Për momentin, shumë organizata dhe ndërmarrje moderne praktikisht nuk përdorin një mundësi kaq të dobishme, dhe shpesh të nevojshme, si organizimi i një virtual (VLAN) brenda kornizës së një infrastrukture integrale, e cila ofrohet nga shumica e ndërprerësve modernë. Kjo është për shkak të shumë faktorëve, kështu që ia vlen të merret parasysh kjo teknologji nga pikëpamja e mundësisë së përdorimit të saj për qëllime të tilla.
përshkrim i përgjithshëm
Për të filluar, ia vlen të vendosni se cilat janë VLAN-të. Kjo i referohet një grupi kompjuterësh të lidhur në një rrjet që janë grupuar logjikisht në një domen të shpërndarjes së mesazheve të transmetimit sipas një atributi të caktuar. Për shembull, grupet mund të dallohen në varësi të strukturës së ndërmarrjes ose sipas llojeve të punës në një projekt ose detyrë së bashku. VLAN-të ofrojnë disa përfitime. Fillimisht, ne po flasim për një përdorim shumë më efikas të gjerësisë së brezit (krahasuar me rrjetet tradicionale lokale), një shkallë më të lartë të mbrojtjes së informacionit që transmetohet, si dhe një skemë të thjeshtuar administrimi.
Meqenëse gjatë përdorimit të një VLAN, i gjithë rrjeti ndahet në domene transmetimi, informacioni brenda një strukture të tillë transmetohet vetëm midis anëtarëve të tij dhe jo në të gjithë kompjuterët në rrjetin fizik. Rezulton se trafiku i transmetimit që gjenerohet nga serverët është i kufizuar në një domen të paracaktuar, domethënë nuk transmetohet në të gjitha stacionet në këtë rrjet. Kështu është e mundur të arrihet shpërndarja optimale e gjerësisë së brezit të rrjetit midis grupeve të dedikuara kompjuterësh: serverët dhe stacionet e punës nga VLAN të ndryshëm thjesht nuk e shohin njëri-tjetrin.
Si po shkojnë të gjitha proceset?
Në një rrjet të tillë, informacioni është mjaft i mbrojtur nga fakti që të dhënat shkëmbehen brenda një grupi specifik kompjuterësh, domethënë ata nuk mund të marrin trafikun e krijuar në ndonjë strukturë tjetër të ngjashme.
Nëse flasim për atë që janë VLAN-et, atëherë është e përshtatshme të theksohet një avantazh i tillë i kësaj metode organizimi, pasi një rrjet i thjeshtuar ndikon në detyra të tilla si shtimi i elementeve të rinj në rrjet, zhvendosja e tyre dhe gjithashtu fshirja e tyre. Për shembull, nëse një përdorues VLAN zhvendoset në një vend tjetër, administratori i rrjetit nuk ka nevojë të rilidhë kabllot. Ai thjesht duhet të konfigurojë pajisjet e rrjetit nga vendi i tij i punës. Në disa implementime të rrjeteve të tilla, lëvizja e anëtarëve të grupit mund të kontrollohet automatikisht, edhe pa nevojën e ndërhyrjes së administratorit. Ai vetëm duhet të dijë se si të konfigurojë VLAN në mënyrë që të kryejë të gjitha operacionet e nevojshme. Ai mund të krijojë grupe të reja logjike përdoruesish pa u ngritur. E gjithë kjo kursen shumë kohën e punës, e cila mund të jetë e dobishme për zgjidhjen e detyrave jo më pak të rëndësishme.
Mënyrat për të organizuar VLAN
Ekzistojnë tre opsione të ndryshme: bazuar në portet, protokollet e shtresës së tretë ose adresat MAC. Çdo metodë korrespondon me një nga tre shtresat më të ulëta të modelit OSI: fizike, rrjeti dhe kanali, përkatësisht. Nëse flasim për atë që janë VLAN-et, atëherë vlen të përmendet prania e metodës së katërt të organizimit - bazuar në rregulla. Tani përdoret rrallë, megjithëse ofron shumë fleksibilitet. Ju mund të shqyrtoni më në detaje secilën prej këtyre metodave për të kuptuar se cilat veçori kanë ato.
VLAN të bazuara në port
Kjo supozon një grupim logjik të portave të caktuara të ndërprerësve fizikë të zgjedhur për ndërveprim. Për shembull, mund të përcaktojë që porte të caktuara, për shembull, 1, 2 dhe 5 formojnë VLAN1, dhe numrat 3, 4 dhe 6 përdoren për VLAN2, e kështu me radhë. Një portë ndërprerëse mund të përdoret për të lidhur disa kompjuterë, për të cilët, për shembull, përdoret një shpërndarës. Të gjithë ata do të përcaktohen si anëtarë të të njëjtit rrjet virtual të cilit i është caktuar porta e shërbimit të switch-it. Një lidhje e tillë e ngurtë e anëtarësimit në rrjetin virtual është disavantazhi kryesor i një skeme të tillë organizimi.
VLAN bazuar në adresat MAC
Kjo metodë bazohet në përdorimin e adresave unike heksadecimal të nivelit të lidhjes të disponueshme për çdo server ose stacion pune të rrjetit. Nëse flasim për atë që janë VLAN-et, atëherë vlen të përmendet se kjo metodë konsiderohet të jetë më fleksibël se ajo e mëparshme, pasi kompjuterët që i përkasin rrjeteve të ndryshme virtuale mund të lidhen me një portë ndërprerës. Përveç kësaj, ai monitoron automatikisht lëvizjen e kompjuterëve nga një port në tjetrin, gjë që ju lejon të mbani klientin që i përket një rrjeti specifik pa ndërhyrjen e administratorit.
Parimi i funksionimit këtu është shumë i thjeshtë: ndërprerësi mban një tabelë të korrespondencës midis adresave MAC të stacioneve të punës dhe rrjeteve virtuale. Sapo kompjuteri kalon në ndonjë port tjetër, fusha e adresës MAC krahasohet me të dhënat e tabelës, pas së cilës bëhet përfundimi i saktë se kompjuteri i përket një rrjeti të caktuar. Disavantazhet e kësaj metode janë kompleksiteti i konfigurimit të VLAN-it, i cili fillimisht mund të shkaktojë gabime. Ndërsa switch-i ndërton tabelat e veta të adresave, administratori i rrjetit duhet t'i shikojë të gjitha për të përcaktuar se cilat adresa korrespondojnë me cilët grupe virtuale, pas së cilës ai e cakton atë në VLAN-et e duhura. Dhe këtu ka një vend për gabime, të cilat ndonjëherë ndodhin në Cisco VLAN, konfigurimi i të cilave është mjaft i thjeshtë, por rishpërndarja e mëvonshme do të jetë më e vështirë sesa në rastin e përdorimit të porteve.
VLAN bazuar në protokollet e shtresës 3
Kjo metodë përdoret rrallë në ndërruesit e nivelit të grupit të punës ose departamentit. Është tipike për shtyllat kurrizore të pajisura me mjete të integruara të rrugëzimit për protokollet kryesore LAN - IP, IPX dhe AppleTalk. Kjo metodë supozon se një grup portash switch që i përkasin një VLAN specifik do të shoqërohen me një nënrrjet IP ose IPX. Në këtë rast, fleksibiliteti sigurohet nga fakti se lëvizja e një përdoruesi në një port tjetër që i përket të njëjtit rrjet virtual gjurmohet nga switch dhe nuk ka nevojë të rikonfigurohet. Rutimi i VLAN-it në këtë rast është mjaft i thjeshtë, sepse switch-i në këtë rast analizon adresat e rrjetit të kompjuterëve që janë të përcaktuara për secilin prej rrjeteve. Kjo metodë gjithashtu mbështet ndërveprimin midis VLAN-ve të ndryshëm pa përdorimin e mjeteve shtesë. Ekziston një disavantazh i kësaj metode - kostoja e lartë e çelsave në të cilat zbatohet. Rostelecom VLAN mbështet punën në këtë nivel.
gjetjet
Siç e keni kuptuar tashmë, rrjetet virtuale janë një mjet mjaft i fuqishëm që mund të zgjidhë problemet që lidhen me sigurinë e transmetimit të të dhënave, administrimin, kontrollin e aksesit dhe rritjen e efikasitetit të përdorimit.
9) Routing: statike dhe dinamike në shembullin e RIP, OSPF dhe EIGRP.
10) Përkthimi i adresës së rrjetit: NAT dhe PAT.
11) Protokollet e parë të tepricës së hopit: FHRP.
12) Siguria e rrjetit kompjuterik dhe rrjetet private virtuale: VPN.
13) Rrjetet globale dhe protokollet e përdorura: PPP, HDLC, Frame Relay.
14) Hyrje në IPv6, konfigurim dhe rrugëzim.
15) Menaxhimi i rrjetit dhe monitorimi i rrjetit.
P.S. Ndoshta lista do të zgjerohet me kalimin e kohës.
Në artikujt e mëparshëm, ne kemi punuar tashmë me shumë pajisje rrjeti, kemi kuptuar se si ato ndryshojnë nga njëra-tjetra dhe kemi ekzaminuar se nga cilat korniza, paketa dhe PDU të tjera përbëhen. Në parim, me këtë njohuri, ju mund të organizoni një rrjet të thjeshtë lokal dhe të punoni në të. Por bota nuk qëndron ende. Ka gjithnjë e më shumë pajisje që ngarkojnë rrjetin ose, akoma më keq, paraqesin rrezik sigurie. Dhe, si rregull, "rreziku" shfaqet para "sigurisë". Tani do ta tregoj në shembullin më të thjeshtë.
Për momentin nuk do të prekim ruterat dhe nënrrjetat e ndryshme. Le të themi se të gjithë hostet janë në të njëjtin nënrrjet.
Këtu është një listë e adresave IP:
- PC1 - 192.168.1.2/24
- PC2 - 192.168.1.3/24
- PC3 - 192.168.1.4/24
- PC4 - 192.168.1.5/24
- PC5 - 192.168.1.6/24
- PC6 - 192.168.1.7/24
Kush dëshiron ta shohë këtë në formën e animacionit, hap spoilerin (pingu nga PC1 në PC5 shfaqet atje).
