VLAN - Virtuaalinen lähiverkko. Johdanto

9) Reititys: staattinen ja dynaaminen käyttäen esimerkkiä RIP, OSPF ja EIGRP.
10) Verkko-osoitteen käännös: NAT ja PAT.
11) Ensimmäiset hypyn varausprotokollat: FHRP.
12) Tietokoneverkkojen turvallisuus ja virtuaaliset yksityisverkot: VPN.
13) Käytetyt maailmanlaajuiset verkot ja protokollat: PPP, HDLC, Frame Relay.
14) IPv6:n, konfiguroinnin ja reitityksen esittely.
15) Verkonhallinta ja verkon valvonta.

P.S. Ehkä lista laajenee ajan myötä.

Aiemmissa artikkeleissa olemme jo työskennelleet monien verkkolaitteiden kanssa, ymmärtäneet, kuinka ne eroavat toisistaan, ja katsoneet, mistä kehykset, paketit ja muut PDU:t koostuvat. Periaatteessa tällä tiedolla voit järjestää yksinkertaisen paikallisverkon ja työskennellä siinä. Mutta maailma ei pysy paikallaan. Yhä enemmän ilmestyy laitteita, jotka kuormittavat verkkoa tai mikä vielä pahempaa, luovat turvallisuusuhan. Ja yleensä "vaara" esiintyy ennen "turvallisuutta". Näytän tämän nyt hyvin yksinkertaisella esimerkillä.

Emme käsittele toistaiseksi reitittimiä ja erilaisia aliverkkoja. Oletetaan, että kaikki solmut ovat samassa aliverkossa.

Annan sinulle luettelon IP-osoitteista:

PC1 – 192.168.1.2/24
PC2 – 192.168.1.3/24
PC3 – 192.168.1.4/24
PC4 – 192.168.1.5/24
PC5 – 192.168.1.6/24
PC6 – 192.168.1.7/24

Meillä on 3 osastoa: osasto, kirjanpito, henkilöstöosasto. Jokaisella osastolla on oma kytkimensä ja ne on kytketty keskimmäisen yläosan kautta. Ja niin PC1 lähettää pingin PC2:lle.

Kuka haluaa nähdä tämän animaatiossa, avaa spoileri (se näyttää pingin PC1:stä PC5:een).

Verkkotoiminta yhdessä lähetysalueella

Kaunis eikö? Aiemmissa artikkeleissa olemme jo puhuneet useammin kuin kerran ARP-protokollan toiminnasta, mutta se oli viime vuonna, joten selitän lyhyesti. Koska PC1 ei tiedä PC2:n MAC-osoitetta (tai linkkikerroksen osoitetta), se lähettää ARP:n tiedustelulle, jotta se voi kertoa sen. Se tulee kytkimeen, josta se välitetään kaikkiin aktiivisiin portteihin eli PC2:een ja keskuskytkimeen. Keskuskytkimestä se lentää viereisiin kytkimiin ja niin edelleen, kunnes se tavoittaa kaikki. Tämä ei ole pieni määrä liikennettä, jonka yksi ARP-viesti aiheuttaa. Kaikki verkoston osallistujat saivat sen. Suuri ja tarpeeton liikenne on ensimmäinen ongelma. Toinen ongelma on turvallisuus. Luulen, että he huomasivat viestin saapuneen jopa kirjanpitoon, jonka tietokoneet eivät olleet mukana tässä ollenkaan. Jokaisella kytkimeen yhdistävällä hyökkääjällä on pääsy koko verkkoon. Periaatteessa verkot toimivat ennen näin. Tietokoneet sijaitsivat samassa kanavaympäristössä ja ne erotettiin toisistaan vain reitittimien avulla. Mutta aikaa kului ja tämä ongelma oli ratkaistava linkitasolla. Cisco keksi edelläkävijänä oman protokollansa, joka merkitsi kehykset ja määritti kuulumisen tiettyyn kanavaympäristöön. Sitä kutsuttiin ISL (kytkimien välinen linkki). Kaikki pitivät tästä ideasta, ja IEEE päätti kehittää samanlaisen avoimen standardin. Standardi nimettiin 802.1q. Se saavutti valtavan suosion ja myös Cisco päätti vaihtaa siihen.
Ja se on VLAN-tekniikka, joka perustuu 802.1q-protokollan toimintaan. Aloitetaan jo puhuminen hänestä.

Osassa 3 näytin miltä ethernet-kehys näyttää. Katso sitä ja virkistä muistiasi. Tältä näyttää merkitsemätön kehys.

Katsotaanpa nyt merkittyä.

Kuten näet, ero on se, että tietty Tag. Tästä olemme kiinnostuneita. Kaivetaan syvemmälle. Se koostuu 4 osasta.

1) TPID (Tag Protocol ID) tai Tagged Protocol Identifier- koostuu 2 tavusta ja VLAN-verkossa on aina 0x8100.
2) PCP (Priority Code Point) tai prioriteettiarvo- koostuu 3 bitistä. Käytetään liikenteen priorisoimiseen. Viileät ja parrakkaat järjestelmänvalvojat osaavat hallita sitä oikein ja käyttää sitä, kun verkossa on erilaista liikennettä (ääni, video, data jne.)
3) CFI (Canonical Format Indicator) tai kanonisen muodon ilmaisin- yksinkertainen kenttä, joka koostuu yhdestä bitistä. Jos se on 0, tämä on standardi MAC-osoitemuoto.
4) VID (englanninkielinen VLAN-tunnus) tai VLAN-tunniste- koostuu 12 bitistä ja näyttää missä VLANissa kehys sijaitsee.

Haluan kiinnittää huomion siihen, että kehysten merkitseminen suoritetaan verkkolaitteiden (kytkimet, reitittimet jne.) välillä, mutta kehyksiä ei merkitä päätesolmun (tietokone, kannettava tietokone) ja verkkolaitteen välillä. Siksi verkkolaitteen portti voi olla kahdessa tilassa: pääsy tai runko.

Pääsyportti tai pääsyportti- portti, joka sijaitsee tietyssä VLANissa ja lähettää merkitsemättömiä kehyksiä. Tyypillisesti tämä on portti, joka on käyttäjän laitetta kohti.
Runkoportti tai runkoportti- merkittyä liikennettä välittävä portti. Yleensä tämä portti nousee verkkolaitteiden välillä.

Näytän tämän nyt käytännössä. Avaan saman laboratorion. En toista kuvaa, mutta avaan heti kytkimen ja katson, mitä sillä on VLAN-verkon kanssa.

Olen rekrytoimassa tiimiä näytä vlan.

Useita pöytiä rivissä. Itse asiassa vain ensimmäinen on meille tärkeä. Nyt näytän sinulle, kuinka se luetaan.

1 sarake on VLAN-numero. Numero 1 on alun perin läsnä tässä - tämä on standardi VLAN, joka on aluksi jokaisessa kytkimessä. Se suorittaa toisen toiminnon, josta kirjoitan alla. Varattuja on myös 1002-1005. Tämä koskee muita kanavamediaa, joita ei todennäköisesti käytetä tänään. Et myöskään voi poistaa niitä.

Switch(config)#no vlan 1005 Oletus-VLAN 1005 ei voi olla poistettu.
Kun poistat, Cisco näyttää viestin, että tätä VLAN-verkkoa ei voi poistaa. Siksi elämme emmekä koske näihin neljään VLANiin.

2. sarake on VLAN-nimi. Kun luot VLAN-verkkoja, voit käyttää harkintasi keksiäksesi niille merkityksellisiä nimiä, jotta voit tunnistaa ne myöhemmin. Siellä on jo oletus, fddi-default, token-ring-default, fddinet-default, trnet-default.

3 sarake- Tila. Tämä näyttää, missä tilassa VLAN on. Tällä hetkellä VLAN 1 tai oletus on aktiivisessa tilassa, ja seuraavat 4 ovat aktiivisia / unsup (vaikka aktiivisia, niitä ei tueta).

4 sarake- portit. Tämä näyttää mihin VLAN-verkkoihin portit kuuluvat. Nyt kun emme ole vielä koskeneet mihinkään, ne ovat oletuksena.

Aloitetaan kytkimien asettaminen. On hyvä käytäntö antaa kytkimillesi merkitykselliset nimet. Niin me teemme. Tuon joukkueen.

Switch(config)#isäntänimi CentrSW CentrSW(config)#
Loput on määritetty samalla tavalla, joten näytän sinulle päivitetyn topologiakaavion.

Aloitetaan asettaminen kytkimellä SW1. Luodaan ensin VLAN kytkimeen.

SW1(config)#vlan 2 - luo VLAN 2 (VLAN 1 on oletuksena varattu, joten ota seuraava). SW1(config-vlan)#name Dir-ya - pääsemme VLAN-asetuksiin ja annamme sille nimen.
VLAN on luotu. Siirrytään nyt satamiin. FastEthernet0/1-liitäntä tarkastelee PC1:tä ja FastEthernet0/2 PC2:ta. Kuten aiemmin mainittiin, niiden väliset kehykset on lähetettävä merkitsemättöminä, joten siirretään ne Access-tilaan.

SW1(config)#interface fastEthernet 0/1 - siirry 1. portin määrittämiseen. SW1(config-if)#switchport mode access - vaihda portti käyttötilaan. SW1(config-if)#switchport access vlan 2 - määritä 2. VLAN portille. SW1(config)#interface fastEthernet 0/2 - siirry 2. portin asettamiseen. SW1(config-if)#switchport mode access - vaihda portti käyttötilaan. SW1(config-if)#switchport access vlan 2 - määritä 2. VLAN portille.
Koska molemmat portit on määritetty samalle VLAN:lle, ne voidaan silti määrittää ryhmäksi.

SW1(config)#interface range fastEthernet 0/1-2 - eli valitse pooli ja määritä se sitten. SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 2
Määritetyt pääsyportit. Määritetään nyt runko SW1:n ja CentrSW:n välille.

SW1(config)#interface fastEthernet 0/24 - siirry 24. portin määrittämiseen. SW1(config-if)#switchport mode trunk - vaihda portti runkotilaan. %LINEPROTO-5-UPDOWN: Lineprotokolla liitännässä FastEthernet0/24, tila muutettu alas %LINEPROTO-5-UPDOWN: Lineprotokolla liitännässä FastEthernet0/24, tila muutettu ylös
Näemme heti, että portti on määritetty uudelleen. Periaatteessa tämä riittää työhön. Mutta turvallisuusnäkökulmasta katsottuna vain ne VLAN-verkot, joita todella tarvitaan, tulisi sallia lähetykseen. Aloitetaan.

