakterin "q". Është thjesht bander. q Ndërprerës (konfigurim)#
Pas motd, ju specifikoni një karakter që do të sinjalizojë se linja ka përfunduar. Në këtë shembull, ne vendosim "q".

Për sa i përket përmbajtjes së banderolës. Ekziston një legjendë e tillë: një haker hyri në rrjet, theu / vodhi diçka atje, ai u kap dhe në gjyq u shpall i pafajshëm dhe u la i lirë. Pse? Dhe për shkak se në ruterin kufitar (midis Internetit dhe rrjetit të brendshëm), fjala "Mirësevini" ishte shkruar në baner. "Epo, meqë ata pyesin, unë hyra")). Prandaj, konsiderohet praktikë e mirë të shkruani diçka si "Qasja u refuzua!" në baner.

Për të organizuar njohuritë sipas pikave, le të analizojmë se çfarë duhet të bëni:

1) Cakto emrin e hostit. Kjo do t'ju ndihmojë në të ardhmen në një rrjet të vërtetë për të gjetur shpejt se ku jeni.
Ndërro(konfigurim)#hostname HOSTNAME

2) Krijoni të gjitha vlanet dhe jepini një emër
Switch(config)#vlan VLAN-NUMBER Switch(config-vlan)#emri EMRI-OF-VLAN

3) Konfiguro të gjitha portet e aksesit dhe jepu atyre një emër
Switch(config-if)#description DESCRIPTION-OF-INTERFACE Switch(config-if)#switchport qasje në modalitetin Switch(config-if)#switchport akses vlan VLAN-NUMBER

Ndonjëherë është i përshtatshëm për të konfiguruar ndërfaqet në grupe:

msk-arbat-asw3(config)#varg ndërfaqe fastEthernet 0/6 - 10 msk-arbat-asw3(config-if-range)#përshkrim FEO msk-arbat-asw3(config-if-range)#switchport qasje në modalitetin msk- arbat-asw3(config-if-range)#switchport akses vlan 102

4) Konfiguro të gjitha portat e trungut dhe jepu atyre një emër:
Switch(config-if)#description DESCRIPTION-OF-INTERFACE Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk lejohet vlan VLAN-NUMBERS

5) Mos harroni të kurseni:
Switch#copy running-config startup-config

Në përmbledhje: çfarë kemi arritur? Të gjitha pajisjet në të njëjtin nënrrjet mund të shohin njëra-tjetrën, por jo pajisjet në tjetrën. Në numrin tjetër, do të merremi me këtë çështje, dhe gjithashtu i drejtohemi rrugëtimit statik dhe ndërprerësve L3.
Në përgjithësi, ky mësim mund të përfundojë. Në video, ju mund të shihni edhe një herë se si janë konfiguruar vlans. Si një detyrë shtëpie, konfiguroni vlan në çelësat për serverët.

Këtu mund të shkarkoni konfigurimin e të gjitha pajisjeve:
Lift-me-Up_Configuration.zip
Dhe projekti ynë RT:
lift-me-UP_v2-VLANs.pkt

P.S.
Një shtesë e rëndësishme: në pjesën e mëparshme, duke folur për vlanin vendas, ju dezinformuam pak. Në pajisjet Cisco, kjo skemë funksionimi nuk është e mundur.
Kujtoni që ne propozuam të dërgojmë korniza të pataguara të vlan-it 101 në çelësin msk-rubl-asw1 dhe t'i marrim ato atje në të parën.
Fakti është se, siç e përmendëm më lart, nga pikëpamja e cisco-s, i njëjti numër vlan duhet të konfigurohet në të dy anët e ndërprerësve, përndryshe problemet me protokollin STP fillojnë dhe paralajmërimet për cilësimet e gabuara mund të shihen në regjistrat. . Prandaj, ne transferojmë vlan-in 101 në pajisje në mënyrën e zakonshme, kornizat do të etiketohen dhe, në përputhje me rrethanat, vlan-i i 101-të duhet të krijohet gjithashtu në msk-rubl-asw1.

Edhe një herë, ne duam të vërejmë se me gjithë dëshirën tonë, ne nuk do të jemi në gjendje të mbulojmë të gjitha nuancat dhe hollësitë, dhe për këtë arsye nuk i vendosim vetes një detyrë të tillë. Gjëra të tilla si mënyra se si është ndërtuar adresa MAC, vlera e fushës Lloji Ether ose për çfarë shërben CRC në fund të kornizës, duhet t'i studioni vetë. Shto etiketa

VLAN (Virtual Local Area Network) lejon çelsat ose ruterat të krijojnë disa rrjete lokale virtuale në një ndërfaqe fizike të rrjetit. Një mënyrë e thjeshtë dhe e përshtatshme për të ndarë trafikun midis klientëve ose stacioneve bazë, duke përdorur VLAN.