Funksionimi i rrjetit në një domen transmetimi
E bukur a? Ne kemi folur tashmë për punën e protokollit ARP më shumë se një herë në artikujt e kaluar, por kjo ishte vitin e kaluar, kështu që unë do të shpjegoj shkurtimisht. Meqenëse PC1 nuk e njeh adresën MAC (ose adresën e shtresës së lidhjes) të PC2, ai dërgon një ARP në inteligjencën për ta treguar atë. Vjen te çelësi, nga ku transmetohet në të gjitha portat aktive, domethënë në PC2 dhe në çelësin qendror. Nga çelësi qendror do të fluturojë në çelësat fqinjë, e kështu me radhë, derisa të arrijë të gjithë. Kjo nuk është një sasi e vogël e trafikut të shkaktuar nga një mesazh ARP. Të gjithë anëtarët e rrjetit e morën atë. Trafiku i madh dhe i panevojshëm është problemi i parë. Problemi i dytë është siguria. Mendoj se kanë vënë re se mesazhi ka mbërritur edhe te departamenti i kontabilitetit, kompjuterët e të cilit nuk kanë marrë pjesë fare. Çdo ndërhyrës që lidhet me cilindo nga çelësat do të ketë akses në të gjithë rrjetin. Në parim, rrjetet funksiononin në atë mënyrë. Kompjuterët ishin në të njëjtin mjedis kanali dhe ndaheshin vetëm me anë të ruterave. Por koha kaloi dhe ishte e nevojshme të zgjidhej ky problem në nivel kanali. Cisco, si një pionier, doli me protokollin e vet që etiketonte kornizat dhe përcaktonte përkatësinë në një mjedis të veçantë kanali. Quhej ISL (Lidhje ndër-ndërprerëse). Të gjithëve iu pëlqeu kjo ide dhe IEEE vendosi të zhvillojë një standard të ngjashëm të hapur. Standardi quhet 802.1q. Ai mori një shpërndarje të madhe dhe Cisco vendosi të kalonte gjithashtu në të.
Dhe vetëm teknologjia VLAN bazohet në funksionimin e protokollit 802.1q. Le të fillojmë të flasim për të.
Në pjesën 3, tregova se si duket një kornizë ethernet. Shikojeni dhe rifreskoni kujtesën tuaj. Kështu duket një kornizë e pa etiketuar.
Tani le të hedhim një vështrim në atë të etiketuar.
Siç mund ta shihni, ndryshimi është se një i caktuar Etiketë. Kjo është ajo për të cilën ne jemi të interesuar. Le të gërmojmë më thellë. Ai përbëhet nga 4 pjesë.
1) TPID (ID-ja e protokollit të etiketës angleze) ose identifikuesi i protokollit të etiketuar- përbëhet nga 2 byte dhe është gjithmonë e barabartë me 0x8100 për VLAN.
2) PCP (Anglisht Priority Code Point) ose vlera prioritare- përbëhet nga 3 bit. Përdoret për t'i dhënë përparësi trafikut. Sysadminët e lezetshëm dhe me mjekër dinë ta menaxhojnë siç duhet dhe ta përdorin atë kur trafiku i ndryshëm po ecën në rrjet (zë, video, të dhëna, etj.)
3) CFI (Anglisht Canonical Format Indicator) ose Canonical Format Indicator- një fushë e thjeshtë e përbërë nga një bit. Nëse vendoset në 0, atëherë ky është formati standard i adresës MAC.
4) VID (Anglisht VLAN ID) ose identifikues VLAN- përbëhet nga 12 bit dhe tregon se në cilin VLAN ndodhet korniza.
Dua të tërheq vëmendjen për faktin se etiketimi i kornizës kryhet midis pajisjeve të rrjetit (çelsat, ruterat, etj.), Dhe kornizat nuk etiketohen midis nyjes fundore (kompjuter, laptop) dhe pajisjes së rrjetit. Prandaj, porta e pajisjes së rrjetit mund të jetë në 2 gjendje: akses ose trungu.
- Porta e hyrjes ose porta e hyrjes- një port i vendosur në një VLAN specifik dhe që transmeton korniza të pataguara. Si rregull, ky është porti që shikon pajisjen e përdoruesit.
- Trunk port ose port trunk- porti që transmeton trafik të etiketuar. Si rregull, ky port ngrihet midis pajisjeve të rrjetit.
Unë jam duke rekrutuar një ekip tregojnë vlan.
Janë ndërtuar disa tavolina. Në fakt, vetëm e para është e rëndësishme për ne. Tani do t'ju tregoj se si ta lexoni.
1 kolonëështë numri VLAN. Numri 1 është fillimisht i pranishëm këtu - ky është një VLAN standard që fillimisht është në çdo ndërprerës. Kryen një funksion tjetër, për të cilin do të shkruaj më poshtë. Janë të rezervuara edhe nga 1002-1005. Kjo është për mjedise të tjera kanalesh që nuk ka gjasa të përdoren tani. Nuk mund t'i fshini as ato.
Switch(config)#no vlan 1005 VLAN 1005 i parazgjedhur nuk mund të fshihet.
Gjatë fshirjes, Cisco shfaq një mesazh se ky VLAN nuk mund të fshihet. Prandaj ne jetojmë dhe nuk i prekim këto 4 VLAN.
2 kolonaështë emri VLAN. Kur krijoni një VLAN, sipas gjykimit tuaj, mund të gjeni emra kuptimplotë për ta në mënyrë që t'i identifikoni më vonë. Tashmë ka parazgjedhje, fddi-default, token-ring-default, fddinet-default, trnet-default.
3 kolona- statusi. Kjo tregon se në çfarë gjendje është VLAN. Për momentin, VLAN 1 ose parazgjedhja është në gjendjen aktive, dhe 4 të tjerat janë akt / pa ndërprerje (megjithëse aktive, por nuk mbështeten).
4 kolona- portet. Kjo tregon se cilit VLAN i përkasin portet. Tani, kur ende nuk kemi prekur asgjë, ato janë në parazgjedhje.
Le të fillojmë të konfigurojmë çelsat. Është praktikë e mirë t'i jepni çelsave emra kuptimplotë. çfarë do të bëjmë. Unë sjell ekipin.
Switch(config)#hostname CentrSW CentrSW(config)#
Pjesa tjetër janë konfiguruar në të njëjtën mënyrë, kështu që unë do të tregoj diagramin e topologjisë së përditësuar.
Le të fillojmë konfigurimin me çelësin SW1. Së pari, le të krijojmë një VLAN në çelës.
SW1(config)#vlan 2 - krijoni VLAN 2 (VLAN 1 është i rezervuar si parazgjedhje, kështu që ne marrim një tjetër). SW1(config-vlan)#name Dir-ya - futuni në cilësimet e VLAN dhe jepini një emër.
VLAN është krijuar. Tani le të kalojmë te portet. Ndërfaqja FastEthernet0/1 shikon PC1 dhe FastEthernet0/2 shikon PC2. Siç u përmend më herët, kornizat ndërmjet tyre duhet të transmetohen pa etiketa, kështu që ne do t'i transferojmë ato në gjendjen Access.
SW1(config)#interface fastEthernet 0/1 - shkoni te konfigurimi i portit të parë. Qasja në modalitetin SW1(config-if)#switchport - kaloni portën në modalitetin e aksesit. SW1(config-if)#switchport akses vlan 2 - i caktuar në portin e VLAN-it të dytë. SW1(config)#interface fastEthernet 0/2 - shkoni te konfigurimi i portit të dytë. Qasja në modalitetin SW1(config-if)#switchport - kaloni portën në modalitetin e aksesit. SW1(config-if)#switchport akses vlan 2 - i caktuar në portin e VLAN-it të dytë.
Meqenëse të dy portet janë të fiksuara nën të njëjtin VLAN, ato mund të konfigurohen ende si një grup.
SW1(config)#interface range fastEthernet 0/1-2 - d.m.th., zgjidhni grupin dhe më pas cilësimi është i ngjashëm. SW1(config-if-range)#qasja në modalitetin switchport SW1(config-if-range)#switchport akses vlan 2
Vendosni portat e hyrjes. Tani le të vendosim një trung midis SW1 dhe CentrSW.
SW1(config)#interface fastEthernet 0/24 - shkoni te konfigurimi i portit të 24-të. SW1(config-if)#switchport mode trunk - kaloni portin në modalitetin trunk. %LINEPROTO-5-UPDOWN: Protokolli i linjës në ndërfaqen FastEthernet0/24, ndryshoi gjendjen në poshtë %LINEPROTO-5-UPDOWN: Protokolli i linjës në ndërfaqen FastEthernet0/24, ndryshoi gjendjen në lart
Menjëherë shohim që porti është rikonfiguruar. Në parim, kjo është e mjaftueshme për të punuar. Por nga pikëpamja e sigurisë, vetëm ato VLAN që vërtet nevojiten duhet të lejohen për transmetim. Le të fillojmë.
SW1(config-if)#switchport trunk i lejuar vlan 2 - ne lejojmë që vetëm VLAN-i i dytë të transmetohet.
Pa këtë komandë, të gjitha VLAN-et e disponueshme do të transmetohen. Le të shohim se si ka ndryshuar tabela me komandën tregojnë vlan.
VLAN-i i dytë u shfaq me emrin Dir-ya dhe ne shohim portat fa0/1 dhe fa0/2 që i përkasin atij.
Për të shfaqur vetëm tabelën e sipërme, mund të përdorni komandën trego vlan shkurt.
Ju gjithashtu mund të shkurtoni daljen duke specifikuar një ID specifike VLAN.
Ose emri i tij.
I gjithë informacioni VLAN ruhet në memorie flash në skedarin vlan.dat.
Siç mund ta shihni, nuk ka asnjë informacion për trunkun në asnjë nga komandat. Mund të shihet nga një ekip tjetër shfaq trungun e ndërfaqes.
Ka informacione për portat e trungut dhe për cilat VLAN ato transmetojnë. Ekziston edhe një kolonë vlan amtare. Ky është pikërisht trafiku që nuk duhet etiketuar. Nëse një kornizë e pa etiketuar arrin në çelës, atëherë ai i caktohet automatikisht Native Vlan (si parazgjedhje, në rastin tonë, ky është VLAN 1). VLAN-i vendas është i mundur dhe shumë thonë se duhet ndryshuar për arsye sigurie. Për ta bërë këtë, në modalitetin e konfigurimit të portit të trungut, duhet të përdorni komandën - trunk porti i kalimit vendas vlan X, ku X- numri i VLAN-it të caktuar. Në këtë topologji, ne nuk do të ndryshojmë, por është e dobishme të dimë se si ta bëjmë atë.
Mbetet për të konfiguruar pjesën tjetër të pajisjeve.
CentrSW:
Çelësi qendror është një lidhje, që do të thotë se duhet të dijë për të gjitha VLAN-et. Prandaj, ne fillimisht i krijojmë ato, dhe më pas i transferojmë të gjitha ndërfaqet në modalitetin e trungut.
CentrSW(config)#vlan 2 CentrSW(config-vlan)# emri Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# emri buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# emri otdel -kadrov CentrSW(config)#interface range fastEthernet 0/1-3 CentrSW(config-if-range)# trunk mode switchport
Mos harroni të ruani konfigurimin. Ekipi kopjoni running-config startup-config.