SW1(config-if)#switchport trunk sallittu vlan 2 - sallii vain 2. VLANin lähettämisen.
Ilman tätä komentoa kaikki käytettävissä olevat VLAN-verkot lähetetään. Katsotaan kuinka taulukko on muuttunut komennolla näytä vlan.

2. VLAN nimeltä Dir-ya on ilmestynyt ja näemme siihen kuuluvat portit fa0/1 ja fa0/2.

Jos haluat näyttää vain ylimmän taulukon, voit käyttää komentoa näytä vlan lyhyt.

Voit lyhentää lähtöä edelleen, jos määrität tietyn VLAN-tunnuksen.

Tai hänen nimensä.

Kaikki VLAN-tiedot tallennetaan vlan.dat-tiedoston flash-muistiin.

Kuten huomasit, mikään komennoista ei sisällä tietoa rungosta. Sen voi katsoa toinen joukkue näytä käyttöliittymät runko.

Täällä on tietoa runkoporteista ja siitä, mitä VLAN-verkkoja ne lähettävät. Täällä on myös kolumni Alkuperäinen vlan. Juuri tällaista liikennettä ei pitäisi merkitä. Jos kytkimeen saapuu merkitsemätön kehys, se liitetään automaattisesti alkuperäiseen Vlaniin (oletusarvoisesti ja meidän tapauksessamme tämä on VLAN 1). Alkuperäinen VLAN on mahdollista, mutta monet sanovat, että se on muutettava turvallisuussyistä. Tätä varten sinun on käytettävä runkoportin määritystilassa komentoa - switchport trunk natiivi vlan X, Missä X- osoitetun VLANin numero. Emme muuta tätä topologiaa, mutta on hyödyllistä tietää, miten se tehdään.

Jäljelle jää vain jäljellä olevien laitteiden konfigurointi.

CenterSW:
Keskuskytkin on yhteyslinkki, mikä tarkoittaa, että sen on tiedettävä kaikki VLAN-verkot. Siksi luomme ne ensin ja siirrämme sitten kaikki liitännät runkotilaan.

CentrSW(config)#vlan 2 CentrSW(config-vlan)# nimi Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# nimi buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# nimi otdel -kadrov CentrSW(config)#liitäntäalue fastEthernet 0/1-3 CentrSW(config-if-range)#switchport mode trunk
Älä unohda tallentaa asetuksia. Tiimi kopioi running-config startup-config.

SW2(config)#vlan 3 SW2(config-vlan)#name buhgalter SW2(config)#liitäntäalue fastEthernet 0/1-2 SW2(config-if-range)#switchport mode access SW2(config-if-range)# switchport access vlan 3 SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#switchport trunk sallittu vlan 3
SW3:

SW3(config)#vlan 4 SW3(config-vlan)#name otdel kadrov SW3(config)#interface range fastEthernet 0/1-2 SW3(config-if-range)#switchport mode access SW3(config-if-range) #switchport access vlan 4 SW3(config)#interface fastEthernet 0/24 SW3(config-if)#switchport mode trunk SW3(config-if)#switchport trunk sallittu vlan 4
Huomaa, että nostimme ja konfiguroimme VLANin, mutta jätimme solmujen osoitteet ennalleen. Toisin sanoen käytännössä kaikki solmut ovat samassa aliverkossa, mutta VLAN-verkoilla erotettuina. Et voi tehdä sitä. Jokaiselle VLAN:lle on määritettävä erillinen aliverkko. Tein tämän vain koulutustarkoituksiin. Jos kukin osasto istuisi omassa aliverkossaan, ne olisivat ennakolta rajoitettuja, koska kytkin ei osaa reitittää liikennettä aliverkosta toiseen (plus tämä on jo verkkotason rajoitus). Ja meidän on rajoitettava osastoja linkkitasolla.
Pingin PC1:stä PC3:een uudelleen.

ARP on käytössä, mitä tarvitsemme nyt. Avataan se.

Ei mitään uutta vielä. ARP on kapseloitu Ethernetiin.

Kehys saapuu kytkimeen ja on merkitty. Nyt ei ole tavallista ethernetiä, vaan 802.1q. Kentät, joista kirjoitin aiemmin, on lisätty. Tämä TPID, joka on yhtä suuri kuin 8100 ja osoittaa, että se on 802.1q. JA TCI, joka yhdistää 3 kenttää PCP, CFI ja VID. Tämän kentän numero on VLAN-numero. Siirrytään eteenpäin.

Tagin jälkeen se lähettää kehyksen PC2:lle (koska se on samassa VLANissa) ja keskuskytkimelle runkoportin kautta.

Koska ei ollut tarkasti määritelty, mitkä VLAN-tyypit kulkevat minkäkin portin kautta, se lähettää molempiin kytkimiin. Ja tässä kytkimet, nähtyään VLAN-numeron, ymmärtävät, että heillä ei ole laitteita, joissa on tällainen VLAN, ja hylkäävät sen rohkeasti.

PC1 odottaa vastausta, mutta sitä ei koskaan tule. Näet sen spoilerin alta animaation muodossa.

Animaatio

Nyt seuraava tilanne. Osastolle palkataan toinen henkilö, mutta viraston toimistoon ei ole tilaa ja heitä pyydetään väliaikaisesti sijoittamaan henkilö kirjanpitoon. Ratkaistaan tämä ongelma.

Kytkemme tietokoneen FastEthernet-porttiin 0/3 kytkimestä ja määritimme IP-osoitteeksi 192.168.1.8/24.
Nyt teen kytkimen asetukset SW2. Koska tietokoneen on oltava 2. VLAN:ssa, josta kytkin ei tiedä, luon sen kytkimeen.

SW2(config)#vlan 2 SW2(config-vlan)#name Dir-ya
Seuraavaksi määritämme FastEthernet 0/3 -portin, joka tarkastelee PC7:ää.

SW2(config)#interface fastEthernet 0/3 SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2
Ja viimeinen asia on runkoportin konfigurointi.

SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport trunk sallittu vlan add 2 - kiinnitä huomiota tähän komentoon. Nimittäin avainsana "lisää". Jos et lisää tätä sanaa, poistat kaikki muut VLAN-verkot, jotka ovat sallittuja tässä portissa. Siksi, jos sinulla oli jo runko nostettu porttiin ja muita VLAN-verkkoja lähetettiin, sinun on lisättävä se tällä tavalla.
Jotta kehykset virtaavat kauniisti, säädän keskuskytkintä CentrSW.

CentrSW(config)#liitäntä fastEthernet 0/1 CentrSW(config-if)#kytkinportin runko sallittu vlan 2 CentrSW(config)#interface fastEthernet 0/2 CentrSW(config-if)#switchport trunk sallittu vlan 2,3 CentrSW(config) #liitäntä fastEthernet 0/3 CentrSW(config-if)#switchport trunk sallittu vlan 4
Tarkista aika. Lähetän ping-sanoman PC1:ltä PC7:lle.

Toistaiseksi koko polku on samanlainen kuin edellinen. Mutta tästä hetkestä (alla olevasta kuvasta) keskuskytkin tekee toisenlaisen päätöksen. Hän vastaanottaa kehyksen ja näkee, että se on merkitty toisella VLAN:lla. Tämä tarkoittaa, että se tulee lähettää vain sinne, missä se on sallittu, eli porttiin fa0/2.

Ja nyt hän tulee SW2:een. Avaamme sen ja näemme, että se on edelleen merkitty. Mutta seuraava solmu on tietokone ja tunniste on poistettava. Napsauta "Lähtevät PDU-tiedot" nähdäksesi kuinka kehys poistuu kytkimestä.

Ja todellakin. Kytkin lähettää kehyksen "puhtaassa" muodossa, eli ilman tunnisteita.

ARP saavuttaa PC7:n. Avaamme sen ja varmistamme, että merkitsemätön kehys PC7 tunnistaa itsensä ja lähettää vastauksen.

Avaamme kytkimen kehyksen ja näemme, että se lähetetään merkittynä. Sitten kehys kulkee samaa reittiä kuin tuli.

ARP saavuttaa PC1:n, kuten kirjekuoressa oleva valintamerkki osoittaa. Nyt hän tietää MAC-osoitteen ja käyttää ICMP:tä.

Avaamme paketin kytkimestä ja näemme saman kuvan. Linkkikerroksessa kehys on merkitty kytkimellä. Tämä tapahtuu jokaisen viestin kanssa.

Näemme, että paketti saavuttaa onnistuneesti PC7:n. En näytä paluuta, koska se on samanlainen. Jos jotakuta kiinnostaa, voit nähdä koko polun alla olevan spoilerin alla olevasta animaatiosta. Ja jos haluat itse kaivaa tähän topologiaan, liitän linkin laboratorioon.

VLAN-toimintalogiikka

Tämä on periaatteessa VLAN-verkkojen suosituin käyttötapa. Fyysisestä sijainnista riippumatta voit loogisesti yhdistää solmut ryhmiin ja siten eristää ne muista. On erittäin kätevää, kun työntekijät työskentelevät fyysisesti eri paikoissa, mutta heidän on oltava yhtenäisiä. Ja tietenkään turvallisuuden näkökulmasta VLAN-verkot eivät ole keskenään vaihdettavissa. Pääasia, että rajatulla ihmisjoukolla on pääsy verkkolaitteisiin, mutta tämä on erillinen aihe.
Saavutimme rajoituksia linkkitasolla. Liikenne ei enää kulje minnekään, vaan menee tiukasti suunnitellusti. Mutta nyt herää kysymys, että osastojen täytyy kommunikoida keskenään. Ja koska ne ovat eri kanavaympäristöissä, reititys tulee mukaan. Mutta ennen kuin aloitamme, laitetaan topologia järjestykseen. Aivan ensimmäinen asia, johon laitamme kätemme, on solmujen osoitus. Toistan, että jokaisen osaston on oltava omassa aliverkossaan. Yhteensä saamme:

Osasto - 192.168.1.0/24
Kirjanpito - 192.168.2.0/24
HR-osasto - 192.168.3.0/24

Kun aliverkot on määritetty, osoitamme välittömästi solmut.

