ID VLAN - ce este. Configurarea VLAN (Virtual Local Area Network) pe echipamentele de rețea Mikrotik. Separarea unei rețele locale folosind VLAN-uri


9) Rutare: static și dinamic pe exemplul RIP, OSPF și EIGRP.
10) Traducere adrese de rețea: NAT și PAT.
11) Protocoale de redundanță primul hop: FHRP.
12) Securitatea rețelelor de calculatoare și rețelele private virtuale: VPN.
13) Rețele globale și protocoale utilizate: PPP, HDLC, Frame Relay.
14) Introducere în IPv6, configurare și rutare.
15) Managementul rețelei și monitorizarea rețelei.

P.S. Poate că lista se va extinde în timp.


În articolele anterioare, am lucrat deja cu multe dispozitive de rețea, am înțeles cum diferă între ele și am examinat în ce constau cadrele, pachetele și alte PDU-uri. În principiu, cu aceste cunoștințe, puteți organiza o rețea locală simplă și puteți lucra în ea. Dar lumea nu stă pe loc. Există tot mai multe dispozitive care încarcă rețeaua sau, și mai rău, prezintă un risc de securitate. Și, de regulă, „pericol” apare înaintea „siguranței”. Acum o voi arăta pe cel mai simplu exemplu.

Nu ne vom atinge deocamdată de routere și subrețele diferite. Să presupunem că toate gazdele sunt pe aceeași subrețea.

Iată o listă de adrese IP:

  1. PC1 - 192.168.1.2/24
  2. PC2 - 192.168.1.3/24
  3. PC3 - 192.168.1.4/24
  4. PC4 - 192.168.1.5/24
  5. PC5 - 192.168.1.6/24
  6. PC6 - 192.168.1.7/24
Avem 3 departamente: management, contabilitate, departament personal. Fiecare departament are propriul său comutator și sunt conectați prin cel central superior. Și astfel PC1 trimite un ping către PC2.






Cine vrea să vadă asta sub formă de animație, deschide spoilerul (acolo este afișat ping de la PC1 la PC5).

Funcționarea rețelei într-un singur domeniu de difuzare


Frumos nu? Despre activitatea protocolului ARP am vorbit deja de mai multe ori în articolele trecute, dar asta a fost anul trecut, așa că voi explica pe scurt. Deoarece PC1 nu cunoaște adresa MAC (sau adresa stratului de legătură) a PC2, trimite un ARP către informații pentru a-i spune. Vine la switch, de unde este retransmis la toate porturile active, adica la PC2 si la switch-ul central. De la comutatorul central va zbura către comutatoarele vecine și așa mai departe, până ajunge la toată lumea. Aceasta nu este o cantitate mică de trafic cauzată de un mesaj ARP. Toți membrii rețelei l-au primit. Traficul mare și inutil este prima problemă. A doua problemă este securitatea. Cred că au observat că mesajul a ajuns chiar și la departamentul de contabilitate, ale cărui calculatoare nu au participat deloc. Orice intrus care se conectează la oricare dintre comutatoare va avea acces la întreaga rețea. În principiu, rețelele funcționau așa. Calculatoarele erau în același mediu de canal și erau separate doar prin routere. Dar timpul a trecut și a fost necesar să se rezolve această problemă la nivel de canal. Cisco, ca pionier, a venit cu propriul protocol care a marcat cadrele și a determinat apartenența la un anumit mediu de canal. S-a numit ISL (Inter-Switch Link). Tuturor le-a plăcut această idee și IEEE a decis să dezvolte un standard deschis similar. Standardul este numit 802,1q. El a primit o distribuție uriașă și Cisco a decis să treacă și la ea.
Și doar tehnologia VLAN se bazează pe funcționarea protocolului 802.1q. Să începem să vorbim despre ea.

În am arătat cum arată un cadru Ethernet. Privește-l și împrospătează-ți memoria. Așa arată un cadru neetichetat.

Acum să aruncăm o privire la cel etichetat.

După cum puteți vedea, diferența este că este o anumită Etichetă. Acesta este ceea ce ne interesează. Să săpăm mai adânc. Este format din 4 părți.

1) TPID (Englez Tag Protocol ID) sau Tagged Protocol Identifier- constă din 2 octeți și este întotdeauna egal cu 0x8100 pentru VLAN.
2) PCP (English Priority Code Point) sau valoare de prioritate- constă din 3 biți. Folosit pentru a prioritiza traficul. Administratorii de sistem cool și bărbos știu cum să-l gestioneze și să-l opereze în mod corespunzător atunci când pe rețea circulă trafic diferit (voce, video, date etc.)
3) CFI (English Canonical Format Indicator) sau Canonical Format Indicator- un câmp simplu format dintr-un bit. Dacă este setat la 0, atunci acesta este formatul standard al adresei MAC.
4) VID (ID VLAN englez) sau identificator VLAN- constă din 12 biți și arată în ce VLAN se află cadrul.

Vreau să atrag atenția asupra faptului că etichetarea cadrelor se realizează între dispozitivele de rețea (comutatoare, routere etc.), iar cadrele nu sunt etichetate între nodul final (computer, laptop) și dispozitivul de rețea. Prin urmare, portul dispozitivului de rețea poate fi în 2 stări: acces sau trompă.

  • Port de acces sau port de acces- un port situat într-un anumit VLAN și care transmite cadre neetichetate. De regulă, acesta este portul care se uită la dispozitivul utilizatorului.
  • Port trunk sau port trunk- port care transmite trafic etichetat. De regulă, acest port este ridicat între dispozitivele din rețea.
Acum o voi arăta în practică. Deschid același laborator. Nu voi repeta imaginea, dar voi deschide imediat comutatorul și voi vedea ce are cu VLAN.

Recrutez o echipă arată vlan.


Sunt construite mai multe mese. De fapt, doar primul este important pentru noi. Acum vă voi arăta cum să o citiți.

1 coloană este numărul VLAN. Numărul 1 este prezent inițial aici - acesta este un VLAN standard care este inițial pe fiecare comutator. Îndeplinește o altă funcție, despre care voi scrie mai jos. Există și rezervate din 1002-1005. Aceasta este pentru alte medii de canal care este puțin probabil să fie utilizate acum. Nici nu le poți șterge.

Switch(config)#no vlan 1005 Este posibil ca VLAN-ul implicit 1005 să nu fie șters.
La ștergere, Cisco afișează un mesaj că acest VLAN nu poate fi șters. Prin urmare, trăim și nu atingem aceste 4 VLAN-uri.

2 coloană este numele VLAN-ului. Când creați un VLAN, puteți, la discreția dvs., să veniți cu nume semnificative pentru ele, pentru a le identifica mai târziu. Există deja implicit, fddi-default, token-ring-default, fddinet-default, trnet-default.

3 coloană- stare. Aceasta arată în ce stare se află VLAN-ul. Momentan, VLAN 1 sau implicit este în stare activă, iar următoarele 4 sunt act/unsup (deși activ, dar nu este acceptat).

4 coloană- porturi. Aceasta arată căror VLAN-uri aparțin porturile. Acum, când nu am atins încă nimic, ei sunt implicit.

Să începem configurarea comutatoarelor. Este o practică bună să dai comutatoarelor nume semnificative. Ce vom face. Aduc echipa.

Switch(config)#hostname CentrSW CentrSW(config)#
Restul sunt configurate în același mod, așa că voi arăta diagrama topologiei actualizată.


Să începem configurația cu comutatorul SW1. Mai întâi, să creăm un VLAN pe comutator.

SW1(config)#vlan 2 - creați VLAN 2 (VLAN 1 este rezervat implicit, așa că îl luăm pe următorul). SW1(config-vlan)#name Dir-ya - intrați în setările VLAN și dați-i un nume.
VLAN a fost creat. Acum să trecem la porturi. Interfața FastEthernet0/1 se uită la PC1 și FastEthernet0/2 se uită la PC2. După cum am menționat mai devreme, cadrele dintre ele trebuie transmise neetichetate, așa că le vom transfera în starea Acces.