SW2(config)#vlan 3 SW2(config-vlan)#name buhgalter SW2(config)#interface range fastEthernet 0/1-2 SW2(config-if-range)#switchport mode qasje SW2(config-if-range)# aksesi i kalimit vlan 3 SW2(konfigurim)#ndërfaqja fastEthernet 0/24 SW2(config-if)# trunk i modalitetit kalues SW2(config-if)#trunk kalues i lejuar vlan 3
SW3:
SW3(config)#vlan 4 SW3(config-vlan)#name otdel kadrov SW3(config)#interface range fastEthernet 0/1-2 SW3(config-if-range)#switchport mode qasje SW3(config-if-range) #switchport akses vlan 4 SW3(config)#interface fastEthernet 0/24 SW3(config-if)#switchport mode trunk SW3(config-if)#switchport trunk lejuar vlan 4
Ju lutemi vini re se ne ngritëm dhe konfiguruam VLAN-et, por e lamë hostin të adresohej njësoj. Kjo është, në fakt, të gjitha nyjet janë në të njëjtin nënrrjet, por të ndara nga VLAN. Ju nuk mund ta bëni këtë. Çdo VLAN duhet t'i caktohet një nënrrjet i veçantë. E bëra këtë vetëm për qëllime edukative. Nëse çdo departament do të ulej në nënrrjetin e vet, atëherë ato do të ishin a priori të kufizuara, pasi switchi nuk është në gjendje të drejtojë trafikun nga një nënrrjet në tjetrin (plus ky është tashmë një kufizim në nivel rrjeti). Dhe ne duhet të kufizojmë departamentet në nivelin e lidhjes së të dhënave.
Përsëri dërgoj ping nga PC1 në PC3.
Shkon në kursin e ARP-së, gjë që na nevojitet tani. Le ta hapim.
Deri më tani, asgjë e re. ARP është i kapsuluar në ethernet.
Korniza arrin në çelës dhe është etiketuar. Tani nuk ka një ethernet të rregullt, por 802.1q. Fushat e shtuara për të cilat kam shkruar më parë. Kjo është TPID, që është 8100 dhe tregon se është 802.1q. Dhe TCI, i cili kombinon 3 fusha PCP, CFI dhe VID. Numri në këtë fushë është numri VLAN. Ne vazhdojmë.
Pas etiketës, ai dërgon një kornizë në PC2 (sepse është në të njëjtin VLAN) dhe në çelësin qendror përmes portit trunk.
Meqenëse nuk ishte e koduar se cilat lloje të VLAN-ve do të kalonin nëpër cilat porta, ai do të dërgonte në të dy ndërprerësit. Dhe këtu çelsat, pasi kanë parë numrin VLAN, kuptojnë se nuk kanë pajisje me një VLAN të tillë dhe e hedhin me guxim atë.
PC1 është duke pritur për një përgjigje që nuk arrin kurrë. Ju mund të shihni nën spoiler në formën e animacionit.
Animacion
Tani situata tjetër. Në drejtori punësohet një person tjetër, por në drejtori nuk ka vend dhe për një kohë kërkojnë të vendosin një person në kontabilitet. Ne e zgjidhim këtë problem.
Ne e lidhëm kompjuterin me portën FastEthernet 0/3 të çelësit dhe caktuam adresën IP 192.168.1.8/24.
Tani vendosni çelësin SW2. Meqenëse kompjuteri duhet të jetë në VLAN-in e dytë, për të cilin switch-i nuk di, ne do ta krijojmë atë në switch.
SW2(config)#vlan 2 SW2(config-vlan)#name Dir-ya
Më pas, ne konfigurojmë portën FastEthernet 0/3, e cila shikon PC7.
SW2(config)#interface fastEthernet 0/3 SW2(config-if)#switchport mode qasje SW2(config-if)#switchport akses vlan 2
Dhe gjëja e fundit është të konfiguroni portin e trungut.
SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport trunk lejohet vlan add 2 - kushtojini vëmendje kësaj komande. Domethënë, fjala kyçe "shto". Nëse nuk e shtoni këtë fjalë, atëherë do të fshini të gjitha VLAN-et e tjera të lejuara për transmetim në këtë portë. Prandaj, nëse tashmë keni pasur një trunk në port dhe VLAN të tjera janë transmetuar, atëherë duhet ta shtoni atë në atë mënyrë.
Për t'i bërë kornizat të shkojnë bukur, do të korrigjoj çelësin qendror Qendra SW.
Qendra #interface fastEthernet 0/3 CentrSW(config-if)#switchport trunk lejohet vlan 4
Kontrolloni kohën. Unë dërgoj ping nga PC1 në PC7.
Deri më tani, e gjithë rruga është e ngjashme me atë të mëparshme. Por tani e tutje (nga fotografia më poshtë), çelësi qendror do të marrë një vendim tjetër. Ai merr një kornizë dhe sheh që është etiketuar me VLAN-in e dytë. Kjo do të thotë që ju duhet ta dërgoni atë vetëm aty ku lejohet, domethënë në portin fa0 / 2.
Dhe tani ai vjen në SW2. E hapim dhe shohim që është ende etiketuar. Por nyja tjetër është një kompjuter dhe etiketa duhet të hiqet. Klikoni në "Detajet e PDU-së dalëse" për të parë se në çfarë forme korniza do të fluturojë nga çelësi.
Dhe me të vërtetë. Çelësi do të dërgojë kornizën në një formë "të pastër", domethënë pa etiketa.
ARP arrin PC7. Ne e hapim atë dhe sigurohemi që korniza e pa etiketuar PC7 e njeh veten dhe dërgon një përgjigje.
Ne hapim kornizën në çelës dhe shohim që do të etiketohet për dërgim. Pastaj korniza do të udhëtojë në të njëjtën mënyrë siç erdhi.
ARP arrin PC1, siç dëshmohet nga një shenjë në zarf. Tani ai e di adresën MAC dhe përdor ICMP.
Ne hapim paketën në çelës dhe vëzhgojmë të njëjtën pamje. Në shtresën e lidhjes, korniza është etiketuar nga çelësi. Kështu do të ndodhë me çdo postim.
Ne shohim që paketa arrin me sukses PC7. Nuk do të tregoj rrugën e kthimit, pasi është e ngjashme. Nëse dikush është i interesuar, mund ta shihni të gjithë rrugën në animacionin nën spoilerin më poshtë. Dhe nëse doni ta zgjidhni vetë këtë topologji, unë bashkangjit një lidhje me laboratorin.
Logjika VLAN
Këtu, në parim, është aplikacioni më i popullarizuar i VLAN-ve. Pavarësisht vendndodhjes fizike, ju mund të kombinoni logjikisht nyjet në grupe, duke i izoluar ato nga të tjerët. Është shumë i përshtatshëm kur punonjësit punojnë fizikisht në vende të ndryshme, por duhet të jenë të bashkuar. Dhe sigurisht, nga pikëpamja e sigurisë, VLAN-et nuk janë të këmbyeshme. Gjëja kryesore është që një rreth i kufizuar njerëzish të kenë akses në pajisjet e rrjetit, por kjo është një çështje më vete.
Kufizime të arritura në nivel kanali. Trafiku tani nuk ecën askund, por shkon rreptësisht sipas qëllimit të synuar. Por tani shtrohet pyetja se departamentet duhet të komunikojnë me njëri-tjetrin. Dhe duke qenë se ato janë në mjedise të ndryshme kanalesh, rrugëtimi hyn në lojë. Por para se të fillojmë, le të rregullojmë topologjinë. Gjëja e parë që ne vendosim është adresimi i nyjeve. Përsëri, çdo departament duhet të jetë në nënrrjetin e vet. Në total marrim:
- Drejtoria - 192.168.1.0/24
- Kontabiliteti - 192.168.2.0/24
- Departamenti i burimeve njerëzore - 192.168.3.0/24
Pasi të përcaktohen nënrrjetat, ne adresojmë menjëherë nyjet.
- PC1:
IP: 192.168.1.2
Maska: 255.255.255.0 ose /24
Porta: 192.168.1.1 - PC2:
IP: 192.168.1.3
Maska: 255.255.255.0 ose /24
Porta: 192.168.1.1 - PC3:
IP: 192.168.2.2
Maska: 255.255.255.0 ose /24
Porta: 192.168.2.1 - PC4:
IP: 192.168.2.3
Maska: 255.255.255.0 ose /24
Porta: 192.168.2.1 - PC5:
IP: 192.168.3.2
Maska: 255.255.255.0 ose /24
Porta: 192.168.3.1 - PC6:
IP: 192.168.3.3
Maska: 255.255.255.0 ose /24
Porta: 192.168.3.1 - PC7:
IP: 192.168.1.4
Maska: 255.255.255.0 ose /24
Porta: 192.168.1.1
Nyjet kanë shtuar një parametër të tillë si adresa e portës. Ata e përdorin këtë adresë kur duhet t'i dërgojnë një mesazh një hosti të vendosur në një nënrrjet tjetër. Prandaj, çdo nënrrjet ka portën e vet.
Mbetet për të konfiguruar ruterin dhe unë hap CLI-në e tij. Sipas traditës, unë do të jap një emër kuptimplotë.
Router(konfigurim)#hostname Gateway Gateway(config)#
Më pas, kalojmë në konfigurimin e ndërfaqeve.
Gateway(config)#interface fastEthernet 0/0 - shkoni te ndërfaqja e kërkuar. Gateway(config-if)#no shutdown - aktivizo atë. %LINK-5-CHANGED: Ndërfaqja FastEthernet0/0, ndryshoi gjendjen në lart %LINEPROTO-5-UPDOWN: Protokolli i linjës në ndërfaqen FastEthernet0/0, ndryshoi gjendjen në lart
Tani vëmendje! Ne aktivizuam ndërfaqen, por nuk i caktuam një adresë IP. Fakti është se vetëm një lidhje ose një kanal nevojitet nga ndërfaqja fizike (fastethernet 0/0). Roli i portave do të kryhet nga ndërfaqet virtuale ose nënndërfaqet (nënndërfaqja angleze). Aktualisht ekzistojnë 3 lloje VLAN. Kjo do të thotë se do të ketë 3 nënndërfaqe. Le të fillojmë konfigurimin.
Gateway(config)#interface fastEthernet 0/0.2 )#encapsulation dot1Q 3 Gateway(config-if)#adresa ip 192.168.2.1 255.255.255.0 Gateway(config)#interface fastEthernet 0/0.4 Gateway(config-if)#encapsulation dot1Q 4 4 Gateway. .3.1 255.255.255.0
Ruteri është i konfiguruar. Shkojmë te çelësi qendror dhe konfigurojmë një port trunk në të në mënyrë që të kalojë kornizat e etiketuara në ruter.
CentrSW(config)#interface fastEthernet 0/24 CentrSW(config-if)#switchport mode trunk CentrSW(config-if)#switchport trunk lejuar vlan 2,3,4
Konfigurimi ka përfunduar dhe ne vazhdojmë të praktikojmë. Unë dërgoj ping nga PC1 në PC6 (d.m.th., në 192.168.3.3).
