Çfarë është vlan: teknologjia dhe konfigurimi. Konfigurimi i VLAN (Virtual Local Area Network) në pajisjet e rrjetit Mikrotik

Për momentin, shumë organizata dhe ndërmarrje moderne praktikisht nuk përdorin një mundësi kaq shumë të dobishme, dhe shpesh të nevojshme, si organizimi i një virtual (VLAN) brenda kornizës së një infrastrukture integrale, e cila ofrohet nga shumica e ndërprerësve modernë. Kjo është për shkak të shumë faktorëve, kështu që ia vlen të merret parasysh kjo teknologji nga pikëpamja e mundësisë së përdorimit të saj për qëllime të tilla.

përshkrim i përgjithshëm

Së pari, ia vlen të vendosni se cilat janë VLAN-të. Me këtë nënkuptohet një grup kompjuterësh të lidhur në një rrjet që janë grupuar logjikisht në një domen të shpërndarjes së mesazheve të transmetimit bazuar në një atribut specifik. Për shembull, grupet mund të dallohen në varësi të strukturës së ndërmarrjes ose sipas llojeve të punës në një projekt ose detyrë së bashku. VLAN-të ofrojnë disa përfitime. Si fillim, ne po flasim për një përdorim shumë më efikas të gjerësisë së brezit (në krahasim me rrjetet tradicionale lokale), një shkallë më të lartë të mbrojtjes së informacionit që transmetohet, si dhe një skemë të thjeshtuar administrimi.

Meqenëse gjatë përdorimit të një VLAN, i gjithë rrjeti ndahet në domene transmetimi, informacioni brenda një strukture të tillë transmetohet vetëm midis anëtarëve të tij dhe jo në të gjithë kompjuterët në rrjetin fizik. Rezulton se trafiku i transmetimit i gjeneruar nga serverët është i kufizuar në një domen të paracaktuar, domethënë nuk transmetohet në të gjitha stacionet në këtë rrjet. Në këtë mënyrë, është e mundur të arrihet shpërndarje optimale e gjerësisë së brezit të rrjetit midis grupeve të dedikuara kompjuterësh: serverët dhe stacionet e punës nga VLAN të ndryshëm thjesht nuk e shohin njëri-tjetrin.

Si vijojnë të gjitha proceset?

Në një rrjet të tillë, informacioni është mjaft i mbrojtur nga shkëmbimi i të dhënave që kryhet brenda një grupi specifik kompjuterësh, domethënë, ata nuk mund të marrin trafikun e krijuar në ndonjë strukturë tjetër të ngjashme.

Nëse flasim për atë që janë VLAN-et, atëherë është e përshtatshme të theksohet një avantazh i tillë i kësaj metode të organizimit pasi rrjeti i thjeshtuar ndikon në detyra të tilla si shtimi i elementeve të rinj në rrjet, zhvendosja e tyre dhe gjithashtu fshirja e tyre. Për shembull, nëse një përdorues VLAN lëviz në një vend tjetër, administratori i rrjetit nuk ka nevojë të rilidhë kabllot. Ai vetëm duhet të konfigurojë pajisjet e rrjetit nga vendi i tij i punës. Në disa implementime të rrjeteve të tilla, lëvizja e anëtarëve të grupit mund të kontrollohet automatikisht, pa kërkuar as ndërhyrjen e një administratori. Ai vetëm duhet të dijë se si të konfigurojë VLAN në mënyrë që të kryejë të gjitha operacionet e nevojshme. Ai mund të krijojë grupe të reja logjike përdoruesish edhe pa u ngritur nga vendi i tij. E gjithë kjo kursen shumë kohën e punës, e cila mund të jetë e dobishme për zgjidhjen e problemeve jo më pak të rëndësishme.

Metodat e organizimit VLAN

Ekzistojnë tre opsione të ndryshme: i bazuar në port, i bazuar në L3 ose i bazuar në MAC. Çdo metodë korrespondon me një nga tre shtresat më të ulëta të modelit OSI: përkatësisht fizike, rrjet dhe lidhje të dhënash. Nëse flasim për atë që janë VLAN-et, atëherë vlen të përmendet prania e një metode të katërt organizimi - bazuar në rregulla. Tani përdoret rrallë, megjithëse ofron shumë fleksibilitet. Ju mund të shqyrtoni më në detaje secilën nga metodat e listuara në mënyrë që të kuptoni se cilat veçori kanë ato.

VLAN i bazuar në port

Kjo supozon një grupim logjik të portave specifike të ndërprerësve fizikë të zgjedhur për komunikim. Për shembull, mund të përcaktojë që porte të caktuara, për shembull, 1, 2 dhe 5 formojnë VLAN1, dhe numrat 3, 4 dhe 6 përdoren për VLAN2, e kështu me radhë. Një portë e çelësit mund të përdoret për të lidhur disa kompjuterë, për të cilët, për shembull, përdoret një shpërndarës. Të gjithë ata do të përcaktohen si anëtarë të një rrjeti virtual, në të cilin është regjistruar porta e shërbimit të switch-it. Kjo lidhje e ngushtë e anëtarësimit në rrjetin virtual është disavantazhi kryesor i kësaj organizate.

VLAN bazuar në adresat MAC

Kjo metodë bazohet në përdorimin e adresave unike të shtresave heksadecimal të lidhjeve të disponueshme për çdo server ose stacion pune në rrjet. Nëse flasim për atë që janë VLAN-et, atëherë vlen të përmendet se kjo metodë konsiderohet të jetë më fleksibël në krahasim me atë të mëparshme, pasi është mjaft e mundur të lidhni kompjuterë që i përkasin rrjeteve të ndryshme virtuale në një portë ndërprerës. Përveç kësaj, ai monitoron automatikisht lëvizjen e kompjuterëve nga një port në tjetrin, gjë që ju lejon të mbani klientin që i përket një rrjeti specifik pa ndërhyrjen e administratorit.

Parimi i funksionimit këtu është shumë i thjeshtë: ndërprerësi mban një tabelë korrespondence midis adresave MAC të stacioneve të punës dhe rrjeteve virtuale. Sapo kompjuteri kalon në ndonjë port tjetër, fusha e adresës MAC krahasohet me të dhënat e tabelës, pas së cilës bëhet përfundimi i saktë për përkatësinë e kompjuterit në një rrjet të caktuar. Disavantazhet e kësaj metode janë kompleksiteti i konfigurimit të VLAN, i cili fillimisht mund të shkaktojë gabime. Pavarësisht se switch-i ndërton tabelat e veta të adresave, administratori i rrjetit duhet t'i shqyrtojë të gjitha për të përcaktuar se cilat adresa korrespondojnë me cilët grupe virtuale, pas së cilës ai ia cakton atë VLAN-ve përkatës. Dhe është këtu që ka një vend për gabime, të cilat ndonjëherë ndodhin në Cisco VLAN, konfigurimi i të cilave është mjaft i thjeshtë, por rishpërndarja e mëvonshme do të jetë më e vështirë sesa në rastin e përdorimit të porteve.

VLAN bazuar në protokollet e shtresës së tretë

Kjo metodë përdoret rrallë në çelsat e grupit të punës ose të departamentit. Është tipike për shtyllat kurrizore të pajisura me pajisje të integruara të rrugëzimit për protokollet kryesore LAN - IP, IPX dhe AppleTalk. Kjo metodë supozon se një grup portash switch që i përkasin një VLAN specifik do të shoqërohen me një nënrrjet IP ose IPX. Në këtë rast, fleksibiliteti sigurohet nga fakti që lëvizja e një përdoruesi në një port tjetër, që i përket të njëjtit rrjet virtual, monitorohet nga switch dhe nuk ka nevojë të rikonfigurohet. Rutimi i VLAN-it në këtë rast është mjaft i thjeshtë, sepse switch-i në këtë rast analizon adresat e rrjetit të kompjuterëve që janë të përcaktuara për secilin prej rrjeteve. Kjo metodë gjithashtu mbështet ndërveprimin midis VLAN-ve të ndryshëm pa përdorimin e mjeteve shtesë. Ekziston gjithashtu një pengesë e kësaj metode - kostoja e lartë e çelsave në të cilat zbatohet. Puna mbështetëse e VLAN Rostelecom në këtë nivel.

konkluzionet

Siç e keni kuptuar tashmë, rrjetet virtuale janë një mjet mjaft i fuqishëm që mund të zgjidhë problemet që lidhen me sigurinë e transmetimit të të dhënave, administrimin, kontrollin e aksesit dhe rritjen e efikasitetit të përdorimit.

Le të imagjinojmë situatën e mëposhtme. Ne kemi një zyrë të një kompanie të vogël me 100 kompjuterë dhe 5 serverë në arsenalin e saj. Në të njëjtën kohë, kjo kompani punëson kategori të ndryshme punonjësish: menaxherë, kontabilistë, oficerë personeli, specialistë teknikë, administratorë. Është e nevojshme që secili prej departamenteve të punojë në nënrrjetin e vet. Si të dalloni trafikun e këtij rrjeti? Në përgjithësi, ekzistojnë dy mënyra të tilla: mënyra e parë është të ndani grupin e adresave IP në nënrrjeta dhe të ndani nënrrjetin e vet për çdo departament, mënyra e dytë është përdorimi i VLAN-ve.

VLAN (Virtual Local Area Network) është një grup nyjesh rrjeti, trafiku i të cilave, përfshirë transmetimin, është plotësisht i izoluar nga trafiku i nyjeve të tjera të rrjetit në nivelin e lidhjes. Në rrjetet moderne, VLAN-et janë mekanizmi kryesor për krijimin e një topologjie logjike të rrjetit që është e pavarur nga topologjia e saj fizike.