SW1(config)#interface fastEthernet 0/1 - mergeți la configurarea primului port. SW1(config-if)#switchport mode access - comută portul în modul acces. SW1(config-if)#switchport access vlan 2 - atribuit portului celui de-al doilea VLAN. SW1(config)#interface fastEthernet 0/2 - mergeți la configurarea celui de-al doilea port. SW1(config-if)#switchport mode access - comută portul în modul acces. SW1(config-if)#switchport access vlan 2 - atribuit portului celui de-al doilea VLAN.
Deoarece ambele porturi sunt fixate sub același VLAN, ele ar putea fi configurate ca un grup.

SW1(config)#interfață interval fastEthernet 0/1-2 - adică selectați pool-ul și apoi setarea este similară. SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport acces vlan 2
Configurați porturi de acces. Acum să configuram un trunchi între SW1 și CentrSW.

SW1(config)#interface fastEthernet 0/24 - mergeți la configurarea celui de-al 24-lea port. SW1(config-if)#switchport mode trunk - comută portul în modul trunk. %LINEPROTO-5-UPDOWN: protocol de linie pe interfața FastEthernet0/24, starea schimbată în jos %LINEPROTO-5-UPDOWN: protocol de linie pe interfața FastEthernet0/24, starea schimbată în sus
Vedem imediat că portul a fost reconfigurat. În principiu, acest lucru este suficient pentru a funcționa. Dar din punct de vedere al securității, doar acele VLAN-uri care sunt cu adevărat necesare ar trebui permise pentru transmisie. Să începem.

SW1(config-if)#switchport trunk allowed vlan 2 - permitem transmiterea doar a celui de-al 2-lea VLAN.
Fără această comandă, toate VLAN-urile disponibile vor fi transmise. Să vedem cum s-a schimbat tabelul cu comanda arată vlan.


Al 2-lea VLAN a apărut cu numele Dir-ya și vedem porturile fa0/1 și fa0/2 care îi aparțin.

Pentru a afișa numai tabelul de sus, puteți folosi comanda arata vlan brief.


De asemenea, puteți scurta rezultatul specificând un anumit ID VLAN.


Sau numele lui.


Toate informațiile VLAN sunt stocate în memoria flash în fișierul vlan.dat.


După cum puteți vedea, nu există informații despre trunchi în niciuna dintre comenzi. Poate fi vizualizat de o altă echipă arată trunchiul interfeței.


Există informații despre porturile trunchiului și despre ce VLAN-uri transmit. Există și o coloană vlan nativ. Acesta este exact traficul care nu trebuie etichetat. Dacă un cadru neetichetat ajunge la comutator, atunci acesta este atribuit automat Vlanului nativ (în mod implicit, în cazul nostru, acesta este VLAN 1). VLAN nativ este posibil și mulți spun că trebuie schimbat din motive de securitate. Pentru a face acest lucru, în modul de configurare a portului trunchiului, trebuie să utilizați comanda - Switchport trunk nativ Vlan X, Unde X- numărul de VLAN alocat. În această topologie, nu ne vom schimba, dar este util să știm cum să o facem.

Rămâne de configurat restul dispozitivelor.

CentrSW:
Comutatorul central este o legătură, ceea ce înseamnă că trebuie să știe despre toate VLAN-urile. Prin urmare, le creăm mai întâi și apoi transferăm toate interfețele în modul trunk.

CentrSW(config)#vlan 2 CentrSW(config-vlan)# nume Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# nume buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# nume otdel -kadrov CentrSW(config)#interfață range fastEthernet 0/1-3 CentrSW(config-if-range)#switchport mode trunk
Nu uitați să salvați configurația. Echipă copiați running-config startup-config.

SW2(config)#vlan 3 SW2(config-vlan)#nume buhgalter SW2(config)#interfață fastEthernet 0/1-2 SW2(config-if-range)#switchport mode access SW2(config-if-range)# acces switchport vlan 3 SW2(config)#interfață fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#switchport trunk permis vlan 3
SW3:

SW3(config)#vlan 4 SW3(config-vlan)#nume otdel kadrov SW3(config)#interfață fastEthernet 0/1-2 SW3(config-if-range)#switchport mode access SW3(config-if-range) #switchport access vlan 4 SW3(config)#interfață fastEthernet 0/24 SW3(config-if)#switchport mode trunk SW3(config-if)#switchport trunk permis vlan 4
Vă rugăm să rețineți că am creat și configurat VLAN-uri, dar am lăsat gazda să se adreseze la fel. Adică, de fapt, toate nodurile sunt pe aceeași subrețea, dar separate de VLAN-uri. Nu poți face asta. Fiecărui VLAN trebuie alocată o subrețea separată. Am făcut asta doar în scopuri educaționale. Dacă fiecare departament s-ar afla pe propria subrețea, atunci acestea ar fi limitate a priori, deoarece comutatorul nu știe cum să direcționeze traficul de la o subrețea la alta (în plus, aceasta este deja o limitare la nivel de rețea). Și trebuie să limităm departamentele la nivel de legătură de date.
Din nou trimit ping de la PC1 la PC3.

Intră în cursul ARP, care este ceea ce avem nevoie acum. Să-l deschidem.

Până acum, nimic nou. ARP este încapsulat în ethernet.

Cadrul ajunge la comutator și este etichetat. Acum nu există un ethernet obișnuit, ci 802.1q. S-au adăugat câmpuri despre care am scris mai devreme. Acest TPID, care este 8100 și indică faptul că este 802,1q. ȘI TCI, care combină 3 câmpuri PCP, CFI și VID. Numărul din acest câmp este numărul VLAN. Mergem mai departe.


După etichetă, trimite un cadru către PC2 (pentru că este în același VLAN) și către comutatorul central prin portul trunk.


Deoarece nu a fost codificat ce tipuri de VLAN-uri să treacă prin ce porturi, va trimite la ambele switch-uri. Și aici comutatoarele, după ce au văzut numărul VLAN, înțeleg că nu au dispozitive cu un astfel de VLAN și îl aruncă cu îndrăzneală.


PC1 așteaptă un răspuns care nu sosește niciodată. Puteți vedea sub spoiler sub formă de animație.

Animaţie


Acum, următoarea situație. În cadrul direcției se angajează o altă persoană, dar în biroul direcției nu este loc și pentru o perioadă cer să plaseze o persoană în compartimentul de contabilitate. Rezolvăm această problemă.


Am conectat computerul la portul FastEthernet 0/3 al switch-ului și am atribuit adresa IP 192.168.1.8/24.
Acum configurați comutatorul SW2. Deoarece computerul trebuie să fie în al 2-lea VLAN, despre care comutatorul nu știe, îl vom crea pe comutator.

SW2(config)#vlan 2 SW2(config-vlan)#nume Dir-ya
În continuare, configurăm portul FastEthernet 0/3, care se uită la PC7.

SW2(config)#interfață fastEthernet 0/3 SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2
Și ultimul lucru este să configurați portul trunchiului.

SW2(config)#interfață fastEthernet 0/24 SW2(config-if)#switchport trunk permis vlan add 2 - acordați atenție acestei comenzi. Și anume, cuvântul cheie „adăugați”. Dacă nu adăugați acest cuvânt, atunci veți șterge toate celelalte VLAN-uri permise pentru transmisie pe acest port. Prin urmare, dacă ați avut deja un trunchi pe port și au fost transmise alte VLAN-uri, atunci trebuie să îl adăugați în acest fel.
Pentru ca ramele să meargă frumos, voi corecta comutatorul central CentrSW.