PC1:
IP: 192.168.1.2
Maski: 255.255.255.0 tai /24
Yhdyskäytävä: 192.168.1.1
PC2:
IP: 192.168.1.3
Maski: 255.255.255.0 tai /24
Yhdyskäytävä: 192.168.1.1
PC3:
IP: 192.168.2.2
Maski: 255.255.255.0 tai /24
Yhdyskäytävä: 192.168.2.1
PC4:
IP: 192.168.2.3
Maski: 255.255.255.0 tai /24
Yhdyskäytävä: 192.168.2.1
PC5:
IP: 192.168.3.2
Maski: 255.255.255.0 tai /24
Yhdyskäytävä: 192.168.3.1
PC6:
IP: 192.168.3.3
Maski: 255.255.255.0 tai /24
Yhdyskäytävä: 192.168.3.1
PC7:
IP: 192.168.1.4
Maski: 255.255.255.0 tai /24
Yhdyskäytävä: 192.168.1.1

Nyt topologian muutoksista. Näemme, että reititin on lisätty. Se vain siirtää liikennettä yhdestä VLAN:ista toiseen (toisin sanoen reittiin). Aluksi sen ja kytkimen välillä ei ole yhteyttä, koska liitännät on poistettu käytöstä.
Solmut ovat nyt lisänneet parametrin, kuten yhdyskäytävän osoitteen. He käyttävät tätä osoitetta, kun heidän on lähetettävä viesti eri aliverkossa sijaitsevaan solmuun. Näin ollen jokaisella aliverkolla on oma yhdyskäytävänsä.

Jäljelle jää vain reitittimen asetukset, ja avaan sen CLI:n. Perinteen mukaan annan merkityksellisen nimen.

Reititin(config)#hostname Gateway Gateway(config)#
Seuraavaksi siirrymme käyttöliittymien asettamiseen.

Gateway(config)#interface fastEthernet 0/0 - siirry vaadittuun käyttöliittymään. Gateway(config-if)#no shutdown - ota se käyttöön. %LINK-5-CHANGED: Liitäntä FastEthernet0/0, tila muutettu ylös %LINEPROTO-5-UPDOWN: Lineprotokolla liitännässä FastEthernet0/0, tila muutettu ylös
Nyt huomio! Otimme käyttöliittymän käyttöön, mutta emme antaneet sille IP-osoitetta. Tosiasia on, että fyysisestä käyttöliittymästä (fastethernet 0/0) tarvitaan vain linkki tai kanava. Yhdyskäytävien roolia suorittavat virtuaaliset rajapinnat tai alirajapinnat. Tällä hetkellä VLAN-verkkoja on 3 tyyppiä. Tämä tarkoittaa, että käytössä on 3 aliliittymää.

Gateway(config)#interface fastEthernet 0/0.2 Gateway(config-if)#encapsulation dot1Q 2 Gateway(config-if)#ip-osoite 192.168.1.1 255.255.255.0 Gateway(config)#interface fastEthernet-yhdyskäytävä(config-if) )#encapsulation dot1Q 3 Gateway(config-if)#ip-osoite 192.168.2.1 255.255.255.0 Gateway(config)#rajapinta fastEthernet 0/0.4 Gateway(config-if)#encapsulation dot1Q 4-yhdyskäytävä19.8. .3.1 255.255.255.0
Reititin on määritetty. Siirrytään keskuskytkimeen ja määritetään siihen runkoportti siten, että se välittää merkityt kehykset reitittimelle.

CentrSW(config)#interface fastEthernet 0/24 CentrSW(config-if)#switchport mode trunk CentrSW(config-if)#switchport runko sallittu vlan 2,3,4
Kokoonpano on valmis ja siirrytään harjoitteluun. Lähetän pingin PC1:stä PC6:een (eli numeroon 192.168.3.3).

PC1:llä ei ole aavistustakaan, kuka PC6 tai 192.168.3.3 on, mutta hän tietää, että ne ovat eri aliverkoissa (kuten hän ymmärtää, tämä on kuvattu edellisessä artikkelissa). Siksi se lähettää viestin oletusyhdyskäytävän kautta, jonka osoite on määritetty sen asetuksissa. Ja vaikka PC1 tietää pääyhdyskäytävän IP-osoitteen, siltä puuttuu MAC-osoite ollakseen täysin tyytyväinen. Ja hän käynnistää ARP:n.

Huomautus. Kun kehys saapuu CentrSW:hen, kytkin ei lähetä sitä kenellekään. Se lähettää vain niihin portteihin, joiden kautta 2. VLAN saa kulkea. Eli reitittimessä ja SW2:ssa (toisessa VLANissa istuu käyttäjä).

Reititin tunnistaa itsensä ja lähettää vastauksen (näkyy nuolella). Ja kiinnitä huomiota alakehykseen. Kun SW2 vastaanotti ARP:n keskuskytkimestä, se ei myöskään lähettänyt sitä kaikille tietokoneille, vaan lähetti vain PC7:n, joka sijaitsee 2. VLANissa. Mutta PC7 hylkää sen, koska se ei ole häntä varten. Katsotaanpa pidemmälle.

ARP saavutti PC1:n. Nyt hän tietää kaiken ja voi lähettää ICMP:n. Haluan vielä kerran kiinnittää huomionne siihen, että kohde-MAC-osoite (linkkikerros) on reitittimen osoite ja kohde-IP-osoite (verkkokerros) on PC6-osoite.

ICMP saavuttaa reitittimen. Hän katsoo laskentataulukkoaan ja tajuaa, ettei hän tunne ketään numerosta 192.168.3.3. Hylkää saapuvan ICMP:n ja antaa ARP:n tiedustelun.

PC6 tunnistaa itsensä ja lähettää vastauksen.

Vastaus saapuu reitittimeen ja se lisää merkinnän taulukkoonsa. Voit tarkastella ARP-taulukkoa komennolla näytä arp.
Siirrytään eteenpäin. PC1 on tyytymätön siihen, ettei kukaan vastaa hänelle ja lähettää seuraavan ICMP-viestin.

Tällä kertaa ICMP saapuu ilman ongelmia. Hän jatkaa samaa reittiä takaisin. Näytän vain lopputuloksen.

Ensimmäinen paketti katosi (ARP:n seurauksena), mutta toinen saapui ilman ongelmia.
Keitä kiinnostaa nähdä se animaatiossa, tervetuloa spoileriin.

InterVLAN-reititys

Niin. Olemme saavuttaneet sen, että jos solmut ovat samassa aliverkossa ja samassa VLANissa, ne kulkevat suoraan kytkimien kautta. Siinä tapauksessa, että sinun on lähetettävä viesti toiseen aliverkkoon ja VLAN-verkkoon, se lähetetään Gateway-reitittimen kautta, joka suorittaa "vlanin välisen" reitityksen. Tätä topologiaa kutsutaan "reititin tikulla" tai "reititin tikulla". Kuten ymmärrät, se on erittäin kätevä. Loimme 3 virtuaalirajapintaa ja lähetimme erilaisia tunnistettuja kehyksiä yhtä johtoa pitkin. Ilman alirajapintoja ja VLAN-verkkoja joudut käyttämään erillistä fyysistä rajapintaa jokaiselle aliverkolle, mikä ei ole ollenkaan kannattavaa.

Muuten, tätä kysymystä käsitellään tässä videossa erittäin hyvin (video on noin 3 tuntia pitkä, joten linkki on linkitetty juuri tuohon hetkeen). Jos videon lukemisen ja katselun jälkeen haluat viimeistellä kaiken omin käsin, liitän latauslinkin.

Olemme käsitelleet VLAN-verkkoja ja siirrymme yhteen sen kanssa toimivaan protokollaan.
DTP (Dynamic Trunking Protocol) tai venäjäksi dynaaminen runkoprotokolla- Ciscon oma protokolla, jota käytetään kaukotilan toteuttamiseen kytkimien välillä. Vaikka tilasta riippuen ne voivat olla myös yhdenmukaisia pääsytilassa.

DTP:ssä on 4 tilaa: Dynaaminen automaattinen, Dynaaminen toivottava, Runko, Access. Katsotaan kuinka ne sopivat yhteen.

Tilat	Dynaaminen auto	Dynaaminen toivottavaa	Runko	Pääsy
Dynaaminen auto	Pääsy	Runko	Runko	Pääsy
Dynaaminen toivottavaa	Runko	Runko	Runko	Pääsy
Runko	Runko	Runko	Runko	Ei yhteyttä
Pääsy	Pääsy	Pääsy	Ei yhteyttä	Pääsy

Toisin sanoen vasen sarake on ensimmäinen laite ja ylin rivi on toinen laite. Oletuksena kytkimet ovat "dynaamisessa automaattisessa" tilassa. Jos katsot kartoitustaulukkoa, kaksi "dynaamisen automaattisen" tilan kytkintä on sovitettu "access"-tilaan. Katsotaanpa tämä. Olen luomassa uutta laboratoriota ja lisään siihen 2 kytkintä.

En yhdistä niitä vielä. Minun on varmistettava, että molemmat kytkimet ovat "dynaamisessa automaattisessa" tilassa. Tarkistan joukkueen kanssa näytä liitännät switchport.

Tämän komennon tulos on erittäin suuri, joten leikkasin sitä ja korostin kiinnostavia kohteita. Aloitetaan Hallinnollinen tila. Tämä rivi näyttää, missä neljästä tilasta kytkimen tietty portti toimii. Varmista, että molempien kytkimien portit ovat "Dynamic auto" -tilassa. Ja linja Toimintatila näyttää, millä toimintatavalla he ovat sopineet toimivansa. Emme ole vielä yhdistäneet niitä, joten ne ovat "alas"-tilassa.

Annan sinulle heti hyvän neuvon. Kun testaat mitä tahansa protokollaa, käytä suodattimia. Poista käytöstä kaikkien tarpeettomien protokollien näyttö.

Vaihdan CPT:n simulointitilaan ja suodatan pois kaikki protokollat paitsi DTP.

Minusta tässä on kaikki selvää. Yhdistän kytkimet kaapelilla ja kun linkit nostetaan, yksi kytkimistä tuottaa DTP-viestin.

Avaan sen ja näen, että se on DTP kapseloitu Ethernet-kehykseen. Hän lähettää sen monilähetysosoitteeseen "0100.0ccc.cccc", joka kuuluu DTP-, VTP- ja CDP-protokolliin.
Ja haluan kiinnittää huomionne kahteen DTP-otsikon kenttiin.