Teknologjia VLAN është përcaktuar në IEEE 802.1q, një standard i hapur që përshkruan një procedurë etiketimi për përcjelljen e informacionit të anëtarësimit në VLAN. 802.1q vendos një etiketë brenda kornizës ethernet që përcjell informacion në lidhje me trafikun që i përket një VLAN.

Merrni parasysh fushat e VLAN TAG:

• TPID (Identifikuesi i Protokollit të Etiketës) - identifikuesi i protokollit të etiketimit. Tregon se cili protokoll përdoret për etiketim. Për 802.1Q, vlera është 0x8100.
• Prioritet - prioritet. Përdoret për të vendosur përparësinë e trafikut të transmetuar (QoS).
• CFI (Canoncial Format Indicator) - tregon formatin e adresës MAC (Ethernet ose Token Ring).
• VID (Vlan Indentifier) ​​- Identifikuesi VLAN. Tregon se cilit VLAN i përket korniza. Ju mund të specifikoni një numër nga 0 në 4094.

Kur dërgoni korniza, kompjuteri nuk e di se në çfarë VLAN është - çelësi e bën këtë. Ndërprerësi e di se në cilën port është lidhur kompjuteri dhe, bazuar në këtë, do të përcaktojë se në cilin VLAN është ky kompjuter.

Çelësi ka dy lloje portash:

• Porta e etiketuar (etiketuar, trunk) - një port përmes të cilit mund të transmetoni ose merrni trafik nga disa grupe VLAN. Kur transmetohet përmes një porti të etiketuar, një etiketë VLAN shtohet në kornizë. Përdoret për t'u lidhur me çelsat, ruterat (domethënë ato pajisje që njohin etiketat VLAN).
• Port i pa etiketuar (i pa etiketuar, akses) - porti përmes të cilit transmetohen kornizat e pa etiketa. Përdoret për t'u lidhur me nyjet fundore (kompjuterë, serverë). Çdo port i pa etiketuar është në një VLAN specifik. Kur trafiku transmetohet nga kjo portë, etiketa VLAN hiqet dhe trafiku i pa etiketuar shkon te kompjuteri (i cili nuk e njeh VLAN-in). Përndryshe, kur trafiku merret në një port të pa etiketuar, atij i shtohet një etiketë VLAN.

Konfigurimi i VLAN në ndërprerësin e menaxhuar Dlink DES-3528

Seria e çelsave DES-3528/3552 xStack përfshin çelsat e aksesit të grumbullueshëm L2 + që lidhin në mënyrë të sigurt përdoruesit fundorë me një rrjet të ndërmarrjeve të mëdha dhe bizneseve të vogla dhe të mesme (SMB). Çelësat ofrojnë grumbullim fizik, rrugëzim statik, mbështetje multicast dhe veçori të avancuara sigurie. E gjithë kjo e bën këtë pajisje një zgjidhje ideale të shtresës së aksesit. Çelësi integrohet lehtësisht me çelësat kryesorë L3 për të formuar një strukturë rrjeti me shumë shtresa me shtyllë kurrizore me shpejtësi të lartë dhe serverë të centralizuar. Çelësat e serisë DES-3528/3552 janë të pajisur me 24 ose 48 porte Ethernet 10 / 100 Mbps dhe mbështesin deri në 4 porte të lidhjes së sipërme Ethernet Gigabit.

Le të shqyrtojmë parimet e konfigurimit të VLAN në ndërprerësit e menaxhuar Dlink. Gjatë punës sonë, ne do të studiojmë se si të krijojmë, fshijmë, ndryshojmë VLAN, shtojmë lloje të ndryshme portash (të etiketuara dhe të pataguara).

Lidhja me çelësin bëhet përmes portës së konsolës duke përdorur programin HyperTerminal.

Përdorni komandën show vlan për të parë informacione rreth VLAN-ve ekzistuese.

Në figurën e mësipërme, mund të shihni se fillimisht vetëm një VLAN i paracaktuar u krijua në switch me emrin e paracaktuar. Komanda show vlan shfaq fushat e mëposhtme:

• VID - Identifikuesi VLAN
• Lloji VLAN - Lloji VLAN
• Portet Anëtare - portet e përfshira
• Static Ports - porte statike
• Portet aktuale të etiketuara - portet aktuale të etiketuara
• Portet aktuale të pa etiketa - portet aktuale të pa etiketa
• Portet e etiketuara statike - portet me etiketa statike
• Portet statike të pa etiketa - porte statike të pa etiketa
• Totali i hyrjeve - totali i hyrjeve
• Emri VLAN - Emri VLAN
• Reklamim - status

Le të krijojmë një VLAN të ri duke përdorur inicialet AA si emër dhe numrin 22 si identifikues. Për ta bërë këtë, ne do të përdorim komandën create vlan.

VLAN-i i ri nuk përfshin ende asnjë portë. Duke përdorur konfigurimin vlan, ndryshoni VLAN AA në mënyrë që portat e etiketuara 10, 14-17 dhe portat 2-5 të paetiketuara të shfaqen në të.

Përdorni komandën show vlan për të shfaqur informacione rreth VLAN-ve të krijuara.

Dihet që portet e etiketuara mund t'i përkasin disa VLAN-ve, dhe portet e pataguara mund t'i përkasin vetëm një VLAN. Aktualisht, si portat e etiketuara ashtu edhe ato të pataguara janë të përfshira në parazgjedhjen e VLAN dhe VLAN AA. Përdorni komandën config vlan për të hequr të gjitha portat e përdorura në VLAN AA nga parazgjedhja e VLAN.

Nga fotografia e mësipërme, mund të shihni se tani portat 2-5, 10, 14-17 janë vetëm në VLAN AA.

Merrni parasysh ndarjen e rrjetit në VLAN të ndryshëm. Qarku është montuar në dollapin e instalimeve elektrike dhe është konfiguruar nënrrjeti 10.0.0.0 / 8.

Në momentin fillestar të kohës, të gjithë kompjuterët janë në të njëjtin nënrrjet dhe bëjnë ping mes tyre. Është e nevojshme t'i ndani ato në mënyrë që PC22, PC20, PC18 të jenë në një VLAN dhe PC 19, PC21 të jenë në një VLAN tjetër. Për ta bërë këtë, krijoni dy VLAN:

• VLAN = 10 me emrin net1 (PC18, PC20, PC22)
• VLAN = 20 me emrin net2 (PC19, PC21)

Për çelësat, një plan konfigurimi i portit u zhvillua bazuar në diagramin. Në të njëjtën kohë, u mor parasysh që portat e pataguara duhet të përdoren për kompjuterët, dhe portat e etiketuara për lidhjet midis ndërprerësve. Gjatë konfigurimit të ndërprerësve, portat e etiketuara vendoseshin në VLAN = 10 dhe VLAN = 20, dhe portat e pataguara vendoseshin vetëm në VLAN të cilit i përket kompjuteri.

Në secilin prej çelsave, duhet të konfiguroni portat sipas diagramit. Figura më poshtë tregon një shembull të vendosjes së SW5. Fillimisht krijohet një vlan me identifikuesin net1 dhe etiketën 10. Më pas krijojmë vlanin e dytë net2 me etiketën 20. Pas kësaj, shtojmë portat e switch-it në vlan përkatës. Porti 1 është i lidhur me PC22, i cili është në VLAN 10. Kjo do të thotë që porti 1 nuk do të etiketohet. Porta e dytë është e lidhur me SW4 sipas skemës dhe duhet të kalojë 10 dhe 20 VLAN në vetvete.

Pjesa tjetër e çelsave janë konfiguruar me analogji.

Përdorni komandën show vlan për të parë secilin prej VLAN-ve që kemi krijuar.

VLAN (Virtual Local Area Network) është një funksion në ruterë dhe ndërprerës që ju lejon të krijoni shumë VLAN në një ndërfaqe fizike të rrjetit (Ethernet, ndërfaqe Wi-Fi).

VLAN është pjesë e një LAN më të madh. Mekanizmi më i thjeshtë për izolimin e nënrrjetave të ndryshme në ndërfaqet What is Ethernet, WI-FI. Për të organizuar një VLAN, një ndërprerës rrjeti (Si të zgjidhni një ndërprerës rrjeti (ndërprerës, ndërprerës)) duhet të mbështesë teknologjinë VLAN dhe protokollin 802.1q.

Përparësitë e VLAN:

rrit numrin e domeneve të transmetimit, por zvogëlon madhësinë e çdo domeni transmetimi, i cili nga ana tjetër redukton trafikun e rrjetit dhe rrit sigurinë e rrjetit (të dyja pasojat janë të lidhura së bashku për shkak të një domeni të vetëm të madh transmetimi);

zvogëlon përpjekjet e administratorëve për të krijuar nënrrjeta;

zvogëlon sasinë e pajisjeve, pasi rrjetet mund të ndahen logjikisht dhe jo fizikisht;

përmirëson menaxhimin e llojeve të ndryshme të trafikut.

Kushtet VLAN

Çfarë është Native VLAN Ky është një koncept në standardin 802.1Q që do të thotë VLAN në një switch, ku të gjitha kornizat shkojnë pa etiketë, d.m.th. trafiku dërgohet pa etiketë. Si parazgjedhje, ky është VLAN 1. Në disa modele switch, si cisco, kjo mund të ndryshohet duke specifikuar një VLAN të ndryshëm si vendas.

Afati pa etiketë: vetëm një VLAN mund të marrë të gjitha paketat që nuk janë caktuar për asnjë VLAN (në terminologjinë e 3Com, Planet, Zyxel - pa etiketë, në terminologjinë Cisco - VLAN amtare). Çelësi do të shtojë etiketa të këtij VLAN në të gjitha kornizat e marra që nuk kanë asnjë etiketë.