CentrSW(config)#interfață fastEthernet 0/1 CentrSW(config-if)#switchport trunk permis vlan 2 CentrSW(config)#interfață fastEthernet 0/2 CentrSW(config-if)#switchport trunk permis vlan 2,3 CentrSW(config) #interfață fastEthernet 0/3 CentrSW(config-if)#switchport trunk permis vlan 4
Verificați ora. Trimit ping de la PC1 la PC7.



Până acum, întreaga cale este similară cu cea anterioară. Dar de acum înainte (din poza de mai jos), comutatorul central va lua o altă decizie. El primește un cadru și vede că este etichetat cu al 2-lea VLAN. Aceasta înseamnă că trebuie să-l trimiteți numai acolo unde este permis, adică la portul fa0 / 2.


Și acum vine la SW2. Îl deschidem și vedem că este încă etichetat. Dar următorul nod este un computer și eticheta trebuie eliminată. Faceți clic pe „Detalii PDU de ieșire” pentru a vedea sub ce formă va zbura cadrul din comutator.


Și într-adevăr. Comutatorul va trimite cadrul într-o formă „curată”, adică fără etichete.


ARP ajunge la PC7. Îl deschidem și ne asigurăm că cadrul PC7 neetichetat se recunoaște și trimite un răspuns.


Deschidem cadrul de pe comutator și vedem că va merge etichetat pentru trimitere. Apoi cadrul va călători în același mod în care a venit.



ARP ajunge la PC1, după cum arată o bifă de pe plic. Acum știe adresa MAC și folosește ICMP.


Deschidem pachetul pe comutator și observăm aceeași imagine. La nivelul de legătură, cadrul este etichetat de comutator. Acesta va fi cazul pentru fiecare postare.




Vedem că pachetul ajunge cu succes la PC7. Nu voi arăta drumul înapoi, pentru că este asemănător. Dacă cineva este interesat, puteți vedea întreaga cale în animație sub spoilerul de mai jos. Și dacă doriți să alegeți singur această topologie, atașez un link către laborator.

Logica VLAN



Iată, în principiu, cea mai populară aplicație a VLAN-urilor. Indiferent de locația fizică, puteți combina în mod logic nodurile în grupuri, izolându-le astfel de altele. Este foarte convenabil atunci când angajații lucrează fizic în locuri diferite, dar trebuie să fie uniți. Și, desigur, din punct de vedere al securității, VLAN-urile nu sunt interschimbabile. Principalul lucru este că un cerc limitat de oameni au acces la dispozitivele de rețea, dar aceasta este o problemă separată.
S-au atins restricții la nivel de canal. Traficul acum nu merge nicăieri, ci merge strict conform scopului propus. Dar acum se pune întrebarea că departamentele trebuie să comunice între ele. Și din moment ce se află în medii de canale diferite, rutarea intră în joc. Dar înainte de a începe, să punem în ordine topologia. Primul lucru la care punem mâna este adresarea nodurilor. Din nou, fiecare departament trebuie să fie pe propria sa subrețea. În total obținem:
  • Directia - 192.168.1.0/24
  • Contabilitate - 192.168.2.0/24
  • Compartimentul resurse umane - 192.168.3.0/24


Odată ce subrețelele sunt definite, ne adresăm imediat nodurilor.
  1. PC1:
    IP: 192.168.1.2
    Mască: 255.255.255.0 sau /24
    Gateway: 192.168.1.1
  2. PC2:
    IP: 192.168.1.3
    Mască: 255.255.255.0 sau /24
    Gateway: 192.168.1.1
  3. PC3:
    IP: 192.168.2.2
    Mască: 255.255.255.0 sau /24
    Gateway: 192.168.2.1
  4. PC4:
    IP: 192.168.2.3
    Mască: 255.255.255.0 sau /24
    Gateway: 192.168.2.1
  5. PC5:
    IP: 192.168.3.2
    Mască: 255.255.255.0 sau /24
    Gateway: 192.168.3.1
  6. PC6:
    IP: 192.168.3.3
    Mască: 255.255.255.0 sau /24
    Gateway: 192.168.3.1
  7. PC7:
    IP: 192.168.1.4
    Mască: 255.255.255.0 sau /24
    Gateway: 192.168.1.1
Acum despre schimbările în topologie. Vedem că routerul a fost adăugat. Acesta va transfera doar traficul de la un VLAN la altul (cu alte cuvinte, îl va ruta). Inițial, nu există nicio legătură între acesta și comutator, deoarece interfețele sunt oprite.
Nodurile au adăugat un astfel de parametru precum adresa gateway-ului. Ei folosesc această adresă atunci când trebuie să trimită un mesaj către o gazdă situată pe o subrețea diferită. În consecință, fiecare subrețea are propriul gateway.

Rămâne să configurez routerul și îi deschid CLI. Prin tradiție, voi da un nume semnificativ.

Router(config)#hostname Gateway Gateway(config)#
În continuare, trecem la configurarea interfețelor.

Gateway(config)#interface fastEthernet 0/0 - accesați interfața necesară. Gateway(config-if)#no shutdown - activați-l. %LINK-5-CHANGED: Interfață FastEthernet0/0, starea schimbată în sus %LINEPROTO-5-UPDOWN: Protocol de linie pe interfața FastEthernet0/0, starea schimbată în sus
Acum atentie! Am activat interfața, dar nu i-am atribuit o adresă IP. Cert este că doar o legătură sau un canal este nevoie de la interfața fizică (fastethernet 0/0). Rolul gateway-urilor va fi îndeplinit de interfețe sau subinterfețe virtuale (subinterfață engleză). În prezent, există 3 tipuri de VLAN. Aceasta înseamnă că vor exista 3 subinterfețe. Să începem configurarea.

Gateway(config)#interfață fastEthernet 0/0.2 Gateway(config-if)#capsulation dot1Q 2 Gateway(config-if)#adresă ip 192.168.1.1 255.255.255.0 Gateway(config)#interfață fastEthernet 0/0.3if Gateway(config-if) )#capsulation dot1Q 3 Gateway(config-if)#ip address 192.168.2.1 255.255.255.0 Gateway(config)#interfață fastEthernet 0/0.4 Gateway(config-if)#capsulation dot1Q 4 Gateway(config-if)2.ip6 adresa .3.1 255.255.255.0
Routerul este configurat. Mergem la comutatorul central și configuram un port trunk pe acesta, astfel încât să treacă cadrele etichetate către router.

CentrSW(config)#interfață fastEthernet 0/24 CentrSW(config-if)#switchport mode trunk CentrSW(config-if)#switchport trunk permis vlan 2,3,4
Configurarea s-a terminat și trecem la exersare. Trimit ping de la PC1 la PC6 (adică la 192.168.3.3).


PC1 nu are idee cine este PC6 sau 192.168.3.3, dar știe că sunt pe subrețele diferite (cum înțelege el acest lucru este descris în articol). Prin urmare, va trimite un mesaj prin gateway-ul principal, a cărui adresă este specificată în setările sale. Și deși PC1 știe adresa IP a gateway-ului principal, adresa MAC nu este suficientă pentru fericirea completă. Și lansează ARP.




Notă. Odată ce un cadru ajunge la CentrSW, comutatorul nu îl trimite oricui. Trimite doar la acele porturi unde trecerea celui de-al 2-lea VLAN este permisă. Adică pe router și pe SW2 (există un utilizator care stă în al 2-lea VLAN).


Routerul se recunoaște și trimite un răspuns (indicat de o săgeată). Și uită-te la cadrul de jos. Când SW2 a primit ARP de la comutatorul central, în mod similar, nu l-a trimis la toate computerele, ci a trimis doar PC7, care se află în al 2-lea VLAN. Dar PC7 îl aruncă, deoarece nu este pentru el. Să privim mai departe.



ARP a ajuns la PC1. Acum știe totul și poate trimite ICMP. Încă o dată, aș dori să vă atrag atenția asupra faptului că adresa MAC de destinație (stratul de legătură) va fi adresa routerului, iar adresa IP de destinație (stratul de rețea) va fi adresa PC6.