PC1 nuk e ka idenë se kush është PC6 ose 192.168.3.3, por e di që ato janë në nënrrjeta të ndryshme (si e kupton ai këtë është përshkruar në artikullin e mëparshëm). Prandaj, ai do të dërgojë një mesazh përmes portës kryesore, adresa e së cilës është e specifikuar në cilësimet e saj. Dhe megjithëse PC1 e di adresën IP të portës kryesore, adresa MAC nuk është e mjaftueshme për lumturi të plotë. Dhe ai lëshon ARP.
Shënim. Pasi një kornizë arrin në CentrSW, çelësi nuk ia dërgon atë askujt. Ai dërgon vetëm në ato porte ku lejohet kalimi i VLAN-it të dytë. Kjo do të thotë, në ruter dhe në SW2 (është një përdorues i ulur në VLAN-in e dytë).
Ruteri njeh veten dhe dërgon një përgjigje (treguar nga një shigjetë). Dhe shikoni kornizën e poshtme. Kur SW2 mori ARP nga çelësi qendror, në mënyrë të ngjashme nuk e dërgoi atë te të gjithë kompjuterët, por dërgoi vetëm PC7, i cili ndodhet në VLAN-in e dytë. Por PC7 e hedh poshtë, pasi nuk është për të. Le të shohim më tej.
ARP ka arritur në PC1. Tani ai di gjithçka dhe mund të dërgojë ICMP. Edhe një herë, do t'i kushtoj vëmendje faktit që si adresa MAC e destinacionit (shtresa e lidhjes), do të jetë adresa e ruterit, dhe si adresa IP e destinacionit (shtresa e rrjetit), adresa PC6.
ICMP arrin në ruter. Ai shikon tabelën e tij dhe kupton se nuk njeh askënd në 192.168.3.3. Heq ICMP-në hyrëse dhe lejon që ARP të zbulohet.
PC6 e njeh veten dhe dërgon një përgjigje.
Përgjigja arrin në ruter dhe ai shton një hyrje në tabelën e tij. Mund ta shikoni tabelën ARP me komandën trego arp.
Ne vazhdojmë. PC1 është i pakënaqur që askush nuk i përgjigjet dhe i dërgon mesazhin e radhës ICMP.
Këtë herë KNPZH-ja kalon pa probleme. Ai do të ndjekë të njëjtën rrugë kthimi. Unë do t'ju tregoj vetëm rezultatin përfundimtar.
Paketa e parë humbi (si rezultat i punës ARP), dhe e dyta mbërriti pa probleme.
Kush kujdeset ta shohë në animacion, mirë se vjen në spoiler.
InterVLAN Routing
Kështu që. Ne kemi arritur që nëse nyjet janë në të njëjtin nën-rrjet dhe në të njëjtin VLAN, atëherë ato do të kalojnë direkt përmes switch-ave. Në rastin kur duhet të dërgoni një mesazh në një nënrrjet tjetër dhe VLAN, atëherë ai do të transmetohet përmes ruterit Gateway, i cili kryen rrugëzimin "inter-vlane". Kjo topologji quhet "ruteri në një shkop" ose "ruteri në një shkop". Siç mund ta shihni, është shumë i përshtatshëm. Ne krijuam 3 ndërfaqe virtuale dhe dërguam korniza të ndryshme të etiketuara përgjatë një teli. Pa përdorimin e nënndërfaqeve dhe VLAN-ve, do të ishte e nevojshme të përdoret një ndërfaqe fizike e veçantë për çdo nënrrjet, e cila nuk është aspak fitimprurëse.
Meqë ra fjala, kjo pyetje është analizuar shumë mirë në këtë video (video është rreth 3 orë, kështu që lidhja është e lidhur me atë moment të caktuar në kohë). Nëse pas leximit dhe shikimit të videos dëshironi të përfundoni gjithçka me duart tuaja, unë bashkangjit një lidhje shkarkimi.
Ne u morëm me VLAN dhe kalojmë në një nga protokollet që funksionon me të.
DTP (Dynamic Trunking Protocol) ose në rusisht protokolli dinamik trunk- një protokoll pronësor nga Cisco, i cili përdoret për të zbatuar modalitetin trunk midis ndërprerësve. Edhe pse, në varësi të gjendjes, ato mund të jenë të qëndrueshme edhe në mënyrën e aksesit.
Ekzistojnë 4 mënyra në DTP: Auto dinamike, Dinamike e dëshirueshme, Trunk, Akses. Le të shohim se si ata përshtaten së bashku.
| Mënyrat | automatik dinamik | dinamike e dëshirueshme | Trungu | Qasja |
|---|---|---|---|---|
| automatik dinamik | Qasja | Trungu | Trungu | Qasja |
| dinamike e dëshirueshme | Trungu | Trungu | Trungu | Qasja |
| Trungu | Trungu | Trungu | Trungu | Pa lidhje |
| Qasja | Qasja | Qasja | Pa lidhje | Qasja |
Kjo do të thotë, kolona e majtë është pajisja e parë, dhe rreshti i sipërm është pajisja e dytë. Si parazgjedhje, çelsat janë në modalitetin "automatik dinamik". Nëse shikoni tabelën e hartës, atëherë dy çelësa në modalitetin "automatik dinamik" janë të qëndrueshëm në modalitetin "qasje". Le ta kontrollojmë këtë. Unë krijoj një laborator të ri dhe shtoj 2 çelësa.
Nuk do t'i lidh akoma. Më duhet të sigurohem që të dy çelsat janë në modalitetin "automatik dinamik". Do të kontrolloj me ekipin tregoni ndërfaqen e ndërfaqes.
Rezultati i kësaj komande është shumë i madh, kështu që e preva dhe theksova pikat me interes. Le të fillojmë me Mënyra Administrative. Kjo linjë tregon se në cilin nga 4 mënyrat është ky port në çelës. Sigurohemi që portat në të dy çelësat të jenë në modalitetin "Dynamic Auto". Një linjë Modaliteti Operacional tregon se në cilën mënyrë operimi kanë rënë dakord të punojnë. Nuk i kemi lidhur ende, kështu që janë në gjendje "poshtë".
Unë do t'ju jap disa këshilla të mira tani. Kur testoni ndonjë protokoll, përdorni filtra. Fikni shfaqjen e punës së të gjitha protokolleve që nuk ju nevojiten.
E vendosa CPT në modalitetin e simulimit dhe filtroja të gjitha protokollet përveç DTP.
Unë mendoj se gjithçka është e qartë këtu. Unë i lidh çelsat me një kabllo dhe, kur lidhjet janë ngritur, njëri nga çelësat gjeneron një mesazh DTP.
E hap dhe shoh që është DTP i kapsuluar në një kornizë Ethernet. Ai e dërgon atë në adresën multicast "0100.0ccc.cccc", e cila i referohet protokolleve DTP, VTP, CDP.
Dhe unë do t'i kushtoj vëmendje 2 fushave në kokën e DTP.
1) Lloji DTP- këtu dërguesi fut një ofertë. Kjo është, në cilën mënyrë ai dëshiron të pajtohet. Në rastin tonë, ai sugjeron të bien dakord për "qasjen".
2) Adresa MAC e fqinjit- në këtë fushë, ai shkruan adresën MAC të portit të tij.
Ai dërgon dhe pret një përgjigje nga një fqinj.
Mesazhi arrin SW1 dhe gjeneron një përgjigje. Aty ku ai gjithashtu negocion modalitetin "akses", fut adresën e tij MAC dhe e dërgon atë në rrugën e tij drejt SW2.
Arrin me sukses DTP. Në teori, ato duhet të ishin konsistente në modalitetin e "qasjes". Unë do të kontrolloj.
Siç pritej, ata ranë dakord për mënyrën e "qasjes".
Dikush thotë se teknologjia është e përshtatshme dhe e përdor atë. Por unë fuqimisht nuk rekomandoj përdorimin e këtij protokolli në rrjetin tim. Nuk jam i vetmi që e rekomandoj këtë, dhe tani do të shpjegoj pse. Çështja është se ky protokoll hap një vrimë të madhe sigurie. Do të hap laboratorin që merrej me veprën “Router on a stick” dhe do të shtoj një çelës tjetër aty.
Tani do të shkoj në cilësimet e çelësit të ri dhe do të kodoj portin për të punuar në modalitetin e trungut.
New_SW(config)#interface fastEthernet 0/1 New_SW(config-if)#switchport mode trunk
Unë i lidh ato dhe shoh se si përputhen.
Në rregull. Modalitetet "automatike dinamike" dhe "trunk" janë të qëndrueshme në modalitet trungu. Tani presim që dikush të fillojë të tregojë aktivitet. Le të themi se PC1 vendosi t'i dërgojë një mesazh dikujt. Gjeneron ARP dhe lëshon në rrjet.
Le të kapërcejmë rrugën e tij deri në momentin kur ai arrin në SW2.
Dhe këtu është më interesante.
Ai e dërgon atë te çelësi i lidhur rishtazi. Unë shpjegoj se çfarë ndodhi. Sapo ramë dakord për trungun me të, ai fillon t'i dërgojë të gjitha kornizat në hyrje. Megjithëse diagrami tregon se çelësi lëshon korniza, kjo nuk do të thotë asgjë. Mund të lidhni çdo pajisje përgjuese (sniffer) me çelësin ose në vend të çelësit dhe të shikoni me qetësi se çfarë po ndodh në rrjet. Duket se ka përgjuar një ARP të padëmshme. Por nëse shikoni më thellë, mund të shihni se adresa MAC "0000.0C1C.05DD" dhe adresa IP "192.168.1.2" janë tashmë të njohura. Kjo do të thotë, PC1 e dha veten pa u menduar. Tani sulmuesi di për një kompjuter të tillë. Veç kësaj ai e di që është ulur në VLAN-in e 2-të. Atëherë ai mund të bëjë shumë. Gjëja më banale është të ndryshoni adresën tuaj MAC, adresën IP, të përputhen shpejt në Access dhe të imitoni PC1. Por më interesantja. Në fund të fundit, ju mund të mos e kuptoni menjëherë. Zakonisht, kur vendosim modalitetin e funksionimit të portit, ai shfaqet menjëherë në konfigurim. Unë jam duke importuar shfaq running-config.
Por këtu cilësimet e portit janë bosh. Unë jam duke importuar tregoni ndërfaqen e ndërfaqes dhe lëvizni te fa0/4.
Dhe këtu shohim se trungu është dakord. Show running-config nuk ofron gjithmonë informacion gjithëpërfshirës. Prandaj, mbani mend edhe komandat e tjera.
Unë mendoj se është e qartë pse nuk mund t'i besoni këtij protokolli. Duket se e bën jetën më të lehtë, por në të njëjtën kohë mund të krijojë një problem të madh. Pra, mbështetuni në metodën manuale. Kur konfiguroni, caktoni menjëherë për veten tuaj se cilat porte do të funksionojnë në modalitetin trunk dhe cilat në akses. Dhe më e rëndësishmja - çaktivizoni gjithmonë përputhjen. Në mënyrë që çelsat të mos përpiqen të pajtohen me askënd. Kjo bëhet me komandën "switchport nonegotiate".
Le të kalojmë te protokolli tjetër.