Trungu VLAN është një kanal fizik që mbart disa kanale VLAN, të cilat dallohen nga etiketat (etiketat e shtuara në paketa). Trunk-et zakonisht krijohen midis "porteve të etiketuara" të pajisjeve VLAN: një ndërprerës-switch ose një switch-router. (Në dokumentet e Cisco-s, termi "trunk" quhet gjithashtu grumbullimi i disa lidhjeve fizike në një lidhje logjike: Aggregimi i lidhjeve, Trunkimi i portit). Një ruter (switch i shtresës 3) vepron si shtyllë për trafikun e rrjetit të VLAN-ve të ndryshëm.

Për ta thënë thjesht, vlan është një kanal logjik brenda një kanali fizik (kabllo), dhe trunk është një grup kanalesh logjike (vlans) brenda një kanali fizik (kabllo).

VLAN-et mund të identifikohen nga:

Porto (përdorimi më i shpeshtë). Port VLAN-et ju lejojnë të identifikoni një port specifik në një VLAN. Portat mund të përcaktohen individualisht, në grupe, në rreshta të tëra, madje edhe në ndërprerës të ndryshëm nëpërmjet protokollit trunk. Kjo është metoda më e thjeshtë dhe më e përdorur për zbulimin e VLAN. Ky është përdorimi më i zakonshëm i injektimit VLAN të bazuar në port, kur stacionet e punës përdorin Protokollin e Konfigurimit Dinamik TCP/IP (DHCP). Më poshtë është një fotografi e një VLAN të bazuar në port:

Adresa MAC - adresa (shumë e rrallë). VLAN-et e bazuara në adresat MAC i lejojnë përdoruesit të jenë në të njëjtin VLAN edhe nëse përdoruesi lëviz nga një vend në tjetrin. Kjo metodë kërkon që një administrator të përcaktojë adresën MAC të çdo stacioni pune dhe më pas të fusë këtë informacion në çelës. Kjo metodë mund të jetë shumë e vështirë për t'u zgjidhur nëse përdoruesi ka ndryshuar adresën MAC. Çdo ndryshim i konfigurimit duhet të koordinohet me administratorin e rrjetit, gjë që mund të shkaktojë vonesa administrative.

ID e përdoruesit (shumë e rrallë)

VLAN Linux dhe D-Link DGS-1100-08P

Konfigurimi i DGS-1100-08P... Le të lidhemi me të në portin e parë. Le t'i caktojmë IP 10.90.91.2. Le të krijojmë 3 VLAN: vlan1 (porti 1 (etiketuar)) për përdorim shërbimi, domethënë vetëm për konfigurimin e çelësit, vlan22 (porti 1 (i shënuar); portet 2,3,4 (të pa etiketuar)), vlan35 (porti 1 ( etiketuar); portet 5.6 (të paetiketuara)). Portat 7.8 janë të papërdorura dhe çaktivizohen nëpërmjet menysë "Cilësimet e portit" (Shpejtësia: e çaktivizuar).
Theksojmë se në të ardhmen mund të kontrolloni D-Link DGS-1100-08P (IP 10.90.91.2) vetëm përmes vlan1, domethënë, në rastin tonë, administratori i sistemit duhet të lidhet me portin e parë të DGS-1100-08P (Kur lidheni me një port tjetër - çelësi nuk do të lejojë hyrjen në 10.90.91.2).

Krijoni një VLAN të quajtur vlan22 të lidhur në portën eth4. Le t'i caktojmë një IP: 192.168.122.254. ip link shto lidhjen eth4 emri vlan22 lloji vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

Shërbimi vlan vetëm për konfigurimin e çelësit:

lidhjen ip shtoni lidhjen eth4 emri vlan44 lloji vlan id 1 ip addr shtoni 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 up lidhjen ip shtoni lidhjen eth4 emri vlan35 lloji vlan id 35 ip addr shtoni 192.168.35 ifconfig v344 up

• Ne shikojmë parametrat e vlan-it të krijuar në skedarët ls -l / proc / net / vlan / total 0 -rw ------- 1 rrënjë rrënjë 0 Gusht 17 15:06 config -rw ----- -- 1 rrënjë rrënjë 0 gusht 17 15:06 vlan1 -rw ------- 1 rrënjë rrënjë 0 gusht 17 15:06 vlan22

  Krijimi i vlan përmes vconfig dhe ngarkimi automatik përmes / etc / rrjetit / ndërfaqeve nuk funksionoi, prandaj ne krijojmë një skedar fillestar dhe e shkruajmë atë në bootstrapping të serverit. vlan_create.sh #! / bin / sh -e ip link shto lidhjen eth4 emri vlan22 lloji vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

9) Routing: statike dhe dinamike në shembullin e RIP, OSPF dhe EIGRP.
10) Përkthimi i adresave të rrjetit: NAT dhe PAT.
11) Protokollet e parë të tepricës së hopit: FHRP.
12) Siguria e rrjetit kompjuterik dhe rrjetet private virtuale: VPN.
13) Rrjetet globale dhe protokollet e përdorura: PPP, HDLC, Frame Relay.
14) Hyrje në IPv6, konfigurim dhe rrugëzim.
15) Menaxhimi i rrjetit dhe monitorimi i rrjetit.

P.S. Ndoshta, me kalimin e kohës, lista do të plotësohet.

Në artikujt e mëparshëm, ne kemi punuar tashmë me shumë pajisje rrjeti, kemi kuptuar se si ato ndryshojnë nga njëra-tjetra dhe kemi shqyrtuar se nga cilat korniza, paketa dhe PDU të tjera përbëhen. Në parim, me këtë njohuri, ju mund të organizoni një rrjet të thjeshtë lokal dhe të punoni në të. Por bota nuk qëndron ende. Ka gjithnjë e më shumë pajisje që ngarkojnë rrjetin ose, akoma më keq, përbëjnë një kërcënim për sigurinë. Dhe, si rregull, "rreziku" shfaqet para "sigurisë". Tani do ta tregoj këtë me shembullin më të thjeshtë.

Për momentin nuk do të prekim ruterat dhe nënrrjetat e ndryshme. Le të themi se të gjitha nyjet janë në të njëjtin nënrrjet.

Unë do të jap menjëherë një listë të adresave IP:

1. PC1 - 192.168.1.2/24
2. PC2 - 192.168.1.3/24
3. PC3 - 192.168.1.4/24
4. PC4 - 192.168.1.5/24
5. PC5 - 192.168.1.6/24
6. PC6 - 192.168.1.7/24

Ne kemi 3 departamente: menaxhim, kontabilitet, departament personeli. Çdo departament ka çelësin e vet dhe ato janë të lidhura përmes majës qendrore. Dhe tani PC1 kalon në PC2.

Nëse dëshironi ta shihni në animacion, hapni spoilerin (ai tregon ping nga PC1 në PC5).

Funksionimi i rrjetit në një domen transmetimi

E bukur a? Në artikujt e mëparshëm, ne kemi folur tashmë për punën e protokollit ARP më shumë se një herë, por kjo ishte vitin e kaluar, kështu që unë do të shpjegoj shkurtimisht. Meqenëse PC1 nuk e njeh adresën MAC (ose adresën e shtresës së lidhjes) të PC2, ai dërgon një zbulues ARP për ta informuar atë. Vjen te çelësi, nga ku transmetohet në të gjitha portat aktive, domethënë në PC2 dhe në çelësin qendror. Nga çelësi qendror do të fluturojë në çelësat fqinjë dhe kështu me radhë, derisa të arrijë të gjithë. Kjo nuk është një sasi e vogël e trafikut të shkaktuar nga një mesazh ARP. Të gjithë anëtarët e rrjetit e morën atë. Trafiku i madh dhe i panevojshëm është problemi i parë. Çështja e dytë është siguria. Unë mendoj se ata vunë re që mesazhi arriti edhe në departamentin e kontabilitetit, kompjuterët e të cilit nuk morën pjesë fare në këtë. Çdo sulmues që lidhet me cilindo nga çelësat do të ketë akses në të gjithë rrjetin. Në parim, rrjetet funksiononin kështu. Kompjuterët ishin në të njëjtin ambient kanali dhe ndaheshin vetëm me ndihmën e ruterave. Por koha kaloi dhe ishte e nevojshme të zgjidhej ky problem në nivelin e lidhjes së të dhënave. Cisco, si një pionier, doli me protokollin e vet, i cili etiketoi kornizat dhe përcaktonte përkatësinë në një mjedis të caktuar kanali. Quhej ISL (Lidhje ndër-ndërprerëse)... Të gjithëve iu pëlqeu ideja dhe IEEE vendosi të zhvillojë një standard të ngjashëm të hapur. Standardi u emërua 802.1q... Ai mori një shpërndarje të madhe dhe Cisco vendosi të kalonte gjithashtu në të.
Dhe është pikërisht teknologjia VLAN ajo që bazohet në punën e protokollit 802.1q. Le të fillojmë të flasim për të.

Në pjesën 3, ju tregova se si duket një kornizë ethernet. Shikojeni dhe rifreskoni kujtesën tuaj. Kështu duket një kornizë e pa etiketuar.

Tani le të hedhim një vështrim në atë të etiketuar.

Siç mund ta shihni, ndryshimi është se një i caktuar Etiketë... Kjo është ajo për të cilën ne jemi të interesuar. Le të gërmojmë më thellë. Ai përbëhet nga 4 pjesë.