1) DTP-tyyppi- tähän lähettäjä lisää ehdotuksen. Eli mihin tilaan hän haluaa mukautua? Meidän tapauksessamme hän ehdottaa "pääsystä" sopimista.
2) Naapurin MAC-osoite- tähän kenttään hän kirjoittaa porttinsa MAC-osoitteen.

Hän lähettää sen ja odottaa reaktiota naapuriltaan.

Viesti saavuttaa SW1:n ja muodostaa vastauksen. Kun se neuvottelee myös "access"-tilan, lisää MAC-osoitteensa ja lähettää sen matkalla SW2:een.

DTP tavoittaa onnistuneesti. Teoriassa niistä olisi pitänyt sopia "access"-tilassa. Tarkistan.

Kuten odotettiin, he suostuivat "pääsy"-tilaan.
Jotkut sanovat, että tekniikka on kätevää ja käyttävät sitä. Mutta suosittelen, että et käytä tätä protokollaa verkossasi. En ole ainoa, joka suosittelee tätä, ja nyt selitän miksi. Asia on siinä, että tämä protokolla avaa suuren tietoturva-aukon. Avaan laboratorion, jossa "Router on a stick" -työ analysoitiin, ja lisään sinne toisen kytkimen.

Siirryn nyt uuden kytkimen asetuksiin ja koodaan portin toimimaan runkotilassa.

New_SW(config)#interface fastEthernet 0/1 New_SW(config-if)#switchport mode trunk
Yhdistän ne ja katson kuinka ne sopivat yhteen.

Oikein. "Dynaaminen auto" ja "runko" -tilat on koordinoitu runko. Nyt odotellaan, että joku alkaa olla aktiivinen. Oletetaan, että PC1 päätti lähettää viestin jollekin. Luo ARP:n ja julkaisee sen verkkoon.

Ohitetaan hänen polkunsa, kunnes hän pääsee SW2:een.

Ja tässä on mielenkiintoinen osa.

Se lähettää sen vasta kytkettyyn kytkimeen. Selitän mitä tapahtui. Heti kun olemme sopineet hänen kanssaan rungosta, hän alkaa lähettää hänelle kaikkia saapuvia kehyksiä. Vaikka kaavio osoittaa, että kytkin hylkää kehyksiä, tämä ei tarkoita mitään. Voit kytkeä kytkimeen tai kytkimen sijasta minkä tahansa sieppauslaitteen (haistelijan) ja katsella verkossa tapahtuvaa rauhallisesti. Näyttää siltä, että hän sieppasi vaarattoman ARP:n. Mutta jos katsot tarkemmin, voit nähdä, että MAC-osoite "0000.0C1C.05DD" ja IP-osoite "192.168.1.2" ovat jo tiedossa. Eli PC1 antoi itsensä ajattelematta. Nyt hyökkääjä tietää tällaisesta tietokoneesta. Lisäksi hän tietää, että hän istuu toisessa VLANissa. Sitten hän voi tehdä monia asioita. Yleisin asia on vaihtaa MAC-osoite, IP-osoite, sopia nopeasti Accessista ja esiintyä PC1:nä. Mutta mielenkiintoisin asia. Loppujen lopuksi et ehkä ymmärrä tätä heti. Yleensä kun määritämme portin toimintatilan, se näkyy heti asetuksissa. menen sisään näytä running-config.

Mutta tässä porttiasetukset ovat tyhjiä. menen sisään näytä liitännät switchport ja vieritä kohtaan fa0/4.

Ja tässä näemme, että runko on sovittu. show running-config ei aina tarjoa kattavaa tietoa. Muista siis myös muut komennot.

Mielestäni on selvää, miksi et voi luottaa tähän protokollaan. Se näyttää helpottavan elämää, mutta samalla se voi luoda valtavan ongelman. Luota siis manuaaliseen menetelmään. Päätä heti määrityksen yhteydessä, mitkä portit toimivat runkotilassa ja mitkä pääsytilassa. Ja mikä tärkeintä, sammuta aina sovinto. Joten kytkimet eivät yritä olla samaa mieltä kenenkään kanssa. Tämä tehdään "switchport nonegotiate" -komennolla.

Siirrytään seuraavaan protokollaan.

VTP (VLAN Trunking Protocol)- Ciscon oma protokolla, jota käytetään tietojen vaihtamiseen VLAN-verkoista.

Kuvittele tilanne, jossa sinulla on 40 kytkintä ja 70 VLAN:ia. On hyvä idea luoda ne manuaalisesti jokaisessa kytkimessä ja määrittää, mitkä runkoportit sallivat lähetyksen. Tämä on työläs ja pitkä prosessi. Siksi VTP voi ottaa tämän tehtävän. Luot VLANin yhdelle kytkimelle, ja kaikki muut synkronoidaan sen pohjan kanssa. Katso seuraava topologia.

Tässä on 4 kytkintä. Yksi niistä on VTP-palvelin, ja muut 3 ovat asiakkaita. Palvelimelle luodut VLAN-verkot synkronoidaan automaattisesti asiakkaiden kanssa. Selitän kuinka VTP toimii ja mitä se voi tehdä.

Niin. VTP voi luoda, muokata ja poistaa VLAN-verkkoja. Jokainen tällainen toiminto kasvattaa versionumeroa (jokainen toiminto lisää numeroa +1). Sen jälkeen hän lähettää ilmoituksia, joissa on versionumero. Asiakkaat, jotka saavat tämän ilmoituksen, vertaavat versionumeroaan saamaansa numeroon. Ja jos tuleva luku on suurempi, he synkronoivat tietokantansa sen kanssa. Muussa tapauksessa mainos jätetään huomioimatta.

Mutta siinä ei vielä kaikki. VTP:llä on roolit. Oletuksena kaikki kytkimet toimivat palvelimina. Kerron sinulle niistä.

VTP-palvelin. Hän voi tehdä kaiken. Eli luo, muuttaa, poistaa VLAN-verkon. Jos se vastaanottaa ilmoituksen, jossa versio on sitä vanhempi, se synkronoidaan. Lähettää jatkuvasti ilmoituksia ja releitä naapureista.
VTP-asiakas– Tämä rooli on jo rajoitettu. Et voi luoda, muuttaa tai poistaa VLAN-verkkoja. Kaikki VLAN-verkot vastaanottavat ja synkronoivat palvelimelta. Ilmoittaa ajoittain naapureille VLAN-kannastaan.
VTP läpinäkyvä- Tämä on niin itsenäinen rooli. Voi luoda, muuttaa ja poistaa VLAN-verkkoja vain tietokannassaan. Hän ei pakota kenellekään mitään eikä ota keneltäkään mitään. Jos se saa jonkinlaisen mainoksen, se välittää sen eteenpäin, mutta ei synkronoi sitä tietokantaansa. Jos aiemmissa rooleissa versionumero kasvoi jokaisen muutoksen myötä, niin tässä tilassa versionumero on aina 0.

Siinä kaikki VTP-versiolle 2. VTP-versio 3 lisäsi yhden roolin - VTP pois päältä. Se ei lähetä mainoksia. Muuten toiminta on samanlainen kuin tila Läpinäkyvä.

Olemme lukeneet tarpeeksi teoriaa ja siirrytään käytäntöön. Tarkistetaan, että keskuskytkin on palvelintilassa. Anna komento näytä vtp-tila.

Näemme, että VTP-toimintatila: Palvelin. Voit myös huomata, että VTP-versio on toinen. Valitettavasti CPT-versiota 3 ei tueta. Versioversio on nolla.
Määritetään nyt alemmat kytkimet.

SW1(config)#vtp mode client Laitteen asettaminen VTP CLIENT -tilaan.
Näemme viestin, että laite on siirtynyt asiakastilaan. Loput on konfiguroitu täsmälleen samalla tavalla.

Jotta laitteet voivat vaihtaa mainoksia, niiden on oltava samassa verkkotunnuksessa. Ja tässä on yksi erikoisuus. Jos laite (palvelin- tai asiakastilassa) ei ole minkään toimialueen jäsen, se siirtyy ensimmäisen vastaanotetun ilmoituksen yhteydessä mainostettuun verkkotunnukseen. Jos asiakas on tietyn verkkotunnuksen jäsen, se ei hyväksy mainoksia muilta verkkotunnuksilta. Avataan SW1 ja varmistetaan, ettei se ole minkään toimialueen jäsen.

Varmistetaan, että se on tyhjä.

Nyt siirrymme keskuskytkimeen ja siirrämme sen verkkotunnukseen.

CentrSW(config)#vtp domain cisadmin.ru VTP-verkkotunnuksen nimen muuttaminen NULL:sta cisadmin.ru:ksi
Näemme viestin, että hänet on siirretty cisadmin.ru-verkkotunnukseen.
Tarkastetaan tilanne.

Ja todellakin. Verkkotunnuksen nimi on muuttunut. Huomaa, että versionumero on tällä hetkellä nolla. Se muuttuu heti, kun luomme siihen VLANin. Mutta ennen sen luomista sinun on asetettava simulaattori simulaatiotilaan nähdäksesi, kuinka se luo mainoksia. Luomme 20. VLANin ja katsomme seuraavan kuvan.

Kun VLAN on luotu ja versionumeroa on lisätty, palvelin luo mainoksia. Hänellä on niitä kaksi. Avataan ensin vasemmalla oleva. Tämän mainoksen nimi on "yhteenvetoilmoitus" tai venäjäksi "yhteenvetoilmoitus". Kytkin luo tämän ilmoituksen 5 minuutin välein, jossa se kertoo verkkotunnuksen nimestä ja nykyisestä versiosta. Katsotaan miltä se näyttää.

Huomioi Ethernet-kehyksessä Destination MAC -osoite. Se on sama kuin yllä, kun DTP luotiin. Eli meidän tapauksessamme vain ne, joilla on VTP käynnissä, vastaavat siihen. Katsotaan nyt seuraavaa kenttää.

Tässä on kaikki tiedot. Käyn läpi tärkeimmät alat.

Management Domain Name - itse verkkotunnuksen nimi (tässä tapauksessa cisadmin.ru).
Updater Identity - päivittäjän tunniste. IP-osoite kirjoitetaan yleensä tähän. Mutta koska osoitetta ei annettu kytkimelle, kenttä on tyhjä
Päivitä aikaleima - päivitysaika. Kytkimen kellonaikaa ei ole muutettu, joten se on asetettu tehtaan aikaan.
MD5 Digest - MD5 hash. Sitä käytetään valtuustietojen tarkistamiseen. Eli jos VTP:llä on salasana. Emme vaihtaneet salasanaa, joten hajautus on oletusarvo.