VTP (VLAN Trunking Protocol)- një protokoll pronësor nga Cisco, i cili përdoret për të shkëmbyer informacione rreth VLAN-ve.
Imagjinoni situatën që keni 40 switch dhe 70 VLAN. Për mirë, ju duhet t'i krijoni ato manualisht në çdo ndërprerës dhe të regjistroheni se në cilat porta trunk do të lejoni transmetimin. Ky është një biznes i gjatë dhe i lodhshëm. Prandaj, VTP mund të marrë përsipër këtë detyrë. Ju krijoni VLAN në një çelës dhe të gjithë të tjerët sinkronizohen me bazën e tij. Hidhini një sy topologjisë së mëposhtme.
Këtu ka 4 ndërprerës. Njëri prej tyre është një server VTP, dhe 3 të tjerët janë klientë. Ato VLAN që do të krijohen në server sinkronizohen automatikisht te klientët. Unë do të shpjegoj se si funksionon VTP dhe çfarë mund të bëjë.
Kështu që. VTP mund të krijojë, modifikojë dhe fshijë VLAN. Çdo veprim i tillë nënkupton rritjen e numrit të rishikimit (çdo veprim e rrit numrin me +1). Pas kësaj, ai dërgon njoftime, ku tregohet numri i rishikimit. Klientët që marrin këtë njoftim krahasojnë numrin e tyre të rishikimit me atë që erdhi. Dhe nëse numri në hyrje është më i lartë, ata sinkronizojnë bazën e të dhënave të tyre me të. Përndryshe, deklarata nuk merret parasysh.
Por kjo nuk është e gjitha. VTP ka role. Si parazgjedhje, të gjithë çelsat funksionojnë si server. Unë do t'ju tregoj për to.
- Serveri VTP. Di gjithçka. Kjo do të thotë, krijon, modifikon, fshin VLAN. Nëse merr një njoftim në të cilin rishikimi është më i vjetër se ai, atëherë ai sinkronizohet. Dërgon vazhdimisht njoftime dhe transmetime nga fqinjët.
- Klienti VTP- Ky rol tashmë është i kufizuar. Nuk mund të krijoni, modifikoni ose fshini VLAN. Të gjitha VLAN-et marrin dhe sinkronizohen nga serveri. Informon periodikisht fqinjët për bazën e tij VLAN.
- VTP transparente- ky është një rol kaq i pavarur. Mund të krijojë, modifikojë dhe fshijë VLAN vetëm në bazën e të dhënave të tij. Ai nuk i imponon asgjë askujt dhe nuk pranon asgjë nga askush. Nëse merr një lloj njoftimi, ai e kalon atë, por nuk sinkronizohet me bazën e tij. Nëse në rolet e mëparshme numri i rishikimit rritet me çdo ndryshim, atëherë në këtë mënyrë numri i rishikimit është gjithmonë 0.
Lexoni teorinë dhe kaloni në praktikë. Le të kontrollojmë që çelësi qendror është në modalitetin e serverit. Fusim komandën shfaq statusin vtp.
Ne shohim se VTP Operating Mode: Server. Ju gjithashtu mund të vini re se versioni VTP është i dyti. Fatkeqësisht, versioni 3 i CPT nuk mbështetet. Versioni i rishikimit zero.
Tani le të konfigurojmë çelsat e poshtme.
Klienti i modalitetit SW1(config)#vtp Vendosja e pajisjes në modalitetin VTP CLIENT.
Ne shohim një mesazh që pajisja ka kaluar në modalitetin e klientit. Pjesa tjetër është konfiguruar saktësisht në të njëjtën mënyrë.
Që pajisjet të jenë në gjendje të reklamojnë, ato duhet të jenë në të njëjtin domen. Dhe këtu ka një veçori. Nëse pajisja (në modalitetin Server ose Klient) nuk i përket asnjë domeni, atëherë në reklamën e parë të marrë, ajo do të shkojë në domenin e reklamuar. Nëse klienti është në një domen të caktuar, atëherë ai nuk do të pranojë reklama nga domene të tjera. Le të hapim SW1 dhe të sigurohemi që nuk i përket asnjë domeni.
Sigurohuni që të jetë bosh.
Tani shkojmë te çelësi qendror dhe e transferojmë atë në domen.
CentrSW(config)#vtp domeni cisadmin.ru Ndryshimi i emrit të domenit VTP nga NULL në cisadmin.ru
Ne shohim një mesazh që ai u transferua në domenin cisadmin.ru.
Le të kontrollojmë statusin.
Dhe me të vërtetë. Emri i domenit ka ndryshuar. Vini re se numri i rishikimit është ende zero. Do të ndryshojë sapo të krijojmë një VLAN në të. Por përpara se ta krijoni atë, duhet ta vendosni simulatorin në modalitetin e simulimit për të parë se si do të gjenerojë reklama. Ne krijojmë VLAN-in e 20-të dhe shohim foton e mëposhtme.
Pasi të krijohet VLAN dhe numri i rishikimit të jetë rritur, serveri gjeneron reklama. Ai ka dy. Le të hapim fillimisht atë në të majtë. Ky njoftim quhet "Reklamim përmbledhës" ose në rusisht "shpallje përmbledhëse". Ky njoftim gjenerohet nga switch-i një herë në 5 minuta, ku flet për emrin e domenit dhe rishikimin aktual. Le të shohim se si duket.
Në kornizën Ethernet, vini re adresën MAC të Destinacionit. Është njësoj si më sipër kur u krijua DTP. Kjo do të thotë, në rastin tonë, vetëm ata që kanë VTP në funksion do t'i përgjigjen asaj. Tani le të shohim fushën tjetër.
Këtu janë vetëm të gjitha informacionet. Do të kaloj nëpër fushat më të rëndësishme.
- Emri i Domenit të Menaxhimit - emri i vetë domenit (në këtë rast, cisadmin.ru).
- Identiteti i përditësuesit - ID e atij që përditëson. Këtu, si rregull, shkruhet adresa IP. Por meqenëse adresa nuk i është caktuar çelësit, fusha është bosh
- Përditësimi i vulës kohore - koha e përditësimit. Ora në çelës nuk ka ndryshuar, kështu që koha e fabrikës është aty.
- MD5 Digest - hash MD5. Përdoret për të kontrolluar lejet. Kjo do të thotë, nëse VTP ka një fjalëkalim. Ne nuk e ndryshuam fjalëkalimin, pra hash i parazgjedhur.
Mendoj se është e qartë këtu. Kreu i veçantë për çdo lloj VLAN. Lista është aq e gjatë sa nuk futet në ekran. Por ata janë saktësisht të njëjtë, përveç emrave. Nuk do ta shqetësoj kokën, që do të thotë çdo kod. Po, dhe në CPT ato janë më konvencionale këtu.
Le të shohim se çfarë do të ndodhë më pas.
Klientët marrin reklama. Ata shohin që numri i rishikimit është më i lartë se i tyre dhe sinkronizojnë bazën e të dhënave. Dhe ata dërgojnë një mesazh në server që baza VLAN ka ndryshuar.
Si funksionon protokolli VTP
Kështu funksionon në parim protokolli VTP. Por ka disavantazhe shumë të mëdha. Dhe këto janë disavantazhet në aspektin e sigurisë. Unë do të shpjegoj duke përdorur shembullin e të njëjtit laborator. Ne kemi një ndërprerës qendror në të cilin krijohen VLAN-et dhe më pas, nëpërmjet multicast, i sinkronizon ato me të gjithë ndërprerësit. Në rastin tonë, ai flet për VLAN 20. Unë sugjeroj t'i hedhim një sy konfigurimit të tij.
Shënim. Një mesazh VTP mbërrin në server, ku numri i rishikimit është më i lartë se numri i tij. Ai e kupton që rrjeti ka ndryshuar dhe është e nevojshme të përshtatet me të. Le të kontrollojmë konfigurimin.
Konfigurimi i serverit qendror ka ndryshuar dhe tani ai do të transmetojë pikërisht atë.
Tani imagjinoni që ne nuk kemi një VLAN, por qindra. Këtu është një mënyrë e thjeshtë për të vendosur një rrjet. Sigurisht, domeni mund të mbrohet me fjalëkalim dhe do të jetë më e vështirë për një sulmues të bëjë dëm. Dhe imagjinoni situatën që çelësi juaj është i prishur dhe ju duhet urgjentisht ta zëvendësoni atë. Ju ose kolegu juaj vraponi në magazinë për një çelës të vjetër dhe harroni të kontrolloni numrin e rishikimit. Ai është më i gjatë se të tjerët. Se çfarë do të ndodhë më pas, e keni parë tashmë. Prandaj, unë rekomandoj të mos e përdorni këtë protokoll. Sidomos në rrjetet e korporatave të mëdha. Nëse jeni duke përdorur versionin 3 të VTP, atëherë mos ngurroni të vendosni çelsat në modalitetin "Off". Nëse përdoret versioni i dytë, atëherë kaloni në modalitetin "Transparent". Shto etiketa
Sot do të filloj një seri të vogël artikujsh rreth VLAN-ve. Le të fillojmë me atë se çfarë është, për çfarë shërben, si ta konfigurojmë dhe më pas do të thellohemi dhe gradualisht do të studiojmë, nëse jo të gjitha, atëherë mbi të gjitha mundësitë që na ofrojnë VLAN-të.
Pra, mbani mend, ne folëm për një koncept të tillë si? Unë mendoj se ju kujtohet. Ne folëm gjithashtu për faktin se ekzistojnë disa lloje adresash:.
Bazuar në këtë, ne do të bëjmë një koncept tjetër hyrës. domeni i transmetimit. Çfarë është ai në të vërtetë?
Nëse një kornizë/paketë dërgohet, transmetohet (nëse është kornizë, atëherë fusha Adresa e Destinacionit, të gjithë bitët janë të barabartë me një, ose në formën e 16-të adresa MAC do të jetë e barabartë me: FF FF FF FF FF FF), atëherë ky kuadër do të përcillet në të gjitha portat e switch-it, përveç nga ku është marrë korniza. Kjo do të ndodhë kur, për shembull, ndërprerësi ynë nuk menaxhohet, ose nëse menaxhohet, por të gjithë janë në të njëjtin VLAN (më shumë për këtë më vonë).
Këtu është një listë e pajisjeve që marrin këto korniza transmetimi dhe quhen domeni i transmetimit.
Tani le të vendosim se çfarë është VLAN?
VLAN - Virtual Local Area Network, d.m.th. disa rrjete virtuale. Për çfarë është?
VLAN na lejon të ndajmë domenet e transmetimit në të njëjtin ndërprerës. ato. nëse kemi një switch, do t'i caktojmë disa porte njërit VLAN, tjetrin në një tjetër. Dhe ne do të kemi dy fusha të ndryshme transmetimi. Natyrisht, mundësitë nuk kufizohen me kaq. Unë do të flas për to më tej, të gjitha gradualisht.