1) TPID (ID-ja e Protokollit të Etiketës) ose Identifikuesi i Protokollit të Etiketuar- përbëhet nga 2 bajt dhe është gjithmonë 0x8100 për VLAN.
2) PCP (Pika e kodit të përparësisë) ose vlera prioritare- përbëhet nga 3 bit. Përdoret për t'i dhënë përparësi trafikut. Sysadminët e lezetshëm dhe me mjekër dinë ta menaxhojnë siç duhet dhe ta përdorin atë kur trafiku i ndryshëm (zë, video, të dhëna, etj.)
3) CFI (Canonical Format Indicator) ose Canonical Format Indicator- një fushë e thjeshtë e përbërë nga një bit. Nëse është 0, atëherë ky është formati standard për adresën MAC.
4) VID (Anglisht VLAN ID) ose VLAN ID- përbëhet nga 12 bit dhe tregon se në cilin VLAN ndodhet korniza.

Dua të tërheq vëmendjen tuaj për faktin se kornizat janë etiketuar midis pajisjeve të rrjetit (çelsat, ruterat, etj.), dhe kornizat nuk janë etiketuar midis nyjes fundore (kompjuter, laptop) dhe pajisjes së rrjetit. Prandaj, porti i një pajisjeje rrjeti mund të jetë në 2 gjendje: akses ose trungu.

• Porta e hyrjes ose porta e hyrjes- një port i vendosur në një VLAN specifik dhe që transmeton korniza të pataguara. Zakonisht kjo është porta përballë pajisjes së përdoruesit.
• Porta e trungut ose porta e trungut- porti që transmeton trafik të etiketuar. Në mënyrë tipike, ky port ngrihet midis pajisjeve të rrjetit.

Tani do ta tregoj këtë në praktikë. Unë hap të njëjtin laborator. Unë nuk do ta përsëris foton, por hap menjëherë çelësin dhe shiko se çfarë ka me VLAN.

Unë jam duke shtypur një ekip tregojnë vlan.

Janë rreshtuar disa tavolina. Në fakt, vetëm e para është e rëndësishme për ne. Tani do t'ju tregoj se si ta lexoni.

1 kolonëështë numri VLAN. Numri 1 është fillimisht i pranishëm këtu - ky është VLAN standard, i cili fillimisht është i pranishëm në çdo ndërprerës. Kryen një funksion tjetër, për të cilin do të shkruaj më poshtë. Janë të pranishme edhe të rezervuara nga 1002-1005. Kjo është për mediat e tjera të kanaleve që nuk përdoren aktualisht. Ju nuk mund t'i fshini as ato.

Ndërprerës (konfigurim) #no vlan 1005 VLAN 1005 i paracaktuar nuk mund të fshihet.
Gjatë fshirjes, Cisco shfaq një mesazh se ky VLAN nuk mund të fshihet. Prandaj ne jetojmë dhe nuk i prekim këto 4 VLAN.

2 kolonaështë emri i VLAN. Kur krijoni një VLAN, sipas gjykimit tuaj, mund të gjeni emra kuptimplotë për ta në mënyrë që t'i identifikoni më vonë. Tashmë ka parazgjedhje, fddi-default, token-ring-default, fddinet-default, trnet-default.

3 kolona- statusi. Gjendja e VLAN tregohet këtu. Për momentin, VLAN 1 ose parazgjedhja është aktive, dhe 4 të tjerat janë akt / pa ndërprerje (megjithëse aktive, por nuk mbështeten).

4 kolona- portet. Kjo tregon se cilit VLAN i përkasin portet. Tani, kur ende nuk kemi prekur asgjë, ato janë në parazgjedhje.

Le të fillojmë të konfigurojmë çelsat. Është praktikë e mirë t'i jepni çelësave tuaj emra kuptimplotë. çfarë do të bëjmë. Unë sjell ekipin.

Ndërro (konfigurim) #hostname CentrSW CentrSW (konfigurim) #
Pjesa tjetër është konfiguruar në të njëjtën mënyrë, kështu që unë do t'ju tregoj diagramin e topologjisë së përditësuar.

Le të fillojmë me SW1. Së pari, le të krijojmë një VLAN në çelës.

SW1 (konfigurim) #vlan 2 - krijoni VLAN 2 (VLAN 1 është i rezervuar si parazgjedhje, kështu që ne marrim tjetrin). SW1 (config-vlan) #name Dir-ya - futemi në cilësimet VLAN dhe i japim një emër.
VLAN u krijua. Tani le të kalojmë te portet. FastEthernet0 / 1 shikon PC1 dhe FastEthernet0 / 2 shikon PC2. Siç u përmend më herët, kornizat ndërmjet tyre duhet të transmetohen të pa etiketuar, kështu që ne do t'i vendosim ato në gjendjen Access.

SW1 (konfigurim) #interface fastEthernet 0/1 - shkoni te vendosja e portit të parë. SW1 (config-if) Qasja në modalitetin #switchport - vendose portën në modalitetin e aksesit. SW1 (config-if) #switchport akses vlan 2 - cakto portin në VLAN-in e dytë. SW1 (konfigurim) #interface fastEthernet 0/2 - shkoni te cilësimi i portit të dytë. SW1 (config-if) Qasja në modalitetin #switchport - vendose portën në modalitetin e aksesit. SW1 (config-if) #switchport akses vlan 2 - cakto portin në VLAN-in e dytë.
Meqenëse të dy porteve u është caktuar i njëjti VLAN, ato mund të konfigurohen ende si një grup.

SW1 (config) #interface range fastEthernet 0 / 1-2 - domethënë, zgjidhni grupin dhe më pas cilësimi është i ngjashëm. SW1 (config-if-range) #switchport qasje në modalitetin SW1 (config-if-range) #switchport akses vlan 2
Portat e konfiguruara të aksesit. Tani le të vendosim një trung midis SW1 dhe CentrSW.

SW1 (konfigurim) #interface fastEthernet 0/24 - shkoni te vendosja e portit të 24-të. SW1 (config-if) trunk i modalitetit #switchport - transfero portin në modalitetin trunk. % LINEPROTO-5-UPDOWN: Protokolli i linjës në ndërfaqen FastEthernet0 / 24, ndryshoi gjendjen në poshtë% LINEPROTO-5-UPDOWN: Protokolli i linjës në ndërfaqen FastEthernet0 / 24, ndryshoi gjendjen në lart
Menjëherë shohim që porti është rikonfiguruar. Në parim, kjo është e mjaftueshme për punë. Por nga pikëpamja e sigurisë, vetëm ato VLAN që vërtet nevojiten duhet të lejohen për transmetim. Le të fillojmë.

SW1 (config-if) #switchport trunk i lejuar vlan 2 - ne lejohemi të transmetojmë vetëm VLAN-in e dytë.
Pa këtë komandë, të gjitha VLAN-et e disponueshme do të transmetohen. Le të shohim se si ka ndryshuar tabela me komandën tregojnë vlan.

U shfaq VLAN-i i dytë me emrin Dir-ya dhe ne shohim portet fa0 / 1 dhe fa0 / 2 që i përkasin atij.

Për të shfaqur vetëm tabelën e sipërme, mund të përdorni komandën trego vlan shkurt.

Ju gjithashtu mund të shkurtoni daljen duke specifikuar një ID specifike VLAN.

Ose emri i tij.

I gjithë informacioni VLAN ruhet në memorie flash në skedarin vlan.dat.

Siç mund ta shihni, asnjë nga skuadrat nuk ka informacion për trungun. Mund të shihet nga një komandë tjetër tregojnë ndërfaqet trungu.

Ka informacione për portat trunk dhe çfarë VLAN transmetojnë. Ekziston edhe një kolonë Vlan amtare... Ky është pikërisht trafiku që nuk duhet të etiketohet. Nëse një kornizë e pa etiketuar arrin në çelës, ai i caktohet automatikisht Native Vlan (si parazgjedhje, dhe në rastin tonë, ky është VLAN 1). VLAN-i vendas është i mundur dhe shumë thonë se duhet ndryshuar për qëllime sigurie. Për ta bërë këtë, në modalitetin e konfigurimit të portit të trungut, duhet të përdorni komandën - trunk porti i kalimit vendas vlan X, ku X- numri i VLAN-it të caktuar. Në këtë topologji ne nuk do të ndryshojmë, por është e dobishme të dimë se si ta bëjmë atë.

Mbetet për të konfiguruar pjesën tjetër të pajisjeve.

CentrSW:
Çelësi qendror është ngjitësi, që do të thotë se duhet të jetë në dijeni të të gjitha VLAN-ve. Prandaj, ne fillimisht i krijojmë ato, dhe më pas i transferojmë të gjitha ndërfaqet në modalitetin e trungut.

CentrSW (config) #vlan 2 CentrSW (config-vlan) # emri Dir-ya CentrSW (config) #vlan 3 CentrSW (config-vlan) # emri buhgalter CentrSW (konfigurim) #vlan 4 CentrSW (config-vlan) # emri otdel -kadrov CentrSW (konfigurim) #interface range fastEthernet 0 / 1-3 CentrSW (config-if-range) #switchport mode trunk
Mos harroni të ruani konfigurimin. Ekipi kopjoni running-config startup-config.