ICMP ajunge la router. Se uită la foaia de calcul și își dă seama că nu cunoaște pe nimeni la 192.168.3.3. Aruncă ICMP primit și permite ARP să fie cercetat.





PC6 se recunoaște și trimite un răspuns.




Răspunsul ajunge la router și adaugă o intrare în tabelul său. Puteți vizualiza tabelul ARP cu comanda arata arp.
Mergem mai departe. PC1 este nemulțumit că nimeni nu îi răspunde și trimite următorul mesaj ICMP.








De data aceasta ICMP trece fără probleme. El va urma același traseu înapoi. Îți voi arăta doar rezultatul final.


Primul pachet a fost pierdut (ca urmare a lucrărilor ARP), iar al doilea a sosit fără probleme.
Cui îi pasă să-l vadă în animație, bine ați venit la spoiler.

Rutare InterVLAN



Asa de. Am realizat că, dacă nodurile sunt în aceeași subrețea și în aceeași VLAN, atunci vor trece direct prin comutatoare. În cazul în care trebuie să trimiteți un mesaj către o altă subrețea și VLAN, atunci acesta va fi transmis prin routerul Gateway, care efectuează rutarea „inter-vlane”. Această topologie se numește "router pe un stick" sau "router pe un stick". După cum puteți vedea, este foarte convenabil. Am creat 3 interfețe virtuale și am trimis diferite cadre etichetate de-a lungul unui fir. Fără utilizarea subinterfețelor și a VLAN-urilor, ar fi necesar să se folosească o interfață fizică separată pentru fiecare subrețea, ceea ce nu este deloc profitabil.

Apropo, această întrebare este foarte bine analizată în acest videoclip (videoclipul durează aproximativ 3 ore, deci linkul este legat de acel moment în timp). Dacă după ce ați citit și vizionat videoclipul doriți să finalizați totul cu propriile mâini, atașez un link de descărcare.

Ne-am ocupat de VLAN-uri și am trecut la unul dintre protocoalele care funcționează cu el.
DTP (Dynamic Trunking Protocol) sau în rusă protocol trunchi dinamic- un protocol proprietar de la Cisco, care este folosit pentru a implementa modul trunk între switch-uri. Deși, în funcție de stare, pot fi consistente și în modul de acces.

Există 4 moduri în DTP: Dinamic automat, Dinamic de dorit, Trunk, Acces. Să vedem cum se potrivesc.

Moduri automat dinamic dinamic de dorit Trompă Acces
automat dinamic Acces Trompă Trompă Acces
dinamic de dorit Trompă Trompă Trompă Acces
Trompă Trompă Trompă Trompă Nici o conexiune
Acces Acces Acces Nici o conexiune Acces

Adică, coloana din stânga este primul dispozitiv, iar rândul de sus este al 2-lea dispozitiv. În mod implicit, comutatoarele sunt în modul „dinamic automat”. Dacă te uiți la tabelul de cartografiere, atunci două comutatoare în modul „auto dinamic” sunt consecvente în modul „acces”. Să verificăm asta. Creez un nou laborator și adaug 2 comutatoare.


Nu le voi conecta încă. Trebuie să mă asigur că ambele comutatoare sunt în modul „dinamic automat”. Voi verifica cu echipa afișează interfețele switchport.


Rezultatul acestei comenzi este foarte mare, așa că l-am decupat și am evidențiat punctele de interes. Sa incepem cu Modul Administrativ. Această linie arată în care dintre cele 4 moduri se află acest port pe comutator. Ne asigurăm că porturile ambelor switch-uri sunt în modul „Dynamic auto”. O linie Mod operațional arată în ce mod de operare au fost de acord să lucreze. Nu le-am conectat încă, așa că sunt în starea „jos”.

Îți voi da un sfat bun chiar acum. Când testați orice protocol, utilizați filtre. Opriți afișarea activității tuturor protocoalelor de care nu aveți nevoie.

Am pus CPT în modul de simulare și am filtrat toate protocoalele, cu excepția DTP.



Cred că totul este clar aici. Conectez comutatoarele cu un cablu și, când legăturile sunt ridicate, unul dintre comutatoare generează un mesaj DTP.


Îl deschid și văd că este DTP încapsulat într-un cadru Ethernet. Îl trimite la adresa multicast „0100.0ccc.cccc”, care se referă la protocoalele DTP, VTP, CDP.
Și voi fi atent la 2 câmpuri din antetul DTP.

1) Tip DTP- aici expeditorul introduce o ofertă. Adică în ce mod vrea să fie de acord. În cazul nostru, el sugerează să fie de acord asupra „accesului”.
2) Adresa MAC a vecinului- în acest câmp, el notează adresa MAC a portului său.

El trimite și așteaptă un răspuns de la un vecin.


Mesajul ajunge la SW1 și generează un răspuns. Unde negociază și modul „acces”, își introduce adresa MAC și o trimite în drum spre SW2.


Atinge cu succes DTP. În teorie, ar fi trebuit să fie consecvenți în modul „acces”. Voi verifica.


După cum era de așteptat, au fost de acord cu modul „acces”.
Cineva spune că tehnologia este convenabilă și o folosește. Dar nu recomand cu tărie utilizarea acestui protocol în rețeaua mea. Nu sunt singurul care recomandă acest lucru și acum voi explica de ce. Ideea este că acest protocol deschide o mare gaură de securitate. Voi deschide laboratorul care s-a ocupat de lucrarea „Router pe un stick” și voi adăuga un alt comutator acolo.


Acum voi intra în setările noului comutator și voi codifica portul pentru a funcționa în modul trunk.

New_SW(config)#interfață fastEthernet 0/1 New_SW(config-if)#switchport mode trunk
Le conectez și văd cum se potrivesc.


În regulă. Modurile „auto dinamic” și „portbagaj” sunt consecvente în mod trompă. Acum așteptăm ca cineva să înceapă să arate activitate. Să presupunem că PC1 a decis să trimită un mesaj cuiva. Generează ARP și lansează în rețea.


Sa sarim peste drumul lui pana in momentul in care ajunge in SW2.


Și aici este cel mai interesant.


Îl trimite la comutatorul nou conectat. Îți explic ce s-a întâmplat. De îndată ce am convenit cu el asupra portbagajului, începe să-i trimită toate cadrele primite. Deși diagrama arată că comutatorul scade cadre, asta nu înseamnă nimic. Puteți conecta orice dispozitiv de interceptare (sniffer) la comutator sau în locul comutatorului și să vedeți cu calm ce se întâmplă în rețea. Se pare că a interceptat un ARP inofensiv. Dar dacă te uiți mai profund, poți vedea că adresa MAC „0000.0C1C.05DD” și adresa IP „192.168.1.2” sunt deja cunoscute. Adică, PC1 s-a dat fără să se gândească. Acum atacatorul știe despre un astfel de computer. În plus, știe că stă în al 2-lea VLAN. Atunci poate face multe. Cel mai banal lucru este să vă schimbați adresa MAC, adresa IP, potrivirea rapidă în Access și uzurparea identității PC1. Dar cel mai interesant. La urma urmei, este posibil să nu înțelegi imediat. De obicei, când setăm modul de funcționare a portului, acesta este afișat imediat în configurație. import arată rularea-config.


Dar aici setările portului sunt goale. import afișează interfețele switchportși derulați la fa0/4.


Și aici vedem că portbagajul este de acord. Show running-config nu oferă întotdeauna informații complete. Prin urmare, amintiți-vă și alte comenzi.

Cred că este clar de ce nu poți avea încredere în acest protocol. Se pare că ușurează viața, dar în același timp poate crea o problemă uriașă. Deci, bazați-vă pe metoda manuală. Când configurați, desemnați imediat ce porturi vor funcționa în modul trunchi și care în acces. Și cel mai important - dezactivați întotdeauna potrivirea. Pentru ca comutatoarele să nu încerce să fie de acord cu nimeni. Acest lucru se face cu comanda „switchport nonegotiate”.