Katsotaan nyt seuraavaa luotua viestiä (oikealla). Sitä kutsutaan "osajoukkomainokseksi" tai "yksityiskohtaiseksi mainokseksi". Tämä on niin yksityiskohtaista tietoa jokaisesta lähetetystä VLAN:ista.
Mielestäni tämä on selvää. Erillinen otsikko jokaiselle VLAN-tyypille. Lista on niin pitkä, ettei se mahdu näytölle. Mutta ne ovat täsmälleen samat nimiä lukuun ottamatta. En välitä siitä, mitä kukin koodi tarkoittaa. Ja CPT:ssä ne ovat enemmänkin sopimus.
Katsotaan mitä tapahtuu seuraavaksi.

Asiakkaat saavat mainoksia. He näkevät, että versionumero on suurempi kuin heidän ja synkronoivat tietokannan. Ja he lähettävät palvelimelle viestin, että VLAN-kanta on muuttunut.

Kuinka VTP-protokolla toimii

Näin VTP-protokolla periaatteessa toimii. Mutta sillä on erittäin suuria haittoja. Ja nämä ovat haittoja turvallisuuden kannalta. Selitän käyttämällä samaa laboratoriota esimerkkinä. Meillä on keskuskytkin, johon VLANit luodaan, ja sitten se synkronoi ne monilähetyksen kautta kaikkien kytkimien kanssa. Meidän tapauksessamme hän puhuu VLAN 20:stä. Suosittelen katsomaan uudelleen sen kokoonpanoa.

Huomautus. VTP-viesti saapuu palvelimelle, jossa versionumero on suurempi kuin sen oma. Hän ymmärtää, että verkosto on muuttunut ja hänen on sopeuduttava siihen. Tarkistetaan kokoonpano.

Keskuspalvelimen kokoonpano on muuttunut ja nyt se lähettää juuri tämän.
Kuvittele nyt, että meillä ei ole yksi VLAN, vaan satoja. Tämä on yksinkertainen tapa asentaa verkko. Tietenkin verkkotunnus voi olla suojattu salasanalla ja hyökkääjän on vaikeampi aiheuttaa vahinkoa. Kuvittele tilanne, jossa kytkimesi on rikki ja sinun on vaihdettava se kiireellisesti. Sinä tai kollegasi juokset varastolle ostamaan vanhan kytkimen ja unohdat tarkistaa versionumeron. Se osoittautuu korkeammaksi kuin muut. Olet jo nähnyt mitä seuraavaksi tapahtuu. Siksi suosittelen, että et käytä tätä protokollaa. Varsinkin suurissa yritysverkostoissa. Jos käytät VTP-versiota 3, vaihda kytkimet "Pois"-tilaan. Jos käytät versiota 2, vaihda "Transparent"-tilaan. Lisää tageja

VLAN (Virtual Local Area Network) mahdollistaa useiden virtuaalisten paikallisverkkojen luomisen yhdelle fyysiselle verkkorajapinnalle kytkimiin tai reitittimiin. Yksinkertainen ja kätevä tapa jakaa liikenne asiakkaiden tai tukiasemien välillä VLAN:n avulla.

VLAN-tekniikka on, että verkkokehykseen (2. taso) lisätään ylimääräinen tunnisteotsikko, joka sisältää palvelutiedot ja VLAN-tunnuksen. VLAN ID -arvot voivat olla 1 - 4095. Tässä tapauksessa 1 on varattu oletus-VLANiksi.

VLAN-verkkojen kanssa työskennellessä on tärkeää ymmärtää merkittyä ja merkitsemätöntä liikennettä. Merkitty liikenne (vlan-tunnuksella) kulkee pääasiassa kytkimien ja palvelimien välillä. Tavalliset tietokoneet (etenkään Windows-käyttöjärjestelmää käyttävät) eivät ymmärrä merkittyä liikennettä. Siksi niille porteille, jotka katsovat suoraan työasemiin tai verkkoon, jossa on hallitsematon kytkimen, lähetetään merkitsemätöntä liikennettä. Nuo. tunniste leikataan pois verkkokehyksestä. Tämä tapahtuu myös, jos portti on määritetty VLAN ID = 1:llä.

On myös käsite nimeltä runko. Runko on kytkinportti, joka kuljettaa liikennettä eri tunnisteilla. Tyypillisesti runko on konfiguroitu kytkimien väliin mahdollistamaan pääsy VLAN-verkkoon eri kytkimistä.

VLANin käyttö Mikrotik-laitteissa

Mikrotik-reitittimet ja kytkimet tukevat jopa 250 VLANia yhdellä Ethernet-liitännällä. Voit luoda VLAN-verkon paitsi Ethernet-rajapinnalle, myös Bridgelle ja jopa EoIP-tunneliin. VLAN voidaan rakentaa toiseen VLAN-liitäntään käyttämällä Q-in-Q-tekniikkaa. Voit tehdä vähintään 10 sisäkkäistä VLAN:ia, vain MTU:n koko pienenee 4 tavulla joka kerta.

Tarkastellaan VLAN-verkkojen käyttöä esimerkin avulla. Tehtävä:

Luo VLAN HOTSPOTille (172.20.22.0/24)
Luo VLAN VIOP-puheluille (172.21.22.0/24)
Eristä verkot 172.20.22.0/24, 172.21.22.0/24 toisistaan ja pääsystä 10.5.5.0/24 verkkoon
Määritä Ether2-portti toimimaan verkossa 172.20.22.0/24 (VLAN)
Määritä Ether3, Ether4 toimimaan verkossa 172.21.22.0/24 (VLAN)

Alkutiedot:

Internet on Ether1, määritetty Brigde-liitäntään - Ethernet
Paikallinen verkko (10.5.5.0/24), määritetty Brigde-rajapinnalle - LAN

VLAN-liitäntöjen luominen

Luomme VLAN2 (ID=2), VLAN3 (ID=3) ja kohdistamme ne Bridge LAN -liitäntään. LAN-liitäntä toimii runkoyhteydenä.

/interface vlan add name=VLAN2 vlan-id=2 interface=LAN /liitäntä vlan add name=VLAN3 vlan-id=3 interface=LAN

Siltaliitäntöjen luominen

Luomme BridgeVLAN2-, BridgeVLAN3-rajapintoja VLAN:lle:

/rajapinnan silta add name=BridgeVLAN2 /interface bridge add name=BridgeVLAN3

VLAN-liitäntöjen yhdistäminen siltaliitännöillä

Yhdistämme VLAN-liitännät (VLAN2, VLAN3) siltaliitäntöihin (BridgeVLAN2, BridgeVLAN3):

/liitännän siltaportti add interface=VLAN2 bridge=BridgeVLAN2 /interface bridge port add interface=VLAN3 bridge=BridgeVLAN3

IP-osoitteiden luominen

Määritämme kullekin BridgeVLAN2/BridgeVLAN3-liitännälle IP-osoitteen - 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3):

/ip-osoite add address=172.20.22.1/24 interface=BridgeVLAN2 /ip-osoite add address=172.21.22.1/24 interface=BridgeVLAN3

Osoiteryhmän luominen

Asetamme verkkojen myönnettyjen IP-osoitteiden alueen (172.20.22.0/24, 172.21.22.0/24):

/ip pool add name=poolVLAN2 ranges=172.20.22.2-172.20.22.254 /ip pool add name=poolVLAN3 ranges=172.21.22.2-172.21.22.254

DHCP-palvelimen määrittäminen

Jotta laitteet voivat vastaanottaa verkkoasetukset, määritämme automaattisesti DHCP-palvelimen paikallisia verkkoja varten (172.20.22.0/24, 172.21.22.0/24):

/ip dhcp-server add name=dhcpVLAN2 interface=BridgeVLAN2 osoite-pool=poolVLAN2 ei käytössä=ei /ip dhcp-server add name=dhcpVLAN3 interface=BridgeVLAN3 address-pool=poolVLAN3 kytketty pois=ei /ip dhcp-palvelinverkko Add address=172.20 .22.0/24 gateway=172.20.22.1 /ip dhcp-server network add address=172.21.22.0/24 gateway=172.21.22.1

Palomuurin määrittäminen. Internet-yhteys VLAN-verkkoihin

Olen määrittänyt suojauksen tämän mukaisesti. Siksi, jotta paikallisten verkkojen laitteet (172.20.22.0/24, 172.21.22.0/24) pääsevät Internetiin, lisäämme niille säännön:

/ip palomuurisuodatin add chain=forward action=accept src-address=172.20.22.0/24 comment="Käytä Internetiä lähiverkosta" /ip-palomuurisuodatin add chain=forward action=accept src-address=172.21.22.0/24 comment= "Käytä Internetiä lähiverkosta"

VLAN-eristys

On välttämätöntä, että VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24) verkot on eristetty toisistaan ja pääsystä paikalliseen pääverkkoon 10.5.5.0/24. Luomme luetteloita paikallisista verkoista (LOCAL):

/ip firewall address-list add list=LOCAL address=10.5.5.0/24 /ip firewall address-list add list=LOCAL address=172.20.22.0/24 /ip firewall address-list add list=LOCAL address=172.21.22.0/ 24

Luomme säännöt paikallisiin verkkoihin (LOCAL) pääsyn estämiseksi verkoista 172.20.22.0/24, 172.21.22.0/24. Meidän on asetettava kieltävät säännöt sallittujen yläpuolelle:

/ip palomuurisuodatin add chain=forward action=drop src-address=172.20.22.0/24 dst-address-list=LOCAL /ip firewall filter add chain=forward action=drop src-address=172.21.22.0/24 dst-address -list=LOCAL

VLAN-jakelu Mikrotik-reitittimen porttien välillä

Määritämme reitittimen portit toimimaan yhdessä tai toisessa VLANissa. Portti ether2 - BridgeVLAN2, portit ether3, ether4 - BridgeVLAN3:

/rajapinnan siltaportti add interface=ether2 bridge=BridgeVLAN2 /rajapinnan siltaportti add interface=ether3 bridge=BridgeVLAN3 /liitännän siltaportti add interface=ether4 bridge=BridgeVLAN3

Tiedot: Siltayhteyttä ei tarvitse määrittää jokaiselle portille kuuluakseen tiettyyn VLANiin. Riittää, kun asetat siltayhteyden vain yhteen porttiin ja käytät sitten Master-porttia osoittamaan muiden porttien VLAN-jäsenyyden.