SW2 (konfigurim) #vlan 3 SW2 (konfigurim-vlan) #emër buhgalter SW2 (konfigurim) #varg i ndërfaqes fastEthernet 0 / 1-2 SW2 (config-if-range) #switchport mode qasje SW2 (config-if-range) # aksesi i kalimit vlan 3 SW2 (konfigurim) #interface fastEthernet 0/24 SW2 (config-if) #switchport mode trunk SW2 (config-if) #switchport trunk lejuar vlan 3
SW3:

SW3 (konfigurim) #vlan 4 SW3 (konfigurim-vlan) #emri otdel kadrov SW3 (konfigurim) #vargu i ndërfaqes fastEthernet 0 / 1-2 SW3 (konfigurimi-if-range) #switchport qasje në modalitetin SW3 (config-if-range) #switchport akses vlan 4 SW3 (config) #interface fastEthernet 0/24 SW3 (config-if) #switchport mode trunk SW3 (config-if) #switchport trunk lejuar vlan 4
Vini re se ne ngritëm dhe konfiguruam VLAN-in, por e lamë hostin të adresohej njësoj. Kjo do të thotë, praktikisht të gjitha nyjet janë në të njëjtin nënrrjet, por të ndara nga VLAN. Ju nuk mund ta bëni këtë. Çdo VLAN duhet t'i caktohet një nënrrjet i veçantë. E bëra këtë vetëm për qëllime edukative. Nëse çdo departament do të ulej në nënrrjetin e vet, atëherë ato do të kufizoheshin a priori, pasi switchi nuk mund të drejtojë trafikun nga një nënrrjet në tjetrin (plus ky është tashmë një kufizim në nivel rrjeti). Dhe ne duhet të kufizojmë departamentet në nivelin e lidhjes.
Ping PC1 në PC3 përsëri.

ARP është në progres, gjë që na nevojitet tani. Le ta hapim.

Deri tani, asgjë e re. ARP është i kapsuluar në ethernet.

Korniza arrin në çelës dhe është etiketuar. Tani nuk ka ethernet të zakonshëm, por 802.1q. Fushat për të cilat kam shkruar më parë janë shtuar. Kjo TPID që është 8100 dhe tregon se është 802.1q. DHE TCI i cili kombinon 3 fusha PCP, CFI dhe VID... Numri në këtë fushë është numri VLAN. Duke ecur përpara.

Pas etiketës, ai e dërgon kornizën në PC2 (pasi është në të njëjtin VLAN) dhe në çelësin qendror nëpërmjet portit të trungut.

Meqenëse nuk ishte përcaktuar rreptësisht se cilat lloje VLAN duhet të kalojnë në cilat porta, ai do ta dërgojë atë në të dy ndërprerësit. Dhe këtu çelsat, pasi kanë parë numrin VLAN, kuptojnë se nuk kanë pajisje me një VLAN të tillë dhe e hedhin me guxim atë.

PC1 pret një përgjigje që nuk vjen kurrë. Mund ta shihni në formën e animacionit nën spoiler.

Animacion

Tani situata tjetër. Në drejtori punësohet edhe një person, por në zyrën e drejtorisë nuk ka vend dhe për një kohë u kërkohet të vendosin një person në departamentin e kontabilitetit. Ne e zgjidhim këtë problem.

Ne lidhëm një kompjuter në portën FastEthernet 0/3 të çelësit dhe caktuam adresën IP 192.168.1.8/24.
Tani do të konfiguroj çelësin SW2... Meqenëse kompjuteri duhet të jetë në VLAN-in e dytë, për të cilin switch-i nuk di, ne do ta krijojmë atë në switch.

SW2 (konfigurim) #vlan 2 SW2 (config-vlan) #emri Dir-ya
Më pas, ne konfigurojmë portën FastEthernet 0/3, e cila shikon PC7.

SW2 (konfigurim) #interface fastEthernet 0/3 SW2 (config-if) #switchport qasje në modalitetin SW2 (config-if) #switchport akses vlan 2
Dhe gjëja e fundit është të konfiguroni portin e trungut.

SW2 (config) #interface fastEthernet 0/24 SW2 (config-if) #switchport trunk lejohet vlan add 2 - kushtojini vëmendje kësaj komande. Domethënë, fjala kyçe "shto". Nëse nuk e shtoni këtë fjalë, atëherë do të fshini të gjitha VLAN-et e tjera të lejuara për transmetim në këtë portë. Prandaj, nëse tashmë keni ngritur një trunk në port dhe VLAN të tjerë janë transmetuar, atëherë duhet të shtoni në këtë mënyrë.
Për t'i bërë kornizat të shkojnë bukur, do të korrigjoj çelësin qendror Qendra SW.

CentrSW (konfigurim) #interface fastEthernet 0/1 CentrSW (config-if) #switchport trunk i lejuar vlan 2 CentrSW (konfigurim) #interface fastEthernet 0/2 CentrSW (config-if) #switchport trunk i lejuar vlan 2,3 CentrS #interface fastEthernet 0/3 CentrSW (config-if) #switchport trunk i lejuar vlan 4
Kontrolloni kohën. Unë jam duke bërë ping nga PC1 në PC7.

Deri më tani, e gjithë rruga është e ngjashme me atë të mëparshme. Por që nga ky moment (nga fotografia më poshtë) çelësi qendror do të marrë një vendim tjetër. Ai merr kornizën dhe sheh që është etiketuar me VLAN-in e dytë. Kjo do të thotë që ju duhet ta dërgoni atë vetëm në vendin ku lejohet, domethënë në portin fa0 / 2.

Dhe kështu ai vjen në SW2. E hapim dhe shohim që është ende etiketuar. Por nyja tjetër është kompjuteri dhe etiketa duhet të hiqet. Klikoni në "Detajet e PDU-së dalëse" për të parë se si korniza do të fluturojë nga çelësi.

Dhe me të vërtetë. Çelësi do të dërgojë kornizën në një formë "të pastër", domethënë pa etiketa.

ARP arrin PC7. Ne e hapim atë dhe sigurohemi që korniza e paetiketuar PC7 e njohu veten dhe dërgon një përgjigje.

Ne hapim kornizën në çelës dhe shohim që do të dërgohet etiketuar për dërgim. Më tej, korniza do të udhëtojë në të njëjtën mënyrë siç erdhi.

ARP arrin PC1, siç tregohet nga një shenjë kontrolli në zarf. Tani ai e di adresën MAC dhe fillon ICMP.

Ne hapim paketën në çelës dhe shohim të njëjtën foto. Në nivelin e lidhjes, korniza është etiketuar nga çelësi. Kështu do të jetë me çdo mesazh.

Ne shohim që paketa arrin me sukses PC7. Nuk do të tregoj rrugën e kthimit, pasi është e ngjashme. Nëse dikush është i interesuar, mund ta shihni të gjithë shtegun në animacionin nën spoilerin më poshtë. Dhe nëse doni të gërmoni më thellë në këtë topologji vetë, unë bashkangjit një lidhje me laboratorin.

Logjika VLAN

Ky është në thelb përdorimi më i popullarizuar për VLAN-et. Pavarësisht vendndodhjes së tyre fizike, ju mund të kombinoni logjikisht nyjet në grupe, duke i izoluar ato nga të tjerët. Është shumë i përshtatshëm kur punonjësit punojnë fizikisht në vende të ndryshme, por duhet të jenë të bashkuar. Dhe sigurisht, nga pikëpamja e sigurisë, VLAN-et janë të pazëvendësueshëm. Gjëja kryesore është që një numër i kufizuar njerëzish kanë qasje në pajisjet e rrjetit, por kjo është një temë më vete.
Kufizime të arritura në nivelin e lidhjes së të dhënave. Trafiku nuk ecën më askund, por shkon rreptësisht sipas synimit. Por tani shtrohet pyetja se departamentet duhet të komunikojnë me njëri-tjetrin. Dhe duke qenë se ato janë në mjedise të ndryshme kanalesh, rrugëtimi hyn në lojë. Por para se të fillojmë, le të vendosim topologjinë në rregull. Gjëja e parë që mund të vëmë dorën tonë është adresimi i nyjeve. E përsëris se çdo departament duhet të jetë në nënrrjetin e vet. Gjithsej marrim:

• Drejtoria - 192.168.1.0/24
• Kontabiliteti - 192.168.2.0/24
• Departamenti i Burimeve Njerëzore - 192.168.3.0/24

Pasi të përcaktohen nënrrjetat, ne adresojmë menjëherë nyjet.

1. PC1:
   IP: 192.168.1.2
   Maska: 255.255.255.0 ose / 24
   Porta: 192.168.1.1
2. PC2:
   IP: 192.168.1.3
   Maska: 255.255.255.0 ose / 24
   Porta: 192.168.1.1
3. PC3:
   IP: 192.168.2.2
   Maska: 255.255.255.0 ose / 24
   Porta: 192.168.2.1
4. PC4:
   IP: 192.168.2.3
   Maska: 255.255.255.0 ose / 24
   Porta: 192.168.2.1
5. PC5:
   IP: 192.168.3.2
   Maska: 255.255.255.0 ose / 24
   Porta: 192.168.3.1
6. PC6:
   IP: 192.168.3.3
   Maska: 255.255.255.0 ose / 24
   Porta: 192.168.3.1
7. PC7:
   IP: 192.168.1.4
   Maska: 255.255.255.0 ose / 24
   Porta: 192.168.1.1

Tani për ndryshimet në topologji. Ne shohim që është shtuar një ruter. Ai thjesht do të transferojë trafikun nga një VLAN në tjetrin (me fjalë të tjera, rrugë). Fillimisht, nuk ka asnjë lidhje midis tij dhe çelësit, pasi ndërfaqet janë të çaktivizuara.
Nyjet kanë shtuar një parametër të tillë si adresa e portës. Ata e përdorin këtë adresë kur duhet t'i dërgojnë një mesazh një hosti në një nënrrjet tjetër. Prandaj, çdo nënrrjet ka portën e vet.

Mbetet për të konfiguruar ruterin dhe unë hap CLI-në e tij. Sipas traditës, unë do të jap një emër kuptimplotë.