Shkurtimisht, VLAN lejon administratorin të krijojë në mënyrë më fleksibël një rrjet duke e ndarë atë në disa nënrrjeta (për shembull, një rrjet kontabilistësh, një rrjet menaxherësh etj.), me fjalë të tjera, VLAN ndihmon në kombinimin e pajisjeve me disa të zakonshme grup kërkesash në një grup të vetëm dhe për ta ndarë atë nga grupe të tjera të ngjashme të izoluara.
Do të bëj një rezervim menjëherë që VLAN-të punojnë në nivelin OSI Layer 2.
Kujtojmë që kur morëm parasysh kornizën, nuk kishte asnjë fushë për VLAN atje. Atëherë, si të përcaktohet se cilit VLAN i përket ky apo ai kornizë?
Ka disa standarde.
1. IEEE 802.1Q - Ky standard është i hapur. Ky standard shënon një kornizë të veçantë që është "bashkangjitur" me disa VLAN me etiketim.
Etiketimi është një funksion i switch-it (ose çdo pajisje tjetër që "kupton" VLAN), i cili fut një etiketë 4-bajtë në kornizën e ethernetit. Procedura e etiketimit nuk ndryshon të dhënat e kokës, kështu që pajisjet që nuk mbështesin teknologjinë VLAN mund ta përcjellin lehtësisht një kornizë të tillë më tej përmes rrjetit, duke mbajtur etiketën.
Kështu do të duket korniza pas futjes së etiketës VLAN.
Bazuar në figurën e tyre, shohim se etiketa VLAN përbëhet nga 4 fusha, ne do t'i përshkruajmë ato:
- 2 bajt Identifikuesi i Protokollit të Etiketës (TPID) - ky është identifikuesi i protokollit, në rastin tonë është 802.1Q, në formën e 16-të kjo fushë do të duket si: 0x8100.
- Prioriteti - një fushë për vendosjen e përparësisë sipas standardit 802.1p (për të në artikujt vijues). Madhësia e kësaj fushe është 3 bit (8 vlera 0-7).
- Treguesi i Formatit Kanonik (CFI). Treguesi i formatit kanonik, madhësia e kësaj fushe është 1 bit. Kjo fushë tregon formatin e adresës mac (1 është kononik, 0 nuk është kanonik.)
- VLAN ID, në fakt, kjo është ajo që ne jemi këtu për sot 🙂 VLAN ID. Madhësia e fushës është 12 bit, mund të marrë një vlerë nga 0 në 4095.
Kur përdorni VLAN (tagging) sipas standardit 802.1Q, bëhen ndryshime në kornizë, prandaj është e nevojshme të rillogaritet vlera FCS, e cila në fakt bëhet nga çelësi.
Standardi 802.1Q ka një gjë të tillë si Native VLAN, si parazgjedhje Native VLAN ID është e barabartë me një (mund të ndryshohet), Native VLAN karakterizohet nga fakti se ky VLAN nuk është etiketuar.
2. Inter-switch-link (ISL). Një protokoll i zhvilluar nga Cisco dhe mund të përdoret vetëm në pajisjet e veta.
Ky protokoll u zhvillua përpara miratimit të 802.1Q.
Aktualisht, ISL nuk mbështetet më në pajisje më të reja, por ju mund të hasni ende protokollin në veprim, kështu që ne duhet të njihemi me të.
Ndryshe nga 802.1Q, ku u krye një etiketim i thjeshtë i kornizës (duke futur 4 bajt brenda kornizës), këtu përdoret teknologjia e kapsulimit, domethënë shtohet një kokë që përmban informacione rreth VLAN. VLAN ISL, ndryshe nga 802.1Q, mbështet deri në 1000 VLAN.
Konsideroni kornizën në një formë grafike, si duket ky kapsulim.
Këtu mund të shohim menjëherë pengesën e parë dhe ndoshta më themelore të ISL - kjo është një rritje e kornizës me 30 bajte (26 bajte kokë dhe 4 bajte FCS).
Le të shqyrtojmë më në detaje titullin ISL, le të shohim se çfarë ruhet atje në kaq shumë bajt!
- Adresa e Destinacionit (DA) - adresa e marrësit, këtu tregohet një adresë speciale multicast, e cila tregon se korniza është e kapsuluar duke përdorur ISL. Adresa multicast mund të jetë 0x01-00-0C-00-00 ose 0x03-00-0c-00-00.
- Lloji - gjatësia e fushës 4 bit, tregon protokollin që është i kapsuluar në kornizë. Mund të marrë shumë vlera:
0000 Ethernet
0001 - Unaza simbolike
0010 - FDDI
0011-ATM
Në rastin tonë, meqenëse po shqyrtojmë Ethernet, kjo vlerë do të jetë e barabartë me të gjitha 0.
- USER - një lloj analogu "i shkurtuar" i fushës Prioritet në 802.1Q, përdoret për të vendosur prioritetin e kornizës. Megjithëse fusha merr 4 bit, ajo mund të marrë 4 vlera (në 802.1Q - 8).
- Adresa e burimit (SA) - adresa e burimit, ky vend zëvendësohet me vlerën e adresës MAC të portit nga i cili është dërguar kjo kornizë e kapsuluar.
- LEN është gjatësia e kornizës. Ai nuk merr parasysh fusha të tilla si: DA, LLOJI, PËRDORIMI, SA, LEN, FCS. Kështu, rezulton se kjo vlerë është e barabartë me kornizën e kapsuluar - 18 bajt.
- AAAA03 (SNAP) - SNAP dhe LLC (Kjo fushë përmban vlerën AAAA03).
- HSA - Bit të larta të Adresës së Burimit - 3 bajtë të lartë të adresës MAC (mos harroni se këto bajtë përmbajnë kodin e prodhuesit), për Cisco kjo është 00-00-0C
- VLAN - më në fund arrita në fushën kryesore. ID-ja e VLAN-it është specifikuar në të vërtetë këtu. Fusha ka një madhësi prej 15 bitësh.
- BPDU - Njësia e të dhënave të Protokollit të Urës dhe Protokolli i Zbulimit Cisco. Fusha për protokollet BPDU dhe CDP. Çfarë është dhe pse, do të njihemi në artikujt në vijim.
- INDX - Indeksi, tregohet indeksi i portit të dërguesit, i përdorur për qëllime diagnostikuese.
- RES - Rezervuar për Unazën Token dhe FDDI. Fusha rezervë për Unazën Token dhe FDDI. Fusha ka 16 bit. Nëse përdoret protokolli ethernet, atëherë të gjitha zerat vendosen në këtë fushë.
- Korniza e Encapsulated është një kornizë e rregullt që ka qenë e kapsuluar. Ky kuadër ka fushat e veta, si DA, SA, LEN, FCS, e kështu me radhë.
- FCS - vetë ISL FCS (meqenëse korniza është ndryshuar plotësisht, nevojitet një kontroll i ri i kornizës, 4 bajtet e fundit janë për këtë).
Mund të nxjerrim disa përfundime në favor të 802.1Q.
- Etiketimi shton vetëm 4 byte në kornizë, ndryshe nga ISL (30 bytes).
- 802.1Q mbështetet në çdo pajisje që mbështet VLAN, ndërsa ISL funksionon vetëm në pajisjet Cisco, dhe jo të gjitha.
Në këtë artikull, ne u njohëm shkurtimisht me konceptin e VLAN. Më tej, ne do të kuptojmë detajet.
VLAN (Virtual Local Area Network, virtual local area network) është një funksion në ruterë dhe ndërprerës që ju lejon të krijoni disa rrjete lokale virtuale në një ndërfaqe fizike të rrjetit (Ethernet, ndërfaqe Wi-Fi).
Një VLAN është pjesë e një LAN më të madh. Mekanizmi më i thjeshtë për izolimin e nënrrjetave të ndryshme në ndërfaqet What is Ethernet, WI-FI. Për të organizuar një VLAN, një ndërprerës rrjeti (Si të zgjidhni një ndërprerës rrjeti (ndërprerës, ndërprerës, ndërprerës në anglisht)) duhet të mbështesë teknologjinë VLAN dhe protokollin 802.1q.
Përfitimet e VLAN:
rrit numrin e domeneve të transmetimit, por zvogëlon madhësinë e çdo domeni transmetimi, i cili nga ana tjetër redukton trafikun e rrjetit dhe rrit sigurinë e rrjetit (të dy efektet janë të lidhura së bashku për shkak të një domeni të vetëm të madh transmetimi);
zvogëlon përpjekjet e administratorëve për të krijuar nënrrjeta;
zvogëlon sasinë e pajisjeve, pasi rrjetet mund të ndahen logjikisht dhe jo fizikisht;
përmirëson menaxhimin e llojeve të ndryshme të trafikut.
Kushtet VLAN
Çfarë është Native VLAN - ky është një koncept në standardin 802.1Q, i cili tregon një VLAN në çelës, ku të gjitha kornizat shkojnë pa etiketë, d.m.th. trafiku transmetohet pa etiketë. Si parazgjedhje, ky është VLAN 1. Në disa modele switch, si cisco, kjo mund të ndryshohet duke specifikuar një VLAN të ndryshëm si vendas.
Afati pa etiketë: vetëm një VLAN mund të marrë të gjitha paketat që nuk janë caktuar për asnjë VLAN (në terminologjinë e 3Com, Planet, Zyxel - pa etiketë, në terminologjinë Cisco - VLAN amtare). Çelësi do të shtojë etiketa të këtij VLAN në të gjitha kornizat e marra që nuk kanë asnjë etiketë.
Trungu VLAN është një kanal fizik mbi të cilin transmetohen disa kanale VLAN, të cilat dallohen nga etiketat (etiketat e shtuara në paketa). Trunk-et zakonisht krijohen midis "porteve të etiketuara" të pajisjeve VLAN: një ndërprerës ose një ruter ndërprerës. (Në dokumentet e Cisco-s, termi "trunk" përdoret gjithashtu për t'iu referuar kombinimit të disa lidhjeve fizike në një lidhje logjike: Agregatimi i lidhjeve, Trunkimi i portit). Ruteri (switch i shtresës 3) vepron si shtylla kurrizore e rrjetit (backbone) për trafikun e rrjetit të VLAN-ve të ndryshëm.
Për ta thënë thjesht, vlan është një kanal logjik brenda një kanali fizik (kabllo), dhe trunk është një grup kanalesh logjike (vlans) brenda një kanali fizik (kabllo).