Tämä viimeistelee VLAN:in lisäämisen ja konfiguroinnin. Tuloksena saimme kaksi erillistä verkkoa, joissa oli Internet-yhteys. Sijoitimme luodut VLAN-verkot runkoyhteyteen, jonka avulla VLAN-verkot voidaan tarvittaessa segmentoida toiselle reitittimelle, tämä onnistuu helposti. Määritimme tarvittavat reitittimen portit toimimaan vastaavissa VLAN-verkoissa.

VLAN (Virtual Local Area Network, virtuaalinen lähiverkko) on reitittimien ja kytkimien toiminto, jonka avulla voit luoda useita virtuaalisia paikallisverkkoja yhdelle fyysiselle verkkorajapinnalle (Ethernet, Wi-Fi-liitäntä).

VLAN on osa suurempaa lähiverkkoa. Yksinkertaisin mekanismi eri aliverkkojen eristämiseen Ethernet-, WI-FI-liitännöissä. VLAN:in järjestämiseksi verkkokytkimen (Kuinka valitaan verkkokytkin (kytkin, kytkin)) on tuettava VLAN-tekniikkaa ja 802.1q-protokollaa.

VLANin edut:

lisää lähetysalueiden määrää, mutta pienentää kunkin lähetysalueen kokoa, mikä puolestaan vähentää verkkoliikennettä ja lisää verkon turvallisuutta (molemmat vaikutukset ovat sidoksissa yhteen yhden suuren lähetysalueen vuoksi);

vähentää järjestelmänvalvojien ponnisteluja aliverkkojen luomisessa;

vähentää laitteiden määrää, koska verkot voidaan erottaa loogisesti fyysisen sijasta;

parantaa erityyppisten liikenteen hallintaa.

VLAN-ehdot

Mikä on Native VLAN - tämä on 802.1Q-standardin käsite, joka tarkoittaa kytkimen VLAN:ia, jossa kaikki kehykset menevät ilman tunnistetta, ts. liikenne välitetään merkitsemättömänä. Oletuksena tämä on VLAN 1. Joissakin kytkinmalleissa, esimerkiksi Cisco, tätä voidaan muuttaa määrittämällä toinen VLAN alkuperäiseksi.

Termi merkitsemätön: vain yksi VLAN voi vastaanottaa kaikki paketit, joita ei ole määritetty millekään VLAN:ille (3Com, Planet, Zyxel terminologiassa - merkitsemätön, Ciscon terminologiassa - alkuperäinen VLAN). Kytkin lisää tämän VLAN-tunnisteet kaikkiin vastaanotettuihin kehyksiin, joissa ei ole tunnisteita.

Runko VLAN on fyysinen kanava, jonka kautta lähetetään useita VLAN-kanavia, jotka eroavat toisistaan tunnisteiltaan (paketteihin lisätyt etiketit). Rungot luodaan yleensä VLAN-laitteiden "merkittyjen porttien" välille: kytkin-kytkin tai kytkin-reititin. (Ciscon asiakirjoissa termi "runko" viittaa myös useiden fyysisten kanavien yhdistämiseen yhdeksi loogiseksi: Link Aggregation, Port Trunking). Reititin (kolmen kerroksen kytkin) toimii verkon runkoverkona eri VLAN-verkkojen verkkoliikenteelle.

Yksinkertaisesti sanottuna vlan on looginen kanava fyysisen kanavan (kaapelin) sisällä ja runko on joukko loogisia kanavia (vlan) yhden fyysisen kanavan (kaapelin) sisällä.

VLAN-verkot voidaan tunnistaa seuraavista:

Porto (useimmin käytetty). Porttinumeroon perustuvien VLAN-verkkojen avulla voit tunnistaa tietyn portin VLANissa. Portit voidaan määrittää yksitellen, ryhmissä, kokonaisille riveille ja jopa eri kytkimille runkoprotokollan avulla. Tämä on yksinkertaisin ja yleisimmin käytetty menetelmä VLAN-verkkojen määrittämiseen. Tämä on yleisin porttipohjaisen VLAN-toteutuksen käyttö, kun työasemat käyttävät TCP/IP Dynamic Configuration Protocol (DHCP) -protokollaa. Alla on kuva VLANista porttien perusteella:

MAC-osoite - osoite (erittäin harvinainen). MAC-osoitteisiin perustuvien VLAN-verkkojen avulla käyttäjät voivat pysyä samassa VLAN-verkossa, vaikka käyttäjä siirtyisi paikasta toiseen. Tämä menetelmä edellyttää, että järjestelmänvalvoja määrittää kunkin työaseman MAC-osoitteen ja syöttää sitten nämä tiedot kytkimeen. Tämän menetelmän vianmääritys voi olla erittäin vaikeaa, jos käyttäjä on vaihtanut MAC-osoitetta. Verkon ylläpitäjän on hyväksyttävä kaikki kokoonpanomuutokset, mikä voi aiheuttaa hallinnollisia viiveitä.

Käyttäjätunnus (erittäin harvinainen)

VLAN Linux ja D-Link DGS-1100-08P

Asetetaan DGS-1100-08P. Yhdistetään siihen ensimmäisestä portista. Määritetään sille IP 10.90.91.2. Luodaan 3 VLANia: vlan1 (portti 1 (tagged)) palvelukäyttöön, eli vain kytkimen konfigurointiin, vlan22 (portti 1 (tagged); portit 2,3,4 (tagaamaton)), vlan35 (portti 1 () portit 5,6 (merkitsemätön)). Portteja 7 ja 8 ei käytetä, ja ne poistetaan käytöstä Porttiasetukset (Speed: Disabled) -valikon kautta.
Huomautamme, että D-Link DGS-1100-08P (IP 10.90.91.2) on jatkossa hallittavissa vain vlan1:n kautta, eli meidän tapauksessamme järjestelmänvalvojan tulee muodostaa yhteys DGS-1100:n ensimmäiseen porttiin. -08P (Kun liitetään toiseen porttiin - kytkin ei salli pääsyä 10.90.91.2:een).

Luo VLAN-niminen vlan22, joka on sidottu eth4-verkkokortin porttiin. Määritetään sille IP:192.168.122.254. ip linkki lisää linkki eth4 nimi vlan22 tyyppi vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

Palvelu vlan vain kytkimen määrittämistä varten:

Katsomme luotujen vlanien parametreja tiedostoista ls -l / proc/ net/ vlan/ total 0 -rw------- 1 root root 0 17. elokuuta 15:06 config -rw----- -- 1 juurijuuri 0 17. elokuuta 15:06 vlan1 -rw------- 1 juurijuuri 0 17. elokuuta 15:06 vlan22

Vlanin luominen vconfigin kautta ja automaattinen lataaminen /etc/network/interfaces kautta eivät toimineet, joten luomme käynnistystiedoston ja lisäämme sen palvelimen käynnistykseen. vlan_create.sh #!/bin/sh -e ip linkki lisää linkki eth4 nimi vlan22 tyyppi vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

VLAN-tekniikan avulla voit jakaa verkon loogisiin segmentteihin. Jokaisella tällaisella loogisella segmentillä on oma lähetysalue. Unicast-, broadcast- ja multicast-liikenne välitetään vain samaan VLAN-verkkoon kuuluvien laitteiden välillä. VLAN:ia käytetään usein IP-verkkosegmenttien erottamiseen, minkä jälkeen liikenne reititetään ja suodatetaan eri VLAN-verkkojen välillä reitittimessä tai L3-kytkimessä.

VLAN-asetusten määrittäminen Cisco-reitittimessä löytyy artikkelista Cisco VLAN - vlanin määrittäminen Cisco-reitittimessä. Täällä puhumme VLAN-verkkojen asettamisesta Cisco Catalyst -kytkimille.

Ennen kuin määrität VLAN:n kytkimessä, sinun on päätettävä, käyttääkö verkko VTP:tä (VLAN Trunking Protocol) vai ei. VTP:n avulla on helpompi hallita (luoda, poistaa, nimetä uudelleen) VLAN-verkkoja verkossa. VTP:llä muutos (VLAN-tiedot) voidaan tehdä keskitetysti yhdelle kytkimelle, ja muutokset etenevät muihin verkon kytkimiin. Jos et käytä VTP:tä, jokaiseen kytkimeen on tehtävä muutoksia.

VTP:llä on rajoituksensa: VTP-versiot 1 ja 2 tukevat vain VLAN-perusaluetta (1 - 1005), laajennetun alueen tuki (1006 - 4094) on mahdollista vain protokollaversiossa 3. VTP-version 3 tuki alkaa Ciscosta IOS-versio 12.2 (52)SE ja uudemmat. Tarkastelemme VTP-protokollan määrittämistä toisessa artikkelissa, mutta tässä artikkelissa oletamme, että emme käytä VTP:tä.

VLANin konfigurointi kytkimessä voidaan jakaa kolmeen vaiheeseen: VLANin luominen, porttien konfigurointi ja tarkistus.