Să trecem la următorul protocol.

VTP (VLAN Trunking Protocol)- un protocol proprietar de la Cisco, care este folosit pentru a face schimb de informații despre VLAN-uri.

Imaginați-vă situația în care aveți 40 de comutatoare și 70 de VLAN-uri. Pentru totdeauna, trebuie să le creați manual pe fiecare comutator și să vă înregistrați pe ce porturi trunk să permiteți transmisia. Aceasta este o afacere lungă și plictisitoare. Prin urmare, VTP poate prelua această sarcină. Creați VLAN-uri pe un comutator, iar toate celelalte sunt sincronizate cu baza acestuia. Aruncă o privire la următoarea topologie.


Sunt 4 comutatoare aici. Unul dintre ei este un server VTP, iar celelalte 3 sunt clienți. Acele VLAN-uri care vor fi create pe server sunt sincronizate automat pe clienți. Voi explica cum funcționează VTP și ce poate face.

Asa de. VTP poate crea, modifica și șterge VLAN-uri. Fiecare astfel de acțiune presupune creșterea numărului de revizuire (fiecare acțiune crește numărul cu +1). După aceea, trimite anunțuri, unde este indicat numărul de revizuire. Clienții care primesc acest anunț își compară numărul de revizuire cu cel care a primit. Și dacă numărul primit este mai mare, își sincronizează baza de date cu acesta. În caz contrar, declarația este ignorată.

Dar asta nu este tot. VTP are roluri. În mod implicit, toate comutatoarele funcționează ca server. O să vă povestesc despre ele.

  1. Server VTP. Știe totul. Adică creează, modifică, șterge VLAN-uri. Dacă primește un anunț în care revizuirea este mai veche decât aceasta, atunci este sincronizată. Trimite constant anunturi si relee de la vecini.
  2. Client VTP- Acest rol este deja limitat. Nu puteți crea, edita sau șterge VLAN-uri. Toate VLAN-urile primesc și se sincronizează de la server. Informează periodic vecinii despre baza sa VLAN.
  3. VTP Transparent- acesta este un rol atât de independent. Poate crea, modifica și șterge VLAN-uri numai din baza sa de date. Nu impune nimic nimănui și nu acceptă nimic de la nimeni. Dacă primește un fel de anunț, îl transmite, dar nu se sincronizează cu baza sa. Dacă în rolurile anterioare numărul de revizuire a crescut cu fiecare modificare, atunci în acest mod numărul de revizuire este întotdeauna 0.
Asta e tot pentru VTP versiunea 2. În VTP versiunea 3, a fost adăugat încă un rol - VTP dezactivat. Nu trimite niciun anunt. Restul lucrării este similară cu modul transparent.

Citiți teoria și treceți la practică. Să verificăm dacă comutatorul central este în modul Server. Introducem comanda arată starea vtp.


Vedem că Mod de operare VTP: Server. De asemenea, puteți observa că versiunea VTP este a doua. Din păcate, versiunea a treia CPT nu este acceptată. Versiunea de revizuire zero.
Acum să configuram comutatoarele inferioare.

SW1(config)#vtp mode client Setarea dispozitivului la modul VTP CLIENT.
Vedem un mesaj că dispozitivul a trecut în modul client. Restul sunt configurate exact în același mod.

Pentru ca dispozitivele să poată face publicitate, acestea trebuie să fie în același domeniu. Și există o caracteristică aici. Dacă dispozitivul (în modul Server sau Client) nu aparține niciunui domeniu, atunci la primul anunț primit, acesta va merge către domeniul promovat. Dacă clientul se află într-un anumit domeniu, atunci nu va accepta anunțuri de pe alte domenii. Să deschidem SW1 și să ne asigurăm că nu aparține niciunui domeniu.


Asigurați-vă că este gol.

Acum mergem la comutatorul central și îl transferăm pe domeniu.

CentrSW(config)#vtp domain cisadmin.ru Schimbarea numelui domeniului VTP din NULL în cisadmin.ru
Vedem un mesaj că a fost transferat pe domeniul cisadmin.ru.
Să verificăm starea.


Și într-adevăr. Numele de domeniu s-a schimbat. Rețineți că numărul de revizuire este încă zero. Se va schimba de îndată ce vom crea un VLAN pe el. Dar înainte de a-l crea, trebuie să puneți simulatorul în modul de simulare pentru a vedea cum va genera reclame. Creăm al 20-lea VLAN și vedem următoarea imagine.


Odată ce VLAN-ul este creat și numărul de revizuire a fost incrementat, serverul generează reclame. Are două. Să-l deschidem mai întâi pe cel din stânga. Acest anunț se numește „Anunț rezumat” sau în rusă „anunț rezumat”. Acest anunț este generat de comutare o dată la 5 minute, unde se vorbește despre numele domeniului și revizuirea curentă. Să vedem cum arată.


În cadrul Ethernet, notați adresa MAC de destinație. Este la fel ca mai sus când a fost generat DTP. Adică, în cazul nostru, doar cei care au VTP rulând vor răspunde la aceasta. Acum să ne uităm la următorul câmp.


Aici sunt doar toate informațiile. Voi trece prin cele mai importante domenii.
  • Management Domain Name - numele domeniului în sine (în acest caz, cisadmin.ru).
  • Updater Identity - ID-ul celui care actualizează. Aici, de regulă, este scrisă adresa IP. Dar, deoarece adresa nu a fost atribuită comutatorului, câmpul este gol
  • Actualizare timestamp - ora actualizării. Ora de pe comutator nu s-a schimbat, așa că ora din fabrică este acolo.
  • MD5 Digest - MD5 hash. Este folosit pentru a verifica permisiunile. Adică dacă VTP-ul are o parolă. Nu am schimbat parola, deci hash-ul implicit.
Acum uită-te la următorul mesaj generat (cel din dreapta). Se numește „Reclamă pentru subseturi” sau „Reclamă detaliată”. Acestea sunt informații atât de detaliate despre fiecare VLAN transmis.
Cred că aici este clar. Antet separat pentru fiecare tip de VLAN. Lista este atât de lungă încât nu se potrivește pe ecran. Dar sunt exact la fel, cu excepția numelor. Nu-mi voi deranja capul, ceea ce înseamnă fiecare cod. Da, iar în CPT sunt mai convenționale aici.
Să vedem ce se întâmplă mai departe.


Clienții primesc reclame. Ei văd că numărul de revizuire este mai mare decât al lor și sincronizează baza de date. Și trimit un mesaj către server că baza VLAN s-a schimbat.


Cum funcționează protocolul VTP



Așa funcționează în principiu protocolul VTP. Dar are dezavantaje foarte mari. Și acestea sunt dezavantajele din punct de vedere al securității. Voi explica folosind exemplul aceluiași laborator. Avem un comutator central pe care sunt create VLAN-uri, iar apoi, prin multicast, le sincronizează cu toate comutatoarele. În cazul nostru, el vorbește despre VLAN 20. Vă sugerez să aruncați o altă privire asupra configurației sale.

Notă. Un mesaj VTP ajunge la server, unde numărul de revizuire este mai mare decât al său. El înțelege că rețeaua s-a schimbat și este necesar să se adapteze la ea. Să verificăm configurația.