VLAN-et mund të përcaktohen nga:
Porto (përdorimi më i zakonshëm). VLAN-et e bazuara në një numër porti ju lejojnë të identifikoni një port specifik në një VLAN. Portat mund të përcaktohen individualisht, sipas grupeve, sipas rreshtave të tëra, madje edhe nëpër ndërprerës përmes një protokolli trunk. Kjo është metoda më e thjeshtë dhe më e përdorur për përcaktimin e VLAN-ve. Ky është përdorimi më i zakonshëm i zbatimit të VLAN të bazuar në port, kur stacionet e punës përdorin Protokollin e Konfigurimit Dinamik TCP/IP (DHCP). Më poshtë është një vizatim VLAN i bazuar në port:
Adresa MAC - adresa (shumë e rrallë). VLAN-et e bazuara në adresat MAC i lejojnë përdoruesit të jenë në të njëjtin VLAN edhe nëse përdoruesi lëviz nga një vend në tjetrin. Kjo metodë kërkon që administratori të përcaktojë adresën MAC të secilit stacion pune dhe më pas ta fusë këtë informacion në Switch. Kjo metodë mund të jetë shumë e vështirë për t'u zgjidhur nëse përdoruesi ka ndryshuar adresën MAC. Çdo ndryshim në konfigurim duhet të miratohet nga administratori i rrjetit, gjë që mund të shkaktojë vonesa administrative.
ID e përdoruesit (shumë e rrallë)
VLAN Linux dhe D-Link DGS-1100-08P
Vendosja e DGS-1100-08P. Le të lidhemi me të në portin e parë. Le t'i caktojmë IP 10.90.91.2. Le të krijojmë 3 VLAN: vlan1 (porti 1 (etiketuar)) për përdorim zyrtar, domethënë vetëm për konfigurimin e çelësit, vlan22 (porti 1 (i shënuar); portet 2,3,4 (të pa etiketuar)), vlan35 (porti 1 (të shënuara); portet 5,6 (të paetiketuara)). Portat 7,8 nuk përdoren dhe çaktivizohen nëpërmjet menysë "Cilësimet e portit" (Shpejtësia: e çaktivizuar). 
Ne tregojmë se në të ardhmen D-Link DGS-1100-08P (IP 10.90.91.2) mund të menaxhohet vetëm përmes vlan1, domethënë, në rastin tonë, administratori i sistemit duhet të lidhet me portin e parë të DGS-1100-08P ( Kur lidheni me një port tjetër - çelësi nuk do të lejojë hyrjen në 10.90.91.2).
Ne shikojmë parametrat e vlan-it të krijuar në skedarët ls -l / proc/ net/ vlan/ total 0 -rw------- 1 rrënjë rrënjë 0 Gusht 17 15:06 config -rw----- -- 1 rrënjë rrënjë 0 gusht 17 15:06 vlan1 -rw------- 1 rrënjë rrënjë 0 gusht 17 15:06 vlan22
Krijimi i një vlan përmes vconfig dhe ngarkimi automatik përmes /etc/network/interfaces nuk funksionoi, kështu që ne krijojmë një skedar fillestar dhe e shtojmë atë në ngarkimin automatik të serverit. vlan_create.sh #!/bin/sh -e ip link shto lidhjen eth4 emri vlan22 lloji vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up
Krijoni një VLAN të quajtur vlan22 të lidhur në portën e kartës së rrjetit eth4. Le t'i caktojmë IP: 192.168.122.254. ip link shto lidhjen eth4 emri vlan22 lloji vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up
Shërbimi vlan vetëm për konfigurimin e çelësit:
lidhjen ip shtoni lidhjen eth4 emri vlan44 lloji vlan id 1 ip addr shtoni 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 lartTeknologjia VLAN ju lejon të ndani rrjetin në segmente logjike. Secili segment i tillë logjik ka domenin e vet të transmetimit. Trafiku Unicast, Broadcast dhe Multicast transmetohet vetëm ndërmjet pajisjeve të përfshira në të njëjtin VLAN. VLAN përdoret shpesh për të ndarë segmentet e rrjetit IP, i ndjekur nga rrugëtimi dhe filtrimi i trafikut midis VLAN-ve të ndryshëm në një ruter ose në një ndërprerës L3.
Si të konfiguroni VLAN në një ruter Cisco mund të gjendet në artikullin Cisco VLAN - konfigurimi i vlan në një ruter Cisco. Këtu do të flasim për konfigurimin e VLAN në çelsat Cisco Catalyst.
Përpara se të konfiguroni VLAN-in në çelës, duhet të vendosni nëse rrjeti do të përdorë VTP (VLAN Trunking Protocol) apo jo. Përdorimi i VTP lehtëson menaxhimin (krijimin, fshirjen, riemërtimin) e VLAN-ve në rrjet. Në rastin e VTP, një ndryshim (informacioni VLAN) mund të bëhet në mënyrë qendrore, në një ndërprerës, dhe këto ndryshime do të përhapen në ndërprerës të tjerë në rrjet. Nëse nuk përdorni VTP, atëherë duhet të bëhen ndryshime në çdo ndërprerës.
VTP imponon kufizimet e tij: VTP versionet 1 dhe 2 mbështesin vetëm gamën bazë VLAN (1 deri në 1005), mbështetja për intervalin e zgjeruar (1006 deri në 4094) është e mundur vetëm në versionin 3 të protokollit. Mbështetja për versionin 3 të protokollit VTP fillon me Cisco IOS versioni 12.2 (52) SE dhe më lart. Ne do të shqyrtojmë vendosjen e protokollit VTP në një artikull tjetër, por në këtë do të supozojmë se nuk po përdorim VTP.
Konfigurimi VLAN në çelës mund të ndahet në tre faza: krijimi i një VLAN, konfigurimi i porteve, kontrollimi.
1. Krijoni një VLAN në Cisco Catalyst
Numrat VLAN (VLAN ID) mund të variojnë nga 1 në 4094:
1 - 1005 diapazoni bazë (varg normal)
1002 - 1005 rezervuar për Token Ring dhe FDDI VLAN
1006 - 4094 diapazoni i zgjeruar
Kur krijoni ose redaktoni një VLAN, mund të vendosni opsionet e mëposhtme:
| ID VLAN | Numri VLAN |
| Emri VLAN ( emri) | Emri VLAN |
| Lloji VLAN ( media) | Lloji VLAN (Ethernet, Ndërfaqja e të Dhënave të Shpërndara me Fibra, Titulli i njësisë së Rrjetit FDDI, TrBRF ose TrCRF, Unaza Token, Ring-Net Token) |
| Gjendja VLAN ( shteti) | Statusi VLAN (aktiv ose i pezulluar) |
| VLAN MTU( mtu) | Madhësia maksimale e një blloku të dhënash që mund të transmetohet në shtresën e lidhjes së të dhënave |
| tha ( tha) | Identifikuesi i Shoqatës së Sigurisë - identifikuesi i shoqatës së sigurisë (standard IEEE 802.10) |
| SPAN në distancë ( hapësirë e largët) | Krijimi i një VLAN për monitorimin në distancë të trafikut (Në të ardhmen, në një VLAN të tillë, ju mund të pasqyroni trafikun nga çdo port dhe ta dërgoni atë përmes trungut në një ndërprerës tjetër, në të cilin trafiku nga ky VLAN dërgohet në portin e dëshiruar me një sniffer të lidhur ) |
| Numri i identifikimit të urës për TrBRF VLAN ( urë) | Identifikuesi i numrit të urës për funksionin TrBRF (Funksioni i Stafetës së Urës së Unazës Token). Qëllimi i funksionit është të krijojë një urë unazash. |
| Numri i ziles për FDDI dhe TrCRF VLAN ( unazë) | Numri i ziles për llojet VLAN FDDI dhe TrCRF (funksionet rele të përqendrimit të Unazës Token). TrCRF quhen unaza që përfshihen në urë. |
| Numri VLAN prind për TrCRF VLAN ( prind) | Numri VLAN prind për llojin VLAN FDDI ose Unazën Token |
| Lloji spanning Tree Protocol (STP) për TrCRF VLAN ( lloji stp) | Lloji spanning Tree Protocol (STP) për tipin VLAN TrCRF |
| VLAN përkthimor numër 1 ( tb-vlan1) | Numri VLAN për konvertimin fillestar nga një lloj VLAN në tjetrin |
| VLAN përkthimor numër 2 ( tb-vlan2) | Numri VLAN për t'u rimarrë nga një lloj VLAN në tjetrin |
Në praktikë, më shpesh, kur krijoni një VLAN, vendosen vetëm ID VLAN dhe emri VLAN.
Vlerat e paracaktuara:
Për të krijuar një VLAN ju duhet:
1. Futni modalitetin e privilegjuar dhe futni fjalëkalimin e kërkuar (komandën " mundësojnë«)
Sw1> sw1>aktivizo fjalëkalimin: sw1#
2. Kalo në modalitetin e konfigurimit global (komandë " konfiguroni terminalin«)
Sw1# sw1#configure terminal Futni komandat e konfigurimit, një për rresht. Përfundoni me CNTL/Z. sw1 (konfigurim)#
3. Krijoni një VLAN me komandën " vlan id ", ku id - Numri VLAN (Pas krijimit, tastiera do të hyjë në modalitetin e konfigurimit VLAN, ku mund të vendosni parametrat e listuar më sipër për VLAN)
sw1(config)# sw1(config)#vlan 200 sw1(config-vlan)#
4. Vendosni parametrat e nevojshëm për VLAN-in e krijuar (për shembull, emri)
Sw1(config-vlan)# sw1(config-vlan)#emri TESTVLAN sw1(config-vlan)#
Nëse, në modalitetin e konfigurimit VLAN, vendosni një pikëpyetje, atëherë do të shfaqen parametrat që mund të vendosen për këtë VLAN:
Sw1(config-vlan)#? Komandat e konfigurimit VLAN: janë numri maksimal i hop-eve të të gjithë Route Explorer për këtë VLAN (ose zero nëse nuk specifikohet asnjë) Rezervimicrf Modaliteti CRF rezervë i urës VLAN Karakteristika urëzuese e daljes VLAN Zbato ndryshimet, numrin e rishikimit të përplasjes dhe median e modalitetit të daljes Lloji i medias VLAN mtu VLAN Emri i njësisë maksimale të transmetimit Emri Ascii i VLAN-it nuk ka Negato një komandë ose cakto numrin e ID-së së prindit të paracaktuar të VLAN-it prind të FDDI ose tipit të Unazës Token VLANs private-vlan Konfiguro një VLAN privat në distancë Konfiguro si Remote SPAN VLAN Numri i unazës së VLAN-ve të tipit FDDI ose Token Ring të thënë IEEE 802.10 SAID shutdown Shutdown Gjendja e ndërrimit VLAN Gjendja operative e VLAN ste Numri maksimal i kërcimeve të Spenning Tree Explorer për këtë VLAN (ose zero nëse nuk specifikohet asnjë) stp Karakteristika të pemës që përfshin VLAN tb -vlan1 numri ID i VLAN-it të parë përkthimor për këtë VLAN (ose zero nëse asnjë) tb-vlan2 Numri ID i VLAN-it të dytë përkthimor për këtë VLAN (ose zero nëse nuk ka)
5. Dilni nga mënyra e konfigurimit vlan (komandë " dalje"ose" fund" - dilni nga modaliteti i konfigurimit global)
Sw1(config-vlan)# sw1(config-vlan)#fund sw1#
Mos harroni të ruani konfigurimin me komandën " kopjoni running-config startup-config» në modalitetin e privilegjuar
Sw1# sw1#copy running-config startup-config Emri i skedarit të destinacionit ? konfigurimi i ndërtesës...