1. Luo VLAN Cisco Catalystissa

VLAN-numerot (VLAN ID) voivat olla välillä 1 - 4094:

1 - 1005 perusalue (normaali-alue)

1002 - 1005 varattu Token Ringille ja FDDI VLANille

1006 - 4094 laajennettu kantama

Kun luot tai muutat VLAN-verkkoa, voit asettaa seuraavat parametrit:

VLAN ID	VLAN-numero
VLAN nimi ( nimi)	VLAN nimi
VLAN-tyyppi ( media)	VLAN-tyyppi (Ethernet, Fiber Distributed Data Interface, FDDI-verkkokokonaisuuden nimi, TrBRF tai TrCRF, Token Ring, Token Ring-Net)
VLAN tila ( osavaltio)	VLAN-tila (aktiivinen tai keskeytetty)
VLAN MTU ( mtu)	Datalohkon enimmäiskoko, joka voidaan lähettää datalinkkikerroksessa
SAID ( sanoi)	Security Association Identifier - suojausyhdistyksen tunniste (IEEE 802.10 -standardi)
Kaukosäädin SPAN ( kauko-väli)	VLAN:in luominen liikenteen etävalvontaa varten (Jatkossa portista tuleva liikenne voidaan peilata tällaiseen VLAN:iin ja siirtää runkojohdon kautta toiseen kytkimeen, jossa liikenne tästä VLAN:ista voidaan lähettää haluttuun porttiin yhdistetyllä snifferillä)
Sillan tunnusnumero TrBRF VLAN:lle ( silta)	Siltanumeron tunniste TrBRF (Token Ring Bridge Relay Function) -toiminnolle. Toiminnon tarkoituksena on luoda silta renkaista.
FDDI:n ja TrCRF VLANin soittonumero ( rengas)	Renkaan numero VLAN-tyypeille FDDI ja TrCRF (Token Ring -keskittimen reletoiminnot). TrCRF viittaa renkaisiin, jotka sisältyvät siltaan.
Vanhemman VLAN-numero TrCRF VLAN:lle ( vanhempi)	Vanhemman VLAN-numero VLAN-tyypin FDDI:lle tai Token Ringille
Spanning Tree Protocol (STP) -tyyppi TrCRF VLAN:lle ( stp tyyppi)	Spanning Tree Protocol (STP) -tyyppi VLAN-tyypille TrCRF
Käännös VLAN numero 1 ( tb-vlan1)	VLAN-numero alustavaa kartoitusta varten yhdestä VLAN-tyypistä toiseen
Käännös VLAN numero 2 ( tb-vlan2)	VLAN-numero toissijaista kartoitusta varten yhdestä VLAN-tyypistä toiseen

Käytännössä useimmiten VLAN:ia luotaessa määritetään vain VLAN-tunnus ja VLAN-nimi

Oletusarvot:

VLANin luomiseen tarvitset:

1. Siirry etuoikeutettuun tilaan ja anna vaadittu salasana (komento " ota käyttöön«)

Sw1> sw1>ota salasana käyttöön: sw1#

2. Vaihda globaaliin määritystilaan (komento " määritä pääte«)

Sw1# sw1#configure terminaali Syötä määrityskomennot, yksi kullekin riville. Lopeta CNTL/Z. sw1(config)#

3. Luo VLAN komennolla " vlan id ", Missä id - VLAN-numero (Luomisen jälkeen konsoli on VLAN-määritystilassa, jossa voit asettaa yllä olevat parametrit VLAN:lle)

Sw1(config)# sw1(config)#vlan 200 sw1(config-vlan)#

4. Aseta tarvittavat parametrit luodulle VLAN:lle (esimerkiksi nimi)

Sw1(config-vlan)# sw1(config-vlan)#name TESTVLAN sw1(config-vlan)#

Jos kirjoitat kysymysmerkin VLAN-määritystilassa, tälle VLAN:lle määritettävissä olevat parametrit tulevat näkyviin:

Sw1(config-vlan)#? VLAN-määrityskomennot: ovat tämän VLANin kaikkien Route Explorer -hyppyjen enimmäismäärä (tai nolla, jos ei ole määritetty) backupcrf VLAN-sillan CRF-varmuuskopiointi VLAN-sillan siltausominaisuudet Ota käyttöön muutokset, korjausversion numero ja poistumistilan media Mediatyyppi VLAN mtu VLAN Maksimilähetysyksikön nimi VLAN:n Ascii-nimi ei Negata komento tai aseta sen oletusarvot FDDI:n tai Token Ring -tyypin VLANin ylätason VLAN:n ylätason ID-numero private-vlan Määritä yksityinen VLAN-etäalue Määritä etäverkko-VLANiksi ring FDDI- tai Token Ring -tyyppisten VLAN-verkkojen soittonumero, sanottu IEEE 802.10 SAID-sammutus Sammutus VLAN-kytkentätila VLAN-verkon toimintatila ste Suurin sallittu Spanning Tree Explorer -hyppyjen määrä tälle VLAN:lle (tai nolla, jos ei ole määritetty) stp VLAN-verkon kattavuuspuun ominaisuudet tb -vlan1 tämän VLANin ensimmäisen translaation VLANin tunnusnumero (tai nolla, jos ei mitään) tb-vlan2 toisen translaation VLANin tunnusnumero tälle VLAN:lle (tai nolla, jos ei mitään)

5. Poistu vlan-määritystilasta (komento " poistu", tai" loppu" - poistu yleisestä määritystilasta)

Sw1(config-vlan)# sw1(config-vlan)#end sw1#

Älä unohda tallentaa asetuksia komennolla " kopioi running-config startup-config» etuoikeutetussa tilassa

Sw1# sw1#copy running-config startup-config Kohdetiedoston nimi ? Rakennuksen kokoonpano...

Voit poistaa VLANin komennolla " ei vlan id » globaalissa määritystilassa:

Sw1(config)# sw1(config)#no vlan 200 sw1(config)#

2. Porttien määrittäminen Cisco Catalystissa

Cisco-kytkimen portti voi olla jossakin seuraavista tiloista:

pääsy- portti on tarkoitettu päätelaitteen liittämiseen. Kuuluu vain yhteen VLANiin. Porttiin kytketystä laitteesta tuleva liikenne on merkitty portissa määritetyllä VLAN:lla.

runko- portti on tarkoitettu kytkettäväksi toiseen kytkimeen tai reitittimeen. Satama kuljettaa merkittyä liikennettä. Voi kuljettaa liikennettä yhdestä tai useammasta VLAN:ista yhden fyysisen kaapelin kautta.

Cisco Catalystissa voit asettaa porttitilan itse (runko tai pääsy) tai määrittää automaattisen tunnistuksen. Kun tilan tunnistetaan automaattisesti, portti neuvottelee naapurinsa (kytkimen tai muun tähän porttiin kytketyn laitteen) kanssa. Porttitilan neuvottelu tapahtuu lähettämällä DTP (Dynamic Trunking Protocol) -kehyksiä. Jotta DTP-protokolla toimisi onnistuneesti, liitäntöjen on oltava samassa VTP-alueessa (tai yksi VTP-alueista on tyhjä, epätarkka)

Porttitilan automaattinen tunnistus asetetaan komennolla " vaihtoporttitila dynaaminen automaattinen" tai "" käyttöliittymän määritystilassa.

vaihtoporttitila dynaaminen automaattinenrunko" tai " dynaaminen toivottavaa«

Jos käyttöliittymä on asetettu " vaihtoporttitilan dynaaminen toivottavaa" - portti menee runkotilaan vain, jos naapurikytkimen portti on asetettu " runko"tai" dynaaminen toivottavaa"tai" dynaaminen auto«

Kaikki laitteet eivät tue DTP:tä tai voivat lähettää DTP-kehyksiä väärin tässä tapauksessa, on parempi pakottaa tila (pääsy tai runko) komennoilla "; Switchport-tilan käyttö"tai" vaihtoporttitilan runko" käyttöliittymän määritystilassa ja poista DTP-kehysten lähetys käytöstä komennolla " vaihtaa porttia neuvottelematta«.

Portin oletuskokoonpano:

Portin määrittäminen automaattiseen tunnistustilaan.

Toiminnot:

ota käyttöön«)

määritä pääte«)

käyttöliittymä käyttöliittymätunnus ", Missä käyttöliittymätunnus - liitännän nimi ja numero, esimerkiksi "liitäntä GigabitEthernet0/21")

— aseta portin/liitännän dynaaminen tila (komento: " vaihtoporttitila dynaaminen automaattinen"tai" vaihtoporttitilan dynaaminen toivottavaa«)

— (valinnainen) aseta VLAN, joka tulee olemaan käyttöliittymässä, jos portti vaihtaa runkotilasta pääsytilaan, oletusarvoisesti VLAN 1 (komento: " switchport access vlan vlan-id ", Missä vlan-id - VLAN-numero)

— (valinnainen) aseta alkuperäinen VLAN IEEE 802.1q -rungolle, oletusnatiivi VLAN 1 (komento: " switchport trunk natiivi vlan vlan-id ", Missä vlan-id - alkuperäinen VLAN-numero)

— lisää/poista VLAN rungossa, oletusarvoisesti kaikki VLAN-numerot ovat sallittuja (komennot: " switchport trunk sallittu vlan add vlan-lista » - lisää runkoon luetellut VLAN-verkot vlan-lista « switchport trunk sallittu vlan poistaa vlan-lista » - poista rungosta kohdassa luetellut VLAN-verkot vlan-lista V vlan-lista vlanit luetellaan pilkuilla erotettuina ilman välilyöntejä ja alueet väliviivalla, esimerkiksi 2,20,30-40,50 ). Voit asettaa tarvittavien VLAN-verkkojen luettelon välittömästi (komennolla: " switchport trunk sallittu vlan vlan-lista «)

ei sammutusta«)

poistu"tai" loppu»)

Sw1#configure terminaali Syötä määrityskomennot, yksi kullekin riville. Lopeta CNTL/Z. sw1(config)#interface gigabitEthernet 0/23 sw1(config-if)#switchport mode dynaaminen toivottava sw1(config-if)#switchport access vlan 50 sw1(config-if)#switchport trunk natiivi vlan 100sw1)(config-if) #switchport trunk sallittu vlan 2.30-35.40 sw1(config-if)#ei sammutusta sw1(config-if)#end sw1#

Tässä esimerkissä portti 23 asetetaan runkotilaan, jos naapurikytkimen portti on asetettu dynaamiseen automaattiseen tai dynaamiseen poistotilaan tai runkotilaan. Vain VLAN 2, VLAN 30 - 35 ja VLAN 40 lähetetään runkotilassa. naapurikytkin toimii pääsyssä, liitäntä sijoitetaan VLAN 50:een.

Pääsyportin määrittäminen.

Pääsyportin VLAN voidaan asettaa staattisesti tai automaattisesti. Automaattinen VLAN-määritys perustuu lähteen MAC-osoitteeseen käyttämällä VQP:tä (VLAN Query Protocol) ja VMPS:ää (VLAN Management Policy Server). Vain vanhempien mallien kytkimet, kuten Catalyst 4000, 5000 ja 6500, voivat toimia VMPS-palvelimena. Tässä artikkelissa ei käsitellä pääsyportin automaattista konfigurointia VQP:n kautta. Tässä näytetään vain pääsyportin staattinen VLAN-määritys.