Configurația serverului central s-a schimbat și acum o va difuza exact.
Acum imaginați-vă că nu avem un VLAN, ci sute. Iată o modalitate simplă de a pune o rețea. Desigur, domeniul poate fi protejat prin parolă și va fi mai greu pentru un atacator să facă rău. Și imaginați-vă situația în care comutatorul dvs. este stricat și trebuie să îl înlocuiți urgent. Dvs. sau colegul dvs. alergați la depozit pentru un comutator vechi și uitați să verificați numărul de revizuire. El este mai înalt decât restul. Ce se întâmplă în continuare, ați văzut deja. Prin urmare, recomand să nu utilizați acest protocol. Mai ales în rețelele corporative mari. Dacă utilizați VTP versiunea 3, atunci nu ezitați să setați comutatoarele în modul „Oprit”. Dacă se folosește a doua versiune, treceți la modul „Transparent”.
  • dtp
  • trompă
  • acces
    • Adaugă etichete

    VLAN-uri sunt rețele virtuale care există la al doilea nivel al modelului OSI. Adică, VLAN poate fi configurat la al doilea nivel. Dacă te uiți la VLAN-uri, făcând abstracție de la conceptul de „rețele virtuale”, atunci putem spune că un VLAN este doar o etichetă într-un cadru care este transmis prin rețea. Eticheta conține numărul VLAN (se numește VLAN ID sau VID), căruia îi sunt alocați 12 biți, adică wealan-ul poate fi numerotat de la 0 la 4095. Primul și ultimul număr sunt rezervate, nu pot fi folosite. De obicei, stațiile de lucru nu știu nimic despre VLAN-uri (cu excepția cazului în care configurați în mod specific VLAN-urile pe carduri). Comutatoarele se gândesc la ele. Pe porturile switch-urilor, este indicat în ce VLAN se află acestea. În funcție de aceasta, tot traficul care iese prin port este marcat cu o etichetă, adică VLAN. Astfel, fiecare port are un PVID ( identificatorul de port vlan). Acest trafic poate trece apoi prin alte porturi ale switch-urilor care se află în acest VLAN și nu va trece prin toate celelalte porturi. Ca urmare, se creează un mediu izolat (subrețea), care, fără un dispozitiv suplimentar (router), nu poate interacționa cu alte subrețele.

    De ce este nevoie de buruieni?

    • Capacitatea de a construi o rețea, a cărei structură logică nu depinde de cea fizică. Adică, topologia rețelei la nivel de legătură este construită indiferent de locația geografică a componentelor constitutive ale rețelei.
    • Abilitatea de a împărți un domeniu de difuzare în mai multe domenii de difuzare. Adică, traficul de difuzare de pe un domeniu nu merge către alt domeniu și invers. Acest lucru reduce sarcina pe dispozitivele de rețea.
    • Capacitatea de a securiza rețeaua împotriva accesului neautorizat. Adică, la nivelul de legătură de date, cadrele de la alți Wealan vor fi tăiate de portul de comutare, indiferent de adresa IP sursă în care pachetul este încapsulat în acest cadru.
    • Abilitatea de a aplica politici unui grup de dispozitive care se află în același wilan.
    • Abilitatea de a utiliza interfețe virtuale pentru rutare.

    Exemple de utilizare VLAN

    • Combinarea computerelor conectate la diferite comutatoare într-o singură rețea. Să presupunem că aveți computere care sunt conectate la diferite comutatoare, dar acestea trebuie să fie combinate într-o singură rețea. Vom combina unele computere într-o rețea locală virtuală VLAN 1, și altele - la rețea VLAN 2. Datorită funcției VLAN computerele din fiecare rețea virtuală vor funcționa ca și cum ar fi conectate la același switch. Calculatoare din diferite rețele virtuale VLAN 1Și VLAN 2 vor fi invizibili unul pentru celălalt.
    • Separarea în diferite subrețele de computere conectate la același switch.În figură, computerele sunt conectate fizic la același switch, dar separate în rețele virtuale diferite VLAN 1Și VLAN 2. Calculatoarele din subrețele virtuale diferite vor fi invizibile unul pentru celălalt.

    • Separarea rețelei Wi-Fi pentru oaspeți și rețeaua Wi-Fi a întreprinderii.În figură, un punct de acces Wi-Fi este conectat fizic la router. Două puncte Wi-Fi virtuale cu nume au fost create pe punctul hotspotȘi birou. LA hotspot laptopurile oaspeților vor fi conectate prin Wi-Fi pentru a accesa Internetul și birou laptopuri de întreprindere. Din motive de securitate, este necesar ca laptopurile invitate să nu aibă acces la rețeaua întreprinderii. Pentru a face acest lucru, computere de întreprindere și un punct Wi-Fi virtual birou conectat la o rețea locală virtuală VLAN 1, iar laptopurile invitate vor fi într-o rețea virtuală VLAN 2. Laptopuri invitați din rețea VLAN 2 nu va avea acces la rețeaua întreprinderii VLAN 1.

    Beneficiile utilizării VLAN-urilor

    • Împărțirea flexibilă a dispozitivelor în grupuri
    • De regulă, o subrețea corespunde unui VLAN. Calculatoarele situate în VLAN-uri diferite vor fi izolate unele de altele. De asemenea, puteți combina computere conectate la diferite comutatoare într-o singură rețea virtuală.
    • Reducerea traficului de difuzare în rețea
    • Fiecare VLAN reprezintă un domeniu de difuzare separat. Traficul de difuzare nu va fi difuzat între diferite VLAN-uri. Dacă configurați același VLAN pe diferite switch-uri, atunci porturile diferitelor switch-uri vor forma un domeniu de difuzare.
    • Creșteți securitatea și gestionabilitatea rețelei
    • Într-o rețea împărțită în subrețele virtuale, este convenabil să se aplice politici și reguli de securitate pentru fiecare VLAN. Politica va fi aplicată întregii subrețea, nu unui singur dispozitiv.
    • Reducerea cantității de echipamente și cablu de rețea
    • Crearea unui nou VLAN nu necesită achiziționarea unui comutator și instalarea unui cablu de rețea. Cu toate acestea, trebuie să utilizați comutatoare gestionate mai scumpe cu suport VLAN.

    Porturi etichetate și neetichetate

    Când un port trebuie să poată primi sau trimite trafic de la diferite VLAN-uri, acesta trebuie să fie într-o stare etichetat sau trunchi. Conceptele de port trunk și port etichetat sunt aceleași. Un port trunk sau etichetat poate transmite fie VLAN-urile specificate individual, fie toate VLAN-urile în mod implicit, dacă nu se specifică altfel. Dacă un port este neetichetat, atunci poate transmite doar un singur VLAN (nativ). Dacă portul nu specifică în ce VLAN se află, atunci se presupune că este într-o stare neetichetat în primul VLAN (VID 1).

    Echipamente diferite sunt configurate diferit în acest caz. Pentru un echipament, trebuie să specificați pe interfața fizică în ce stare se află această interfață, iar pe de altă parte, într-un anumit VLAN, trebuie să specificați ce port este poziționat ca - cu sau fără etichetă. Și dacă este necesar ca acest port să treacă prin mai multe VLAN-uri, atunci în fiecare dintre aceste VLAN-uri trebuie să înregistrați acest port cu o etichetă. De exemplu, în comutatoare Rețelele Enterasys trebuie să specificăm în ce VLAN se află un anumit port și să adăugăm acel port la lista de ieșire a acelui VLAN, astfel încât traficul să poată trece prin acel port. Dacă dorim ca traficul altui VLAN să treacă prin portul nostru, atunci adăugăm acest port și la lista de ieșire a acestui VLAN. Pe echipament HP(de exemplu, comutatoare ProCurve) indicăm în VLAN-ul propriu-zis care porturi pot trece traficul acestui VLAN și adăugăm starea porturilor - etichetate sau neetichetate. Cel mai ușor la hardware Cisco Systems. Pe astfel de comutatoare, indicăm pur și simplu ce porturi sunt neetichetate cu ce VLAN-uri (sunt în acces) și ce porturi sunt în starea etichetat (sunt în trompă).

    Pentru a seta porturile la trompă au fost create protocoale speciale. Unul dintre acestea are standardul IEEE 802.1Q. Acesta este un standard internațional care este acceptat de toți producătorii și este cel mai frecvent utilizat pentru a configura rețele virtuale. În plus, diferiți producători pot avea propriile protocoale de transfer de date. De exemplu, Cisco am creat un protocol pentru echipamentul meu ISL (Inter Switch Lisk).