Teknologjia VLAN konsiston në faktin se në kornizën e rrjetit (niveli i dytë) shtohet një titull shtesë i etiketës, i cili përmban informacionin e shërbimit dhe ID-në VLAN. Vlerat e ID VLAN mund të jenë nga 1 - 4095. Në këtë rast, 1 rezervohet si VLAN i paracaktuar.

Kur punoni me VLAN, është e rëndësishme të kuptoni se çfarë është trafiku i etiketuar dhe i pa etiketuar. Trafiku i etiketuar (me një ID vlan) kryesisht shkon midis çelsave dhe serverëve. Kompjuterët e zakonshëm (veçanërisht ata që përdorin Windows) nuk e kuptojnë trafikun e etiketuar. Prandaj, në ato porte që shikojnë drejtpërdrejt në stacionet e punës ose në një rrjet me një ndërprerës të pamenaxhuar, lëshohet trafik i pa etiketuar. ato. etiketa është shkëputur nga korniza e rrjetit. Kjo ndodh gjithashtu nëse porti është konfiguruar me VLAN ID = 1.

Ekziston edhe një koncept si trungu (Trunk). Një trunk është një port switch që mbart trafikun me etiketa të ndryshme. Në mënyrë tipike, një trunk konfigurohet midis ndërprerësve për të lejuar aksesin VLAN nga ndërprerës të ndryshëm.

Përdorimi i VLAN në pajisjet Mikrotik

Ruterët dhe çelsat Mikrotik mbështesin deri në 250 VLAN në një ndërfaqe të vetme Ethernet. Ju mund të krijoni një VLAN jo vetëm në ndërfaqen Ethernet, por edhe në Bridge, madje edhe në tunelin EoIP. Një VLAN mund të ndërtohet në një ndërfaqe tjetër VLAN duke përdorur teknologjinë "Q-in-Q". Ju mund të bëni 10 ose më shumë VLAN të mbivendosur, vetëm madhësia e MTU zvogëlohet me 4 bajt çdo herë.

Le të analizojmë përdorimin e VLAN-ve me një shembull. Një detyrë:

  • Krijo VLAN për HOTSPOT (172.20.22.0/24)
  • Krijo VLAN për telefoninë VIP (172.21.22.0/24)
  • Izoloni rrjetet 172.20.22.0/24, 172.21.22.0/24 nga njëri-tjetri dhe nga qasja në rrjet 10.5.5.0/24
  • Cakto portën Ether2 në rrjetin 172.20.22.0/24 (VLAN)
  • Cakto Ether3, Ether4 në rrjetin 172.21.22.0/24 (VLAN)

Të dhënat fillestare:

  • Interneti në Ether1, i caktuar në ndërfaqen Brigde - Ethernet
  • LAN (10.5.5.0/24), i caktuar në ndërfaqen Brigde - LAN
Krijimi i ndërfaqeve VLAN

Krijoni VLAN2 (ID=2), VLAN3 (ID=3) dhe caktojini ato në ndërfaqen Bridge LAN. Ndërfaqja LAN do të veprojë si një lidhje Trunk.

/interface vlan add name=VLAN2 vlan-id=2 interface=LAN /interface vlan add name=VLAN3 vlan-id=3 interface=LAN

Krijimi i ndërfaqeve të urës

Krijoni ndërfaqe BridgeVLAN2, BridgeVLAN3 për VLAN:

/interface bridge add name=BridgeVLAN2 /interface bridge add name=UraVLAN3

Lidhja e ndërfaqeve VLAN me lidhjet Bridge

Lidhni ndërfaqet VLAN (VLAN2, VLAN3) me lidhjet Bridge (BridgeVLAN2, BridgeVLAN3):

/interface bridge porte add interface=VLAN2 bridge=BridgeVLAN2 /interface bridge port add interface=VLAN3 bridge=UraVLAN3

Krijimi i një adrese IP

Cakto çdo ndërfaqe BridgeVLAN2/BridgeVLAN3 një adresë IP — 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3):

/adresa ip shtoni adresën=172.20.22.1/24 ndërfaqja=BridgeVLAN2 /adresa ip shtoni adresën=172.21.22.1/24 ndërfaqja=BridgeVLAN3