Router (konfigurim) #hostname Gateway Gateway (konfigurim) #
Tjetra, le të kalojmë në konfigurimin e ndërfaqeve.

Gateway (konfigurim) #interface fastEthernet 0/0 - shkoni te ndërfaqja e kërkuar. Gateway (konfigurim-nëse) #no shutdown - aktivizo atë. % LINK-5-CHANGED: Ndërfaqja FastEthernet0 / 0, ndryshoi gjendjen në lart% LINEPROTO-5-UPDOWN: Protokolli i linjës në ndërfaqen FastEthernet0 / 0, ndryshoi gjendjen në lart
Tani vëmendje! Ne aktivizuam ndërfaqen, por nuk varëm një adresë IP në të. Fakti është se vetëm një lidhje ose një kanal nevojitet nga ndërfaqja fizike (fastethernet 0/0). Roli i portave do të kryhet nga ndërfaqet virtuale ose nënndërfaqet. Aktualisht ekzistojnë 3 lloje të VLAN-ve. Kjo do të thotë se do të ketë 3 nënndërfaqe. Le të fillojmë konfigurimin.

Gateway (config) #interface fastEthernet 0 / 0.2 Gateway (config-if) #encapsulation dot1Q 2 Gateway (config-if) #ip adresa 192.168.1.1 255.255.255.0 Gateway (config) #interface Gateway /0fig.30 fastEthernet. ) #encapsulation dot1Q 3 Gateway (config-if) #adresa ip 192.168.2.1 255.255.255.0 Gateway (config) #interface fastEthernet 0 / 0.4 Gateway (config-if) #encapsulation dot1Q 4 fig8 4 Gateway (config) #6.ip. .3.1 255.255.255.0
Ruteri është i konfiguruar. Le të shkojmë te çelësi qendror dhe të konfigurojmë një port trunk në të në mënyrë që të kalojë kornizat e etiketuara në ruter.

CentrSW (config) #interface fastEthernet 0/24 CentrSW (config-if) #switchport mode trunk CentrSW (config-if) #switchport trunk lejuar vlan 2,3,4
Konfigurimi është i plotë dhe le të kalojmë në praktikë. Po bëj ping nga PC1 në PC6 (d.m.th. 192.168.3.3).

PC1 nuk e ka idenë se kush është PC6 ose 192.168.3.3, por e di se ato janë në nënrrjeta të ndryshme (siç e kupton ai, kjo është përshkruar në artikullin e mëparshëm). Prandaj, ai do të dërgojë një mesazh përmes portës së paracaktuar, adresa e së cilës është e specifikuar në cilësimet e tij. Megjithëse PC1 e di adresën IP të portës së paracaktuar, atij i mungon një adresë MAC për lumturi të plotë. Dhe ai përdor ARP.

Shënim. Sapo një kornizë arrin në CentrSW, ndërprerësi nuk ia transmeton askujt. Transmetohet vetëm në ato porte ku lejohet kalimi i VLAN-it të dytë. Kjo do të thotë, te ruteri dhe te SW2 (është një përdorues i ulur në VLAN-in e dytë).

Ruteri njeh veten dhe dërgon një përgjigje (treguar me një shigjetë). Dhe kushtojini vëmendje kornizës së poshtme. Kur SW2 mori ARP nga çelësi qendror, ai në mënyrë të ngjashme nuk e dërgoi atë në të gjithë kompjuterët, por dërgoi vetëm PC7, i cili është në VLAN-in e dytë. Por PC7 e hedh poshtë pasi nuk është për të. Ne shikojmë më tej.

ARP arriti në PC1. Tani ai di gjithçka dhe mund të dërgojë ICMP. Edhe një herë, ju tërheq vëmendjen për faktin se adresa MAC e destinacionit (shtresa e lidhjes) do të jetë adresa e ruterit, dhe adresa IP e destinacionit (shtresa e rrjetit) do të jetë adresa PC6.

ICMP arrin në ruter. Ai shikon tavolinën e tij dhe kupton se nuk njeh njeri nën adresën 192.168.3.3. Lëshon ICMP-në e mbërritur dhe lejon ARP-në të zbulojë.

PC6 e njeh veten dhe dërgon një përgjigje.

Përgjigja arrin në ruter dhe ai shton një hyrje në tabelën e tij. Mund ta shikoni tabelën ARP me komandën trego arp.
Duke ecur përpara. PC1 nuk është i lumtur që askush nuk po përgjigjet dhe dërgon mesazhin tjetër ICMP.

Kësaj radhe ICMP vjen pa problem. Ai do të ndjekë të njëjtën rrugë kthimi. Unë do t'ju tregoj vetëm rezultatin përfundimtar.

Paketa e parë humbi (si rezultat i ARP), dhe e dyta mbërriti pa asnjë problem.
Kush kujdeset të shohë në animacion, mirë se vini nën spoiler.

InterVLAN Routing

Kështu që. Ne kemi arritur që nëse nyjet janë në të njëjtin nën-rrjet dhe në të njëjtin VLAN, atëherë ato do të kalojnë direkt përmes switch-ave. Në rastin kur është e nevojshme të transmetohet një mesazh në një nënrrjet dhe VLAN tjetër, ai do të transmetohet përmes ruterit Gateway, i cili kryen rrugëzimin "inter-vlan". Kjo topologji quhet "Ruteri në një shkop" ose "Ruteri në një shkop"... Siç e kuptoni, është shumë i përshtatshëm. Ne krijuam 3 ndërfaqe virtuale dhe kaluam korniza të ndryshme të etiketuara mbi të njëjtin tel. Pa përdorimin e nënndërfaqeve dhe VLAN-ve, do të ishte e nevojshme të përdoret një ndërfaqe fizike e veçantë për çdo nënrrjet, e cila nuk është aspak fitimprurëse.

Meqë ra fjala, kjo pyetje është e rregulluar shumë mirë në këtë video (video zgjat rreth 3 orë, kështu që lidhja është e lidhur pikërisht me atë moment në kohë). Nëse, pasi të keni lexuar dhe parë videon, dëshironi ta përfundoni atë me duart tuaja, unë bashkangjit një lidhje shkarkimi.

Ne u morëm me VLAN dhe shkojmë te një nga protokollet që punon me të.
DTP (Dynamic Trunking Protocol) ose në rusisht protokolli dinamik trunkështë një protokoll i pronarit nga Cisco që përdoret për të zbatuar modalitetin trunk midis ndërprerësve. Edhe pse në varësi të shtetit, ata mund të negociojnë edhe në modalitetin e aksesit.

DTP ka 4 mënyra: Auto dinamike, Dinamike e dëshirueshme, Trunk, Akses. Le të shohim se si ata përshtaten së bashku.

Mënyrat	Auto dinamik	Dinamik i dëshirueshëm	Trungu	Qasja
Auto dinamik	Qasja	Trungu	Trungu	Qasja
Dinamik i dëshirueshëm	Trungu	Trungu	Trungu	Qasja
Trungu	Trungu	Trungu	Trungu	Pa lidhje
Qasja	Qasja	Qasja	Pa lidhje	Qasja

Kjo do të thotë, kolona e majtë është pajisja e parë, dhe rreshti i sipërm është pajisja e dytë. Si parazgjedhje, çelsat janë në modalitetin "automatik dinamik". Nëse shikoni tabelën e hartës, atëherë dy çelësa në modalitetin "automatik dinamik" rakordohen në modalitetin "qasje". Le ta kontrollojmë. Unë krijoj një laborator të ri dhe shtoj 2 çelësa.

Nuk do t'i lidh akoma. Më duhet të sigurohem që të dy çelsat janë në modalitetin "automatik dinamik". Do të kontrolloj me një ekip tregoni ndërfaqen e ndërfaqes.

Rezultati i kësaj komande është shumë i madh, kështu që e preva dhe theksova pikat me interes. Le të fillojmë me Mënyra Administrative... Kjo linjë tregon se në cilin nga 4 mënyrat funksionon një port i caktuar në çelës. Sigurohuni që portat në të dy çelësat janë në modalitetin "Dynamic Auto". Dhe linja Modaliteti Operacional tregon se në cilën mënyrë operimi kanë rënë dakord të punojnë. Ne nuk i kemi lidhur ende, kështu që ata janë ulur.

Unë do t'ju jap një këshillë të mirë menjëherë. Kur testoni ndonjë protokoll, përdorni filtra. Çaktivizo shfaqjen e punës së të gjitha protokolleve që nuk të nevojiten.

E vendosa CPT në modalitetin e simulimit dhe filtroja të gjitha protokollet përveç DTP.

Unë mendoj se gjithçka është e qartë këtu. Unë i lidh çelsat me një kabllo dhe, kur lidhjet janë ngritur, njëri nga çelësat gjeneron një mesazh DTP.

E hap dhe shoh që është DTP i kapsuluar në një kornizë Ethernet. Ai e dërgon në adresën multicast "0100.0ccc.cccc", e cila i referohet protokolleve DTP, VTP, CDP.
Dhe unë do t'i kushtoj vëmendje 2 fushave në kokën e DTP.

1) Lloji DTP- këtu dërguesi fut një propozim. Kjo është, në cilën mënyrë ai dëshiron të pajtohet. Në rastin tonë, ai sugjeron të bien dakord për "qasjen".
2) MAC-adresa e fqinjit- në këtë fushë ai shkruan adresën MAC të portit të tij.

Ai dërgon dhe pret një reagim nga një fqinj.

Mesazhi arrin SW1 dhe gjeneron një përgjigje. Aty ku ai gjithashtu negocion modalitetin "akses", fut adresën e tij MAC dhe e dërgon atë rrugës për në SW2.