    Rutare inter-vlan

    Ce este rutarea inter-vlane? Aceasta este rutarea normală a subrețelei. Singura diferență este că fiecare subrețea corespunde unui VLAN la al doilea nivel. Ce înseamnă. Să presupunem că avem două VLAN-uri: VID = 10 și VID = 20. La al doilea nivel, aceste VLAN-uri împart o rețea în două subrețele. Gazdele care se află în aceste subrețele nu se văd. Adică traficul este complet izolat. Pentru ca gazdele să comunice între ele, este necesar să direcționați traficul acestor VLAN-uri. Pentru a face acest lucru, trebuie să atribuim o interfață fiecăruia dintre VLAN-urile de la al treilea nivel, adică să le atașăm o adresă IP. De exemplu, pentru VID = 10, adresa IP va fi 10.0.10.1/24, iar pentru VID = 20, adresa IP va fi 10.0.20.1/24. Aceste adrese vor continua să acționeze ca gateway-uri pentru a accesa alte subrețele. Astfel, putem direcționa traficul gazdă de la un VLAN la altul VLAN. Ce ne oferă rutarea VLAN în comparație cu rutarea simplă a rețelei fără a utiliza VLAN-uri? Și iată ce:

    • Abilitatea de a deveni membru al unei alte subrețele din partea clientului este blocată. Adică, dacă gazda se află într-un anumit VLAN, atunci chiar dacă își schimbă adresarea dintr-o altă subrețea, va rămâne în continuare în VLAN-ul care a fost. Aceasta înseamnă că nu va avea acces la o altă subrețea. Și aceasta, la rândul său, va proteja rețeaua de clienții „răi”.
    • Putem plasa mai multe interfețe fizice ale comutatorului într-un VLAN. Adică, avem posibilitatea de a configura imediat rutarea pe comutatorul de nivel al treilea conectând clienții de rețea la acesta, fără a folosi un router extern. Sau putem folosi un router extern conectat la un switch de nivel al doilea cu VLAN-uri configurate și să creăm atâtea subinterfețe pe portul routerului cât numărul total de VLAN-uri pe care trebuie să le direcționeze.
    • Este foarte convenabil să folosiți al doilea strat sub forma unui VLAN între primul și al treilea nivel. Este convenabil să marcați subrețele ca VLAN-uri cu interfețe specifice. Este convenabil să configurați un VLAN și să puneți o grămadă de porturi de comutare în el. Și, în general, o mulțime de lucruri sunt convenabile de făcut atunci când există un VLAN.

    În prezent, multe organizații și întreprinderi moderne practic nu folosesc o oportunitate atât de utilă, și adesea necesară, precum organizarea unui virtual (VLAN) în cadrul unei infrastructuri integrale, care este oferită de majoritatea switch-urilor moderne. Acest lucru se datorează multor factori, așa că merită să luăm în considerare această tehnologie din punctul de vedere al posibilității de utilizare a acesteia în astfel de scopuri.

    descriere generala

    Pentru început, merită să decideți care sunt VLAN-urile. Aceasta se referă la un grup de computere conectate la o rețea care sunt grupate logic într-un domeniu de distribuție a mesajelor difuzate în funcție de un anumit atribut. De exemplu, grupurile pot fi distinse în funcție de structura întreprinderii sau în funcție de tipurile de muncă la un proiect sau sarcină împreună. VLAN-urile oferă mai multe beneficii. Pentru început, vorbim de o utilizare mult mai eficientă a lățimii de bandă (comparativ cu rețelele locale tradiționale), de un grad sporit de protecție a informațiilor care sunt transmise, precum și de o schemă simplificată de administrare.

    Deoarece atunci când se utilizează un VLAN, întreaga rețea este împărțită în domenii de difuzare, informațiile din cadrul unei astfel de structuri sunt transmise numai între membrii săi și nu către toate computerele din rețeaua fizică. Se dovedește că traficul de difuzare care este generat de servere este limitat la un domeniu predefinit, adică nu este difuzat către toate stațiile din această rețea. Acesta este modul în care este posibil să se realizeze distribuția optimă a lățimii de bandă a rețelei între grupuri dedicate de computere: serverele și stațiile de lucru din diferite VLAN-uri pur și simplu nu se văd.

    Cum merg toate procesele?

    Într-o astfel de rețea, informațiile sunt destul de bine protejate de faptul că schimbul de date se realizează într-un anumit grup de computere, adică nu pot primi trafic generat într-o altă structură similară.

    Dacă vorbim despre ce sunt VLAN-urile, atunci este oportun să remarcăm un astfel de avantaj al acestei metode de organizare, deoarece o rețea simplificată afectează sarcini precum adăugarea de noi elemente în rețea, mutarea acestora și, de asemenea, ștergerea lor. De exemplu, dacă un utilizator VLAN se mută într-o altă locație, administratorul de rețea nu trebuie să recablaze cablurile. Ar trebui să configureze pur și simplu echipamentul de rețea de la locul său de muncă. În unele implementări ale unor astfel de rețele, mișcarea membrilor grupului poate fi controlată automat, chiar și fără a fi nevoie de intervenția administratorului. El trebuie doar să știe cum să configureze VLAN-ul pentru a efectua toate operațiunile necesare. El poate crea noi grupuri logice de utilizatori fără măcar să se ridice. Toate acestea economisesc mult timp de lucru, ceea ce poate fi util pentru rezolvarea unor sarcini nu mai puțin importante.

    Modalități de organizare a VLAN-ului

    Există trei opțiuni diferite: bazate pe porturi, protocoale de nivel al treilea sau adrese MAC. Fiecare metodă corespunde unuia dintre cele trei straturi inferioare ale modelului OSI: fizic, de rețea și, respectiv, de canal. Dacă vorbim despre ce sunt VLAN-urile, atunci este de remarcat prezența celei de-a patra metode de organizare - bazată pe reguli. Este rar folosit acum, deși oferă multă flexibilitate. Puteți lua în considerare mai detaliat fiecare dintre aceste metode pentru a înțelege ce caracteristici au.

    VLAN-uri bazate pe porturi

    Aceasta presupune o grupare logică a anumitor porturi de comutare fizice selectate pentru interacțiune. De exemplu, poate determina că anumite porturi, de exemplu, 1, 2 și 5 formează VLAN1, iar numerele 3, 4 și 6 sunt folosite pentru VLAN2 și așa mai departe. Un port de comutare poate fi folosit pentru a conecta mai multe computere, pentru care, de exemplu, este utilizat un hub. Toți vor fi definiți ca membri ai aceleiași rețele virtuale căreia îi este alocat portul de servire al switch-ului. O astfel de legare rigidă a apartenenței la rețeaua virtuală este principalul dezavantaj al unei astfel de scheme de organizare.

    VLAN bazat pe adrese MAC

    Această metodă se bazează pe utilizarea adreselor hexazecimale unice la nivel de legătură disponibile pentru fiecare server sau stație de lucru din rețea. Dacă vorbim despre ce sunt VLAN-urile, atunci este de remarcat faptul că această metodă este considerată a fi mai flexibilă decât cea anterioară, deoarece computerele aparținând diferitelor rețele virtuale pot fi conectate la un port de comutare. În plus, urmărește automat mișcarea computerelor de la un port la altul, ceea ce vă permite să păstrați clientul aparținând unei anumite rețele fără intervenția administratorului.

    Principiul de funcționare aici este foarte simplu: comutatorul menține un tabel de corespondență între adresele MAC ale stațiilor de lucru și rețelele virtuale. De îndată ce computerul trece la un alt port, câmpul adresei MAC este comparat cu datele din tabel, după care se ajunge la concluzia corectă despre computerul care aparține unei anumite rețele. Dezavantajele acestei metode sunt complexitatea configurării VLAN-ului, care poate provoca inițial erori. În timp ce comutatorul își construiește propriile tabele de adrese, administratorul de rețea trebuie să analizeze toate acestea pentru a determina care adrese corespund căror grupuri virtuale, după care le atribuie VLAN-urilor corespunzătoare. Și aici există un loc pentru erori, ceea ce se întâmplă uneori în VLAN-urile Cisco, a căror configurare este destul de simplă, dar redistribuirea ulterioară va fi mai dificilă decât în ​​cazul utilizării porturilor.