Ju mund të fshini një VLAN me komandën " pa vlan id » në modalitetin e konfigurimit global:
sw1(config)# sw1(config)#no vlan 200 sw1(config)#
2. Konfigurimi i porteve në katalizatorin Cisco
Një port në një ndërprerës Cisco mund të jetë në një nga mënyrat e mëposhtme:
akses- porta është menduar për lidhjen e një pajisjeje terminale. I përket vetëm një VLAN. Trafiku në hyrje nga një pajisje e lidhur me portin është etiketuar me VLAN-in e specifikuar në portë.
trungu- porti është menduar për t'u lidhur me një ndërprerës ose ruter tjetër. Porti transmeton trafikun e etiketuar. Ai mund të transmetojë trafikun e një dhe disa VLAN-ve përmes një kablloje fizike.
Në Cisco Catalyst, mund të vendosni vetë modalitetin e portit (trunk ose akses) ose të vendosni zbulimin automatik. Me zbulimin automatik të modalitetit, porti do të negociohet me një fqinj (një ndërprerës ose pajisje tjetër e lidhur me këtë port). Negocimi i modalitetit të portit ndodh duke transmetuar korniza DTP (Dynamic Trunking Protocol). Që protokolli DTP të funksionojë me sukses, është e nevojshme që ndërfaqet të jenë në të njëjtin domen VTP (secili nga domenet VTP ishte i pavlefshëm, i pasaktë)
Zbulimi automatik i modalitetit të portit vendoset nga komanda " modaliteti i kalimit automatik dinamik' ose '' në modalitetin e konfigurimit të ndërfaqes.
modaliteti i kalimit automatik dinamiktrungu" ose " dinamike e dëshirueshme«
Nëse ndërfaqja është vendosur në " modaliteti dinamik i portit të ndërprerës është i dëshirueshëm" - atëherë porti kalon në modalitetin e trungut vetëm nëse porti i çelësit fqinj është vendosur në " trungu"ose" dinamike e dëshirueshme"ose" dinamike auto«
Jo të gjitha pajisjet mbështesin DTP, ose ato mund të transmetojnë gabimisht kornizat DTP, në këtë rast është më mirë të vendosni modalitetin (qasjen ose trungun) me forcë me komandat " qasja në modalitetin e kalimit"ose" trungu i modalitetit të kalimit» në modalitetin e konfigurimit të ndërfaqes dhe çaktivizoni transmetimin e kornizave DTP me komandën « switchport pa negociuar«.
Konfigurimi i parazgjedhur i portit:
Vendosja e portit për të zbuluar automatikisht.
Veprimet:
mundësojnë«)
konfiguroni terminalin«)
ndërfaqe ndërfaqe-id ", ku ndërfaqe-id - emri dhe numri i ndërfaqes, për shembull "interface GigabitEthernet0/21"
— vendosni modalitetin dinamik të portit/ndërfaqes (komandë: " modaliteti i kalimit automatik dinamik"ose" modaliteti dinamik i portit të ndërprerës është i dëshirueshëm«)
- (opsionale) vendosni VLAN-in që do të jetë në ndërfaqe nëse porti kalon nga modaliteti trunk në modalitetin e aksesit, si parazgjedhje VLAN 1 (komandë: " vlan aksesi i kalimit vlan-id ", ku vlan-id - Numri VLAN)
- (opsionale) vendos Native VLAN, për trunkun IEEE 802.1q, Native VLAN 1 si parazgjedhje (komandë: " kalimi trunk amtare vlan vlan-id ", ku vlan-id - Numri VLAN vendas)
— shtoni/hiqni VLAN në trunk, si parazgjedhje lejohen të gjithë numrat VLAN (komandat: " trunk kalues lejohet vlan add listën vlan » - shtoni në trunk VLAN-et e listuara në Lista vlan, « porta e kalimit lejohet vlan hiq listën vlan » - hiqni VLAN-et nga trungu, të listuara në Lista vlan, në listën vlan vlan-et renditen të ndara me presje pa hapësira dhe vargjet ndahen me vizë, për shembull 2,20,30-40,50 ). Mund të vendosni menjëherë listën e VLAN-ve të kërkuara (komandë: " trunk kalimtar lejohet vlan listën vlan «)
asnjë mbyllje«)
dalje"ose" fund»)
Sw1#configure terminal Futni komandat e konfigurimit, një për rresht. Përfundoni me CNTL/Z. sw1(config)#interface gigabitEthernet 0/23 sw1(config-if)#switchport mode dinamike e dëshirueshme sw1(config-if)#switchport akses vlan 50 sw1(config-if)#switchport trunk native vlan 100 sw1)(config-if)(config-if) #switchport trunk i lejuar vlan 2.30-35.40 sw1(config-if)#no shutdown sw1(config-if)#fund sw1#
Në këtë shembull, porti 23 do të vendoset në modalitetin trunk nëse porti në çelësin fqinj është vendosur në automatik dinamike ose dinamike të pazbatueshme ose trunk . Vetëm VLAN 2, VLAN 30 deri në 35 dhe VLAN 40 do të transmetohen në trunk. aksesi, më pas ndërfaqja do të vendoset në VLAN 50.
Qasja në cilësimin e portit.
VLAN në portën e hyrjes mund të vendoset në mënyrë statike ose automatike. Caktimi automatik VLAN bazohet në adresën MAC të burimit duke përdorur VQP (VLAN Query Protocol) dhe VMPS (VLAN Management Policy Server). Vetëm ndërprerësit e modeleve të vjetra, si seritë Catalyst 4000, 5000 dhe 6500, mund të veprojnë si server VMPS. Ne nuk do të shqyrtojmë konfigurimin automatik të një porti aksesi përmes VQP në këtë artikull. Këtu do të shfaqet vetëm cilësimi statik VLAN në portën e hyrjes.
Për të përfshirë portin e aksesit në VLAN-in e kërkuar, duhet të bëni:
- futni modalitetin e privilegjuar (komandë: " mundësojnë«)
— futni modalitetin e konfigurimit global (komandë: " konfiguroni terminalin«)
— futni modalitetin e konfigurimit të ndërfaqes së rrjetit (komandë: " ndërfaqe ndërfaqe-id ", ku ndërfaqe-id - emri dhe numri i ndërfaqes)
— vendosni modalitetin e portit/ndërfaqes "akses" (komandë: " qasja në modalitetin e kalimit«)
— vendosni VLAN në portë/ndërfaqe (komandë: " vlan aksesi i kalimit vlan-id ", ku vlan-id - Numri VLAN)
— aktivizoni portin/ndërfaqen (komandë: " asnjë mbyllje«)
— dilni nga modaliteti i konfigurimit të ndërfaqes (komandë: " dalje"ose" fund»)
Lëreni një server të lidhet me portin e 22-të të switch-it, i cili duhet të vendoset në VLAN-in e 200-të
Cilësimi i portit:
Sw1> sw1>aktivizo Fjalëkalimin: sw1# sw1#configure terminal Fut komandat e konfigurimit, një për rresht. Përfundoni me CNTL/Z. sw1(config)#interface GigabitEthernet0/22 sw1(config-if)#switchport akses mode sw1(config-if)#switchport access vlan 200 sw1(config-if)#no shutdown sw1(config-if)#exit sw1(con )#dalje sw1#
Konfigurimi i portit të trungut.
Konfigurimi i portit në modalitetin trunk është identik me konfigurimin e portit në modalitetin e zbulimit automatik, përveç se modaliteti duhet të specifikohet jo dinamik, por trunk.
Sw6# sw6#configure terminal Futni komandat e konfigurimit, një për rresht. Përfundoni me CNTL/Z. sw6(config)#interface gigabitEthernet 0/23 sw6(config-if)#switchport mode trunk sw6(config-if)#switchport trunk lejohet vlan 2.30-35.40 sw6(config-if)#no shutdown sw6)(config -if fundi sw6#
Në shembull, një trunk është vendosur në portin e 23-të, vetëm VLAN 2, VLAN 30 deri në 35 dhe VLAN 40 lejohen në trunk.
Shtimi i një VLAN në një port trunk kryhet nga komanda: " trunk kalues lejohet vlan addVLAN_NUM«
Një shembull i shtimit të vlans 100 dhe 200 në ato ekzistuese, në portin trunk 23:
Sw6# sw6#configure terminal Futni komandat e konfigurimit, një për rresht. Përfundoni me CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk lejuar vlan shtoni 100200 sw6(config-if)# sw6(config-if)#end sw6#
Heqja e një VLAN nga një port trunk kryhet nga komanda: " porta e kalimit lejohet vlan hiqVLAN_NUM«
Një shembull i fshirjes së vlans 100 dhe 200 nga ato ekzistuese, në portin trunk 23:
Sw6# sw6#configure terminal Futni komandat e konfigurimit, një për rresht. Përfundoni me CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk lejuar vlan hiq 100200 sw6(config-if)# sw6(config-if)#end sw6#
Disa ndërprerës cisco mbështesin dy protokolle për të punuar me VLAN: IEEE 802.1q dhe ISL. Protokolli ISL është tashmë i vjetëruar dhe nuk mbështetet në shumë ndërprerës moderne. Prandaj, preferohet përdorimi i protokollit IEEE 802.1q
Në çelsat e tillë, përpara se të konfiguroni portin në modalitetin e trungut, duhet të zgjidhni llojin e kapsulimit dot1q (komandë: " kapsulimi i trungut të portit të ndërprerës dot1q» në modalitetin e konfigurimit të ndërfaqes)
3. Kontrolloni cilësimin VLAN
Shikoni informacionin rreth protokollit VTP: « shfaq statusin vtp«
Trego informacione për të gjitha VLAN-et në çelës: " tregojnë vlan«
Shikoni informacionin për një VLAN specifik dhe zbuloni se në cilat porta është: " tregoni vlan id vlan-id «
Shikoni mënyrën e funksionimit të portit, vlanin vendas, hyrjen në vlan, etj.: " shfaqin ndërfaqet ndërfaqe-id porta e ndërrimit«
Ndonjëherë, është e nevojshme të krijohet një ndërfaqe e shtresës 3 për një VLAN në çelës. Për shembull, për kursimin dhe filtrimin e trafikut IP midis VLAN-ve të ndryshëm (duhet të ketë mbështetje për nivelin L3 si nga vetë modeli i switch-it ashtu edhe nga versioni IOS). Ose thjesht krijoni një ndërfaqe për të menaxhuar këtë ndërprerës në një VLAN të veçantë.
Ndërfaqja e rrjetit për VLAN krijohet në modalitetin e konfigurimit global me komandën: " ndërfaqe vlan-id ", ku vlan-id është numri VLAN.
Një shembull i krijimit të një ndërfaqe L3 për VLAN 200.