DTP mbërrin me sukses. Në teori, ata duhej të pajtoheshin në modalitetin "akses". Do ta kontrolloj.

Siç pritej, ata negociuan në modalitetin "akses".
Dikush thotë se teknologjia është e përshtatshme dhe e përdor atë. Por unë dekurajoj shumë përdorimin e këtij protokolli në rrjetin tim. Nuk jam i vetmi që e rekomandoj këtë, dhe tani do të shpjegoj pse. Çështja është se ky protokoll hap një vrimë të madhe sigurie. Do të hap laboratorin, i cili merrej me punën e "Router on a stick" dhe do të shtoj një çelës tjetër atje.

Tani do të shkoj në cilësimet e çelësit të ri dhe do të kodoj portin për të punuar në modalitetin e trungut.

New_SW (konfigurim) #interface fastEthernet 0/1 New_SW (config-if) trunk i modalitetit #switchport
I kam bashkuar dhe shoh se si përshtaten.

Gjithçka është e saktë. Modalitetet "automatike dinamike" dhe "trunk" përputhen me trungu... Tani presim që dikush të jetë aktiv. Le të themi se PC1 vendosi t'i dërgojë një mesazh dikujt. Gjeneron ARP dhe lëshon në rrjet.

Le të kapërcejmë rrugën e tij deri në momentin kur ai arrin në SW2.

Dhe këtu është pjesa argëtuese.

Ai e dërgon atë te çelësi i sapolidhur. Unë shpjegoj se çfarë ndodhi. Sapo biem dakord për trungun me të, ai fillon t'i dërgojë të gjitha kornizat në hyrje. Edhe pse diagrami tregon se çelësi po bie kornizat, kjo nuk do të thotë asgjë. Mund të lidhni çdo nuhatës me çelësin ose në vend të çelësit dhe të shikoni me qetësi se çfarë po ndodh në rrjet. Duket se ka përgjuar ARP të padëmshme. Por nëse shikoni më thellë, mund të shihni se adresa MAC "0000.0C1C.05DD" dhe adresa IP "192.168.1.2" janë tashmë të njohura. Dmth PC1 e tradhtoi veten pa menduar. Sulmuesi tani di për një kompjuter të tillë. Veç kësaj ai e di që është ulur në VLAN-in e 2-të. Atëherë ai mund të bëjë shumë. Gjëja më e zakonshme është të ndryshoni adresën tuaj MAC, adresën IP, të pranoni shpejt në Access dhe të imitoni PC1. Por gjëja më interesante. Në fund të fundit, ju mund të mos e kuptoni menjëherë këtë. Zakonisht, kur regjistrojmë mënyrën e funksionimit të portit, ai shfaqet menjëherë në konfigurim. futem shfaq running-config.

Por këtu cilësimet e portit janë bosh. futem tregoni ndërfaqen e ndërfaqes dhe lëvizni në fa0 / 4.

Dhe këtu shohim që trungu është i negociuar. Show running-config nuk ofron gjithmonë informacion gjithëpërfshirës. Prandaj, mbani mend edhe komandat e tjera.

Mendoj se është e qartë pse nuk mund t'i besosh këtij protokolli. Duket se e bën jetën më të lehtë, por në të njëjtën kohë mund të krijojë një problem të madh. Pra, mbështetuni në metodën manuale. Kur konfiguroni, caktoni menjëherë për veten tuaj se cilat porte do të funksionojnë në modalitetin trunk dhe cilat në akses. Më e rëndësishmja, gjithmonë fikni negocimin. Në mënyrë që çelsat të mos përpiqen të pajtohen me askënd. Kjo bëhet me komandën "switchport nonegotiate".

Le të kalojmë te protokolli tjetër.

VTP (VLAN Trunking Protocol)është një protokoll pronësor nga Cisco që përdoret për të shkëmbyer informacione rreth VLAN-ve.

Imagjinoni një situatë që keni 40 switch dhe 70 VLAN. Për arsye të mirë, ju duhet t'i krijoni ato manualisht në secilin ndërprerës dhe të regjistroheni në cilat porta trunk për të lejuar transmetimin. Ky është një biznes i zymtë dhe i gjatë. Prandaj, kjo detyrë mund të merret përsipër nga VTP. Ju krijoni VLAN në një çelës dhe të gjithë të tjerët sinkronizohen me bazën e tij. Hidhini një sy topologjisë së mëposhtme.

Këtu ka 4 ndërprerës. Njëri prej tyre është serveri VTP, dhe 3 të tjerët janë klientë. Ato VLAN që do të krijohen në server sinkronizohen automatikisht te klientët. Unë do të shpjegoj se si funksionon VTP dhe çfarë mund të bëjë.

Kështu që. VTP mund të krijojë, modifikojë dhe fshijë VLAN. Çdo veprim i tillë çon në faktin se numri i rishikimit është rritur (çdo veprim rrit numrin me +1). Pastaj ai dërgon njoftime ku tregohet numri i rishikimit. Klientët që marrin këtë njoftim krahasojnë numrin e tyre të rishikimit me atë që erdhi. Dhe nëse numri i marrë është më i lartë, ata sinkronizojnë bazën e tyre me të. Përndryshe, reklama shpërfillet.

Por kjo nuk është e gjitha. VTP ka role. Si parazgjedhje, të gjithë çelsat punojnë si server. Unë do t'ju tregoj për to.

1. Serveri VTP... Ai di të bëjë gjithçka. Kjo do të thotë, krijon, ndryshon, fshin VLAN. Nëse merr një reklamë në të cilën rishikimi është më i vjetër se ai, atëherë ai sinkronizohet. Dërgon vazhdimisht njoftime dhe ritransmetime nga fqinjët.
2. Klienti VTP- Ky rol tashmë është i kufizuar. Nuk mund të krijoni, modifikoni ose fshini VLAN. I gjithë VLAN-i merr dhe sinkronizohet nga serveri. Informon periodikisht fqinjët për bazën e tij VLAN.
3. VTP transparente- ky është një rol kaq i pavarur. Mund të krijojë, modifikojë dhe fshijë VLAN vetëm në bazën e vet. Ai nuk i imponon asgjë askujt dhe nuk pranon asgjë nga askush. Nëse merr një lloj reklame, e kalon atë, por nuk sinkronizohet me bazën e saj. Nëse në rolet e mëparshme, me çdo ndryshim, numri i rishikimit shtohej, atëherë në këtë mënyrë numri i rishikimit është gjithmonë 0.

Kjo është e gjitha për versionin 2 të VTP. Në versionin 3 të VTP, është shtuar edhe një rol - VTP Joaktiv... Ai nuk transmeton asnjë njoftim. Pjesa tjetër e punës është e ngjashme me modalitetin Transparente.

Lexojmë teorinë dhe kalojmë në praktikë. Le të kontrollojmë që çelësi qendror të jetë në modalitetin e serverit. Futni komandën shfaq statusin vtp.

Ne shohim se VTP Operating Mode: Server. Ju gjithashtu mund të vini re se versioni VTP është i dyti. Fatkeqësisht, versioni 3 i CPT nuk mbështetet. Versioni i rishikimit është zero.
Tani le të konfigurojmë çelsat e poshtme.

SW1 (konfigurim) klienti i modalitetit #vtp Vendosja e pajisjes në modalitetin VTP KLIENT.
Ne shohim një mesazh që pajisja ka kaluar në modalitetin e klientit. Pjesa tjetër është konfiguruar në të njëjtën mënyrë.

Që pajisjet të shkëmbejnë reklama, ato duhet të jenë në të njëjtin domen. Dhe këtu ka një veçanti. Nëse pajisja (në modalitetin Server ose Klient) nuk i përket asnjë domeni, atëherë me reklamën e parë të marrë, ajo do të shkojë në domenin e reklamuar. Nëse klienti është anëtar i ndonjë domeni, atëherë ai nuk do të pranojë reklama nga domene të tjera. Le të hapim SW1 dhe të sigurohemi që nuk i përket asnjë domeni.

Ne sigurohemi që kjo të jetë bosh.

Tani shkojmë te çelësi qendror dhe e transferojmë atë në domen.

CentrSW (config) #vtp domain cisadmin.ru Ndryshimi i emrit të domenit VTP nga NULL në cisadmin.ru
Ne shohim një mesazh që është transferuar në domenin cisadmin.ru.
Le të kontrollojmë statusin.

Dhe me të vërtetë. Emri i domenit ka ndryshuar. Ju lutemi vini re se numri i rishikimit është aktualisht zero. Do të ndryshojë sapo të krijojmë një VLAN në të. Por përpara se ta krijoni atë, duhet ta vendosni simulatorin në modalitetin e simulimit për të parë se si do të gjenerojë reklama. Ne krijojmë VLAN-in e 20-të dhe shohim foton e mëposhtme.

Sapo krijohet VLAN dhe numri i rishikimit është rritur, serveri gjeneron reklama. Ai ka dy prej tyre. Së pari, le të hapim atë në të majtë. Ky njoftim quhet "Reklamim Përmbledhës" ose "Njoftim përmbledhës" në Rusisht. Ky njoftim gjenerohet nga switch-i çdo 5 minuta, ku flet për emrin e domenit dhe rishikimin aktual. Le të shohim se si duket.

Në kornizën Ethernet, vini re adresën MAC të Destinacionit. Është njësoj si më sipër kur u krijua DTP. Kjo do të thotë, në rastin tonë, vetëm ata që kanë VTP në funksion do t'i përgjigjen asaj. Tani le të shohim fushën tjetër.

Këtu janë vetëm të gjitha informacionet. Le të kalojmë nëpër fushat më të rëndësishme.