Voit sisällyttää pääsyportin vaadittuun VLAN-verkkoon seuraavasti:

- siirry etuoikeutettuun tilaan (komento: " ota käyttöön«)

- siirry globaaliin konfigurointitilaan (komento: " määritä pääte«)

— siirry verkkoliitännän määritystilaan (komento: " käyttöliittymä käyttöliittymätunnus ", Missä käyttöliittymätunnus - käyttöliittymän nimi ja numero)

— aseta portti/liitäntätila "access" (komento: " Switchport-tilan käyttö«)

— aseta VLAN porttiin/liitäntään (komento: " switchport access vlan vlan-id ", Missä vlan-id - VLAN-numero)

— ota portti/käyttöliittymä käyttöön (komento: " ei sammutusta«)

— poistu käyttöliittymän konfigurointitilasta (komento: " poistu"tai" loppu»)

Kytketään palvelin kytkimen 22. porttiin, joka on sijoitettava 200. VLAN:iin

Portin asetus:

Sw1> sw1>enable Salasana: sw1# sw1#configure terminal Anna määrityskomennot, yksi kullekin riville. Lopeta CNTL/Z. sw1(config)#interface GigabitEthernet0/22 sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 200 sw1(config-if)#no shutdown sw1(config-if)#exit sw1(config) )#exit sw1#

Runkoportin konfigurointi.

Portin määrittäminen runkotilassa on identtinen portin asettamisen kanssa automaattisen tunnistustilan kanssa, paitsi että tila ei ole määritettävä dynaamiseksi, vaan kaukotilaksi.

Sw6# sw6#configure terminaali Syötä määrityskomennot, yksi kullekin riville. Lopeta CNTL/Z. sw6(config)#interface gigabitEthernet 0/23 sw6(config-if)#switchport mode trunk sw6(config-if)#switchport runko sallittu vlan 2.30-35.40 sw6(config-if)#ei sammutusta sw6(config -if) loppu sw6#

Esimerkissä runko on asetettu porttiin 23, vain VLAN 2, VLAN 30 - 35 ja VLAN 40 ovat sallittuja rungossa

VLANin lisääminen runkoporttiin suoritetaan komennolla: " switchport trunk sallittu vlan addVLAN_NUM«

Esimerkki vlanien 100 ja 200 lisäämisestä olemassa oleviin runkoporttiin 23:

Sw6# sw6#configure terminaali Syötä määrityskomennot, yksi kullekin riville. Lopeta CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport runko sallittu vlan add 100,200 sw6(config-if)# sw6(config-if)#end sw6#

VLAN-verkon poistaminen runkoportista suoritetaan komennolla: " switchport trunk sallittu vlan poistaaVLAN_NUM«

Esimerkki vlanien 100 ja 200 poistamisesta olemassa olevista runkoportissa 23:

Sw6# sw6#configure terminaali Syötä määrityskomennot, yksi kullekin riville. Lopeta CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport runko sallittu vlan poista 100,200 sw6(config-if)# sw6(config-if)#end sw6#

Jotkut Ciscon kytkimet tukevat kahta VLAN-protokollaa: IEEE 802.1q ja ISL. ISL-protokolla on jo vanhentunut, eikä sitä tueta monissa nykyaikaisissa kytkimissä. Siksi on suositeltavaa käyttää IEEE 802.1q -protokollaa

Tällaisissa kytkimissä ennen portin määrittämistä runkotilassa sinun on valittava dot1q-kapselointityyppi (komento: " switchport trunk kapselointi dot1q» käyttöliittymän konfigurointitilassa)

3. Tarkista VLAN-asetukset

Näytä tiedot VTP-protokollasta: " näytä vtp-tila«

Näytä tiedot kaikista kytkimen VLAN-verkoista: " näytä vlan«

Tarkastele tietoja tietystä VLANista ja selvitä, missä porteissa se on: " näytä vlan id vlan-id «

Tarkastele portin toimintatilaa, alkuperäistä vlan-verkkoa, käyttöliittymää jne.: " näyttää käyttöliittymät käyttöliittymätunnus kytkinportti«

Joskus on tarpeen luoda Layer 3 -liitäntä kytkimen VLANille. Esimerkiksi IP-liikenteen reitittämiseen ja suodattamiseen eri VLAN-verkkojen välillä (L3-tasolle on oltava tuki sekä itse kytkinmallissa että IOS-versiossa). Tai luo yksinkertaisesti käyttöliittymä tämän kytkimen hallintaan erityisessä VLANissa.

Verkkoliitäntä VLANille luodaan globaalissa konfigurointitilassa komennolla: " käyttöliittymä vlan-id ", Missä vlan-id on VLAN-numero.

Esimerkki L3-liitännän luomisesta VLAN 200:lle.

VLANit abstraktivat ajatuksen fyysisestä verkosta (LAN) tarjoamalla mahdollisuuden yhdistää virtuaalinen yksityinen verkko datalinjaan aliverkkokohtaisesti. Yksi tai useampi verkko-vlan-kytkin voi tukea useita itsenäisiä virtuaaliverkkoja. Näin on mahdollista luoda erilaisia tiedonsiirtokerroksen aliverkkojen toteutuksia. Verkon segmentointi liittyy usein tarpeeseen rajoittaa lähetysaluetta. Tyypillisesti toimialuetta palvelee yksi tai useampi Ethernet-kytkin keskisuurille ja suurille verkoille.

VLAN-verkot helpottavat verkon ylläpitäjien jakaa yksittäisen kytketyn verkon loogisiin segmentteihin yritysjärjestelmien toiminnallisuus- ja turvallisuusvaatimusten mukaisesti. Tässä tapauksessa ei ole tarvetta vetää ja kytkeä uudelleen uusia kaapeleita tai tehdä merkittäviä muutoksia nykyiseen verkkoinfrastruktuuriin. Koko uuden työsuunnitelman organisointiprosessi tapahtuu loogisella tasolla - verkkolaitteiden asennuksen tasolla. Kytkimien portit (rajapinnat) voidaan määrittää yhteen tai useampaan virtuaaliverkkoon. Näin voit jakaa järjestelmän loogisiin ryhmiin. Sen mukaan, mitkä osastot omistavat tietyn palvelun tai resurssin, määritellään säännöt, joiden mukaan yksittäisten ryhmien järjestelmät saavat kommunikoida keskenään. Ryhmäkokoonpanot voivat vaihdella yksinkertaisesta ideasta – samassa virtuaaliverkossa olevat tietokoneet voivat nähdä tulostimen kyseisessä segmentissä, mutta segmentin ulkopuolella olevat tietokoneet eivät – suhteellisen monimutkaisiin malleihin. Esimerkiksi vähittäispankkiosastojen tietokoneet eivät voi kommunikoida myyntiosastojen tietokoneiden kanssa.

Jokainen looginen virtuaalinen verkkosegmentti tarjoaa datalinkin pääsyn kaikkiin isäntiin, jotka on kytketty kytkinportteihin, jotka on määritetty samalla verkkotunnuksella. VLAN-tunniste on 12-bittinen kenttä Ethernet-kehyksen otsikossa, joka tukee jopa 4096 VLAN:ia kytkentäaluetta kohden. VLAN-koodaus on standardoitu IEEE:ssä (Institute of Electrical and Electronics Engineers) 802.1Q, ja sitä kutsutaan usein nimellä Dot1Q.

Reititintä käytetään fyysisten paikallisten verkkojen yhdistämiseen

Ennen VPN-verkkojen tuloa meidän piti segmentoida lähiverkko fyysisten kytkimien perusteella.

Mitä enemmän segmenttejä sinun on järjestettävä, sitä enemmän kytkimiä sinun on ostettava. Reititintä käytetään liikenteen välittämiseen paikallisten verkkojen välillä.

Tilanne muuttuu monimutkaisemmaksi, jos sinulla on 2 erillistä toimistoa. Ja jos verkko on määritetty yllä olevan kaavion mukaan, tarvitset yhden, vaan kaksi erillistä kaapelia toimistojen välillä. Paikkojen syrjäisyydestä riippuen näiden reittien rakentaminen voi aiheuttaa vakavia kustannuksia. Kuvittele nyt, että sinulla on 3 tai enemmän toimistoa ja esimerkiksi 5 osastoa yrityksessä. Osoittautuu, että sinun on rakennettava 15 kaapelireittiä - yritys ei suostu tähän.

Tarvitsemme ratkaisun yllä olevan ongelman korjaamiseksi. Emme voi enää luottaa fyysiseen segmentointiin, koska se on joustamatonta, kalliimpaa ja vaikeuttaa elämääsi Ratkaisu on nimeltään Virtual LAN - VLAN.

VLANeja käyttämällä meillä on enemmän vaihtoehtoja verkon segmentointiin porttien tai jopa MAC-osoitteen tai protokollien perusteella.

Mitä ovat virtuaaliset yksityiset VLANit ja miten ne toimivat?

VLAN-verkkojen käsite juontaa juurensa tietoliikenteen aikakauden alkuun. Kun kytkimeen on määritetty segmentti (VLAN10 ja VLAN20), lisäämme VLAN-tunnisteen juuri ennen kehyksen lähettämistä VLAN-runkoon. Tämä tunniste osoittaa, mihin virtuaalisen verkon segmenttiin kukin kehys kuuluu. Siksi, kun kehys saapuu kohde-Ethernet-kytkimelle, se tietää, mihin vlaniin sen tulee välittää viesti.

Miten runkoyhteys toimii?

OSI-verkkomallin kerroksen 2 lähtevissä kehyksissä, kun ne lähetetään runkoportin kautta, otsikkoa muutetaan
Kytkin lisää 802.1Q VLAN -tunnisteen Source MAC- ja EtherType-kenttien väliin

Huomaa, että kaikki nämä prosessit tapahtuvat OSI-mallin kerroksessa 2 (tietolinkkikerros). Verkkokerros ei ole mukana tässä tapauksessa.

Miten liikenne vaihtuu eri VLAN-verkkojen välillä?

Kysymys on samanlainen: kuinka liikenne välitetään Ethernet-paikallisverkon sisällä? Eristetyt 2-tason lähiverkkosegmentit eivät voi lähettää tietoja toisilleen, elleivät ne ole kytkettynä reitittimeen. Reititin on vastuussa kehysten välittämisestä muille segmenteille. Koska reititin on kerroksen 3 laite, kaikkien laitteiden on käytettävä kerroksen 3 otsikkoa, kuten IP-osoitetta.

Kaikki riippuu reitittimen ominaisuuksista. Jos reititin ei tue VLAN:ia, tarvitsemme pääsyportteja, jotka muodostavat yhteyden sen liitäntöihin.