Krijo një grup adresash

Caktoni gamën e adresave IP të lëshuara për rrjetet (172.20.22.0/24, 172.21.22.0/24):

/ip pool add name=poolVLAN2 ranges=172.20.22.2-172.20.22.254 /ip pool add name=poolVLAN3 ranges=172.21.22.2-172.21.22.254

Vendosja e një serveri DHCP

Në mënyrë që pajisjet të marrin cilësimet e rrjetit, konfiguroni automatikisht serverin DHCP për rrjetet lokale (172.20.22.0/24, 172.21.22.0/24):

/ip dhcp-server add name=dhcpVLAN2 interface=BridgeVLAN2 address-pool=poolVLAN2 disabled=jo /ip dhcp-server add name=dhcpVLAN3 interface=BridgeVLAN3 address-pool=poolVLAN3 disabled=nuk /ip dhcp-server rrjeti shtoni adresën200. .22.0/24 gateway=172.20.22.1 /ip dhcp-server network add address=172.21.22.0/24 gateway=172.21.22.1

Konfigurimi i murit të zjarrit. Akses në internet për rrjetet VLAN

Unë kam përfunduar cilësimet e sigurisë, sipas kësaj. Prandaj, në mënyrë që pajisjet nga rrjetet lokale (172.20.22.0/24, 172.21.22.0/24) të kenë akses në internet, ne shtojmë një rregull për to:

/ip firewall filter add chain=forward action=accept src-address=172.20.22.0/24 comment="Hasu në internet nga LAN" /ip firewall filter add chain=forward action=accept src-address=172.21.22.0/24 comment= "Qasje në internet nga LAN"

Izolimi VLAN

Është e nevojshme që rrjetet VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24) të jenë të izoluara nga njëri-tjetri dhe nga aksesi në rrjetin kryesor lokal 10.5.5.0/24. Krijo lista të rrjeteve lokale (LOCAL):

/ip firewall adresa-lista shtoni listë=adresa LOKALE=10.5.5.0/24 /ip firewall adresa-lista shtoni listë=Adresa LOCAL=172.20.22.0/24 /ip firewall adresa-lista shtoni listë=adresa LOKALE=172.21.22.0/ 24

Ne krijojmë rregulla për bllokimin e aksesit në rrjetet lokale (LOCAL) nga rrjetet 172.20.22.0/24, 172.21.22.0/24. Rregullat e ndalimit, sigurohuni që t'i vendosni mbi ato që lejojnë:

/filtri i murit të zjarrit ip add chain=forward action=drop src-address=172.20.22.0/24 dst-address-list=LOCAL /ip firewall filter add chain=forward action=drop src-address=172.21.22.0/24 dst-address -lista=LOKALE

Shpërndarja VLAN sipas porteve të ruterit Mikrotik

Ne caktojmë portat e ruterit për të punuar në një VLAN të veçantë. Porta ether2 - BridgeVLAN2, portet ether3, ether4 - BridgeVLAN3:

/interface bridge port add interface=ether2 bridge=BridgeVLAN2 /interface bridge port add interface=ether3 bridge=BridgeVLAN3 /interface bridge port add interface=ether4 bridge=BridgeVLAN3

Informacion: Nuk është e nevojshme të caktoni një lidhje Bridge për çdo port që t'i përkasë një VLAN të veçantë. Mjafton të vendosni lidhjen Bridge në vetëm një portë, dhe më pas të përdorni portën Master për të treguar përkatësinë e VLAN-it, porte të tjera.

Kjo përfundon shtimin dhe konfigurimin e VLAN-ve. Si rezultat, ne morëm dy rrjete të izoluara me akses në internet. Ne vendosëm rrjetet e krijuara VLAN në një lidhje Trunk, e cila do të lejojë, nëse është e nevojshme, segmentimin e rrjeteve VLAN në një ruter tjetër, është e lehtë për ta bërë këtë. Ne caktuam portat e nevojshme të ruterit për të punuar në rrjetet përkatëse VLAN.

Artikujt kryesorë të lidhur

Si të hapni një skedar Mdf Çfarë janë skedarët mdf dhe mds
Si të hapni një skedar Mdf Çfarë janë skedarët mdf dhe mds
Çfarë duhet të bëni nëse kompjuteri ngrin?
Çfarë duhet të bëni nëse kompjuteri ngrin?
Programe radio amatore për android Programe Elektronikë për android
Programe radio amatore për android Programe Elektronikë për android
Kategoritë:
© 2022 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.