• Emri i Domenit të Menaxhimit - emri i vetë domenit (në këtë rast, cisadmin.ru).
• Identiteti i përditësuesit - identifikuesi i përditësuesit. Këtu zakonisht shkruhet adresa IP. Por meqenëse adresa nuk i është caktuar çelësit, fusha është bosh
• Përditësimi i vulës kohore - koha e përditësimit. Ora në çelës nuk ka ndryshuar, kështu që koha e fabrikës është aty.
• MD5 Digest - hash MD5. Përdoret për të verifikuar kredencialet. Kjo do të thotë, nëse VTP ka një fjalëkalim. Ne nuk e kemi ndryshuar fjalëkalimin, kështu që hash është parazgjedhja.

Tani le të shohim mesazhin tjetër të gjeneruar (ai në të djathtë). Quhet "Reklamë e Nëngrupit" ose "Reklamim i Detajuar". Ky është një informacion kaq i detajuar për çdo VLAN të transmetuar.
Mendoj se është e qartë këtu. Kreu i veçantë për çdo lloj VLAN. Lista është aq e gjatë sa nuk u fut në ekran. Por ata janë pikërisht të tillë, përveç emrave. Unë nuk do të shqetësoj veten, që do të thotë se nuk do të përdor çdo kod. Dhe në CPT ato janë më shumë një konventë.
Le të shohim se çfarë do të ndodhë më pas.

Klientët marrin reklama. Ata shohin që numri i rishikimit është më i lartë se i tyre dhe sinkronizojnë bazën. Dhe ata dërgojnë një mesazh në server që baza VLAN ka ndryshuar.

Si funksionon VTP

Kështu funksionon në thelb VTP. Por ka disavantazhe shumë të mëdha. Dhe këto disavantazhe janë në aspektin e sigurisë. Unë do të shpjegoj duke përdorur shembullin e të njëjtit laborator. Ne kemi një switch qendror në të cilin krijohen VLAN-et dhe më pas përmes multicast i sinkronizon ato me të gjithë switch-et. Në rastin tonë, ai flet për VLAN 20. Unë sugjeroj t'i hedhim një sy tjetër konfigurimit të tij.

Shënim. Një mesazh VTP arrin në server, ku numri i rishikimit është më i lartë se ai i tij. Ai e kupton që rrjeti ka ndryshuar dhe është e nevojshme të përshtatet me të. Le të kontrollojmë konfigurimin.

Konfigurimi i serverit qendror ka ndryshuar dhe tani ai do të transmetojë pikërisht atë.
Tani imagjinoni që ne nuk kemi një VLAN, por qindra. Në një mënyrë kaq të thjeshtë, mund të vendosni një rrjet. Sigurisht, domeni mund të mbrohet me fjalëkalim dhe do të jetë më e vështirë për një sulmues të dëmtojë. Imagjinoni një situatë kur çelësi juaj është i prishur dhe ju duhet urgjentisht ta zëvendësoni atë. Ju ose kolegu juaj vraponi në magazinë për centralin e vjetër dhe harroni të kontrolloni numrin e rishikimit. Rezulton të jetë më e lartë se pjesa tjetër. Tashmë e keni parë se çfarë do të ndodhë më pas. Prandaj, unë rekomandoj të mos përdorni këtë protokoll. Sidomos në rrjetet e korporatave të mëdha. Nëse jeni duke përdorur versionin 3 të VTP, atëherë mos ngurroni të vendosni çelsat në modalitetin "Off". Nëse përdoret versioni i dytë, atëherë kaloni në modalitetin "Transparent". Shto etiketa

Në faqet e faqes sonë, ne kemi përdorur vazhdimisht termin VLAN në udhëzimet për konfigurimin e ruterave të ndryshëm dhe krijimin e një rrjeti korporativ. Sidoqoftë, teknologjia moderne vlan kërkon studim të detajuar, kështu që seria tjetër e artikujve i kushtohet karakteristikave dhe konfigurimit të "vlan" në pajisje të ndryshme.

Ky material është një lloj "fjalë hyrëse", dhe këtu do të shohim se çfarë është VLAN dhe si ndihmon teknologjia VLAN në konfigurimin e rrjetit.

Vlan: cfare eshte?

VLAN është një teknologji që ju lejon të konfiguroni domene të shumta transmetimi virtual brenda një domeni të vetëm transmetimi fizik.

Me fjalë të tjera, duke pasur nga disa ose një switch, është e mundur, pra, të diferencohen PC-të e përdoruesve në bazë të përkatësisë në një departament të caktuar ose, në rastin e serverëve, sipas roleve të caktuara dhe specifikave të punës së tyre.

Në këtë rast, disa probleme zgjidhen njëkohësisht:

• - ulet numri i kërkesave për transmetim;

• - përmirësohet, sepse përjashton mundësinë e përgjimit të trafikut nga punonjës të palëve të treta që nuk përfshihen në këtë VLAN specifik;
• - bëhet e mundur që të shpërndahen gjeografikisht departamente dhe ndarje të ndryshme në bazë të përkatësisë. Kjo do të thotë, për shembull, punonjësit e Departamentit të Burimeve Njerëzore, duke mos qenë në të njëjtën ndërtesë, do të mund të "shihen" njëri-tjetrin brenda nënrrjetit të tyre.

Arkitektura e rrjetit përdor VLAN për të ofruar segmentimin e rrjetit të shërbimeve, të kryera në mënyrë tipike nga ruterat, të cilët filtrojnë trafikun e transmetuar ndërmjet VLAN-ve të ndryshëm, përmirësojnë sigurinë e rrjetit, kryejnë grumbullimin e nën-rrjetit dhe reduktojnë mbingarkesën e rrjetit. Ndërprerësit nuk mund të përcjellin trafikun ndërmjet VLAN-ve për shkak të kufizimit të vendosur nga domeni i transmetimit.

Disa çelësa mund të kenë funksione të shtresës 3 të OSI, duke ruajtur dhe përdorur për të transferuar trafikun ndërmjet nënrrjeteve. Në këtë rast, një ndërfaqe virtuale e një VLAN specifike me një dhe krijohet në switch. Kjo ndërfaqe vepron si një pajisje për pajisjet në këtë VLAN.

Për çfarë është vlan?

Në rrjetet e bazuara në trafikun e transmetimit të dërguar në të gjitha pajisjet për të gjetur kolegë, me rritjen e numrit të kolegëve, rritet edhe sasia e trafikut të transmetimit (i cili potencialisht mund të zhvendosë pothuajse plotësisht ngarkesën në rrjet).

VLAN-et, nga ana tjetër, ndihmojnë në reduktimin e trafikut të rrjetit duke formuar domene të shumta transmetimi, duke ndarë një rrjet të madh në disa segmente më të vogla të pavarura me një numër të vogël kërkesash transmetimi të dërguara në secilën pajisje të të gjithë rrjetit në tërësi.

Teknologjia VLAN gjithashtu ndihmon në krijimin e rrjeteve të shumëfishta OSI të shtresave 3 në të njëjtën infrastrukturë fizike. Për shembull, nëse distributori i adresave IP përfshihet në switch në një VLAN specifik, pajisjet do të marrin adresa vetëm brenda këtij VLAN. Nëse serveri DHCP aktivizohet nga një trunk me një grup prej disa VLAN, pajisjet nga të gjitha këto VLAN do të mund të marrin adresa.

VLAN operon në shtresën e dytë të kanalit të modelit të rrjetit OSI, ngjashëm me nënrrjetat IP, të cilat funksionojnë në shtresën e tretë të rrjetit. Zakonisht, çdo VLAN ka nënrrjetin e vet IP, megjithëse ka përjashtime kur disa nënrrjeta të ndryshme mund të ekzistojnë në të njëjtin VLAN. Kjo teknologji njihet në Cisco si "ip secondary" dhe në Linux si "ip alias".

Në teknologjitë e vjetra të rrjeteve, përdoruesve iu caktuan nënrrjeta bazuar në vendndodhjen e tyre gjeografike. Për shkak të kësaj, ato ishin të kufizuara nga topologjia fizike dhe distanca. Teknologjia VLAN, nga ana tjetër, ju lejon të gruponi logjikisht përdoruesit e ndryshëm gjeografikisht në të njëjtin grup nënrrjetash, pavarësisht vendndodhjes së tyre fizike. Duke përdorur VLAN, ju mund të menaxhoni me lehtësi modelet e trafikut dhe t'i përgjigjeni shpejt lëvizjeve të përdoruesve.

Teknologjia VLAN siguron përshtatje fleksibël ndaj ndryshimeve në rrjet dhe thjeshton administrimin.

Shembuj të përdorimit të vlan

Një shembull i ndarjes së një rrjeti në disa VLAN në segmente në varësi të roleve dhe teknologjive të përdorura:

1. 1) VLAN produktiv
2. 2) VoIP
3. 3) Menaxhimi i rrjetit
4. 4) SAN - rrjeti i ruajtjes së të dhënave
5. 5) Rrjeti i mysafirëve
6. 6) Zonat DMZ
7. 7) Ndarja e klientit (në rastin e një ofruesi shërbimi ose qendre të dhënash)

Standardi më i përdorur për konfigurimin VLAN është IEEE 802.1Q, ndërsa Cisco ka ISL-në e vet dhe 3Com ka VLT. Të dy IEEE 802.1Q dhe ISL kanë një mekanizëm të ngjashëm funksionimi të quajtur "etiketim eksplicit" - korniza e të dhënave është etiketuar me informacionin e anëtarësimit në VLAN. Dallimi midis të dyjave është se ISL përdor një proces të etiketimit të jashtëm pa modifikuar kornizën origjinale të Ethernet, ndërsa 802.1Q përdor një proces të brendshëm të etiketimit.