    VLAN bazat pe protocoale de nivel 3

    Această metodă este rar utilizată în comutatoarele la nivel de grup de lucru sau departament. Este tipic pentru backbon-urile echipate cu instrumente de rutare încorporate pentru principalele protocoale LAN - IP, IPX și AppleTalk. Această metodă presupune că un grup de porturi de comutare care aparțin unui anumit VLAN va fi asociat cu o subrețea IP sau IPX. În acest caz, flexibilitatea este oferită de faptul că mutarea unui utilizator pe un alt port care aparține aceleiași rețele virtuale este urmărită de comutator și nu trebuie să fie reconfigurată. Rutarea VLAN în acest caz este destul de simplă, deoarece comutatorul în acest caz analizează adresele de rețea ale computerelor care sunt definite pentru fiecare dintre rețele. Această metodă acceptă, de asemenea, interacțiunea între diferite VLAN-uri fără utilizarea unor instrumente suplimentare. Există un dezavantaj al acestei metode - costul ridicat al comutatoarelor în care este implementată. VLAN-urile Rostelecom acceptă lucrul la acest nivel.

    concluzii

    După cum ați înțeles deja, rețelele virtuale sunt un instrument destul de puternic care poate rezolva probleme legate de securitatea transmisiei datelor, administrare, controlul accesului și creșterea eficienței utilizării.

    Un alt instrument mic care poate îmbunătăți un pic gradul de utilizare: banner. Aceasta este o reclamă pe care Cisco o va afișa înainte de autorizare pe dispozitiv.

    Switch(config)#banner motd q Introduceți mesajul TEXT. Încheiați cu caracterul „q”. Este doar un banner. q Comutare(config)#
    După motd, specificați un caracter care va semnala că linia sa încheiat. În acest exemplu, punem „q”.

    In ceea ce priveste continutul bannerului. Există o astfel de legendă: un hacker a pătruns în rețea, a spart/a furat ceva acolo, a fost prins, iar la proces a fost achitat și eliberat. De ce? Și pentru că pe routerul de frontieră (între Internet și rețeaua internă), în banner era scris cuvântul „Bun venit”. „Ei bine, din moment ce ei întreabă, am intrat”). Prin urmare, este considerată o practică bună să scrieți ceva de genul „Acces refuzat!” în banner.

    Pentru a organiza cunoștințele pe puncte, să analizăm ce trebuie să faceți:

    1) Setați numele gazdei. Acest lucru vă va ajuta pe viitor într-o rețea reală pentru a afla rapid unde vă aflați.
    Switch(config)#hostname HOSTNAME

    2) Creați toate vlan-urile și dați-le un nume
    Switch(config)#vlan VLAN-NUMBER Comutator(config-vlan)#name NAME-OF-VLAN

    3) Configurați toate porturile de acces și dați-le un nume
    Comutare(config-if)#descriere DESCRIEREA INTERFEȚEI Comutator(config-if)#switchport mode access Comutare(config-if)#switchport acces vlan VLAN-NUMBER

    Uneori este convenabil să configurați interfețele în loturi:

    msk-arbat-asw3(config)#interfață interval fastEthernet 0/6 - 10 msk-arbat-asw3(config-if-range)#descriere FEO msk-arbat-asw3(config-if-range)#switchport mode access msk- arbat-asw3(config-if-range)#switchport access vlan 102

    4) Configurați toate porturile trunchiului și dați-le un nume:
    Comutator(config-if)#descriere DESCRIEREA INTERFACEI Comutator(config-if)#switchport trunk mod Comutator(config-if)#switchport trunk permis vlan-NUMERE-VLAN

    5) Nu uitați să salvați:
    Comutați#copy running-config startup-config

    Pe scurt: ce am realizat? Toate dispozitivele de pe aceeași subrețea se pot vedea, dar nu și dispozitivele de pe celălalt. În numărul următor, ne ocupăm de această problemă și, de asemenea, ne referim la rutarea statică și comutatoarele L3.
    În general, această lecție poate fi finalizată. În videoclip, puteți vedea din nou cum sunt configurate vlan-urile. Ca sarcină pentru acasă, configurați vlan-uri pe comutatoarele pentru servere.

    Aici puteți descărca configurația tuturor dispozitivelor:
    Lift-me-Up_Configuration.zip
    Și proiectul nostru RT:
    lift-me-UP_v2-VLANs.pkt

    P.S.
    Un plus important: în partea anterioară, vorbind despre vlan nativ, v-am informat puțin greșit. Pe echipamentele Cisco, această schemă de funcționare nu este posibilă.
    Amintiți-vă că am propus să trimitem cadre neetichetate ale celui de-al 101-lea vlan la comutatorul msk-rubl-asw1 și să le primim acolo în primul.
    Cert este că, așa cum am menționat mai sus, din punctul de vedere al Cisco, același număr vlan trebuie configurat pe ambele părți ale comutatoarelor, altfel încep problemele cu protocolul STP și avertismentele despre setări incorecte pot fi văzute în jurnalele. . Prin urmare, transferăm cel de-al 101-lea vlan pe dispozitiv în mod obișnuit, cadrele vor fi etichetate și, în consecință, al 101-lea vlan trebuie creat și pe msk-rubl-asw1.

    Încă o dată, dorim să observăm că, cu toată dorința noastră, nu vom putea acoperi toate nuanțele și subtilitățile și, prin urmare, nu ne propunem o astfel de sarcină. Lucruri precum modul în care este construită adresa MAC, valoarea câmpului Ether Type sau pentru ce este CRC de la sfârșitul cadrului, trebuie să le studiezi singur. Adaugă etichete

    Să ne imaginăm o astfel de situație. Avem un birou al unei companii mici care are 100 de computere și 5 servere în arsenalul său. Totodată, în această firmă lucrează diverse categorii de angajați: manageri, contabili, ofițeri de personal, tehnicieni specialiști, administratori. Este necesar ca fiecare dintre departamente să lucreze în propria sa subrețea. Cum să diferențiem traficul acestei rețele? În general, există două astfel de metode: prima metodă este de a sparge grupul de adrese IP în subrețele și de a aloca o subrețea pentru fiecare departament, a doua metodă este de a folosi VLAN-uri.

    VLAN (Virtual Local Area Network) este un grup de noduri de rețea, al căror trafic, inclusiv difuzarea, este complet izolat la nivelul legăturii de traficul altor noduri de rețea. În rețelele moderne, VLAN-urile sunt mecanismul principal pentru crearea unei topologii de rețea logice care este independentă de topologia sa fizică.

    Tehnologia VLAN este definită în documentul IEEE 802.1q, un standard deschis care descrie o procedură de etichetare pentru transmiterea informațiilor de membru VLAN. 802.1q pune o etichetă în interiorul cadrului Ethernet care transmite informații despre dacă traficul aparține unui VLAN.

    Luați în considerare câmpurile VLAN TAG:

    • TPID (Tag Protocol Identifier) ​​– identificatorul protocolului de etichetare. Specifică ce protocol este utilizat pentru etichetare. Pentru 802.1Q, valoarea este 0x8100.
    • Prioritate - prioritate. Folosit pentru a seta prioritatea traficului transmis (QoS).
    • CFI (Canoncial Format Indicator) - indică formatul adresei MAC (Ethernet sau Token Ring).
    • VID (Vlan Indentifier) ​​- identificator VLAN. Specifică cărei VLAN îi aparține cadrul. Puteți introduce un număr între 0 și 4094.

    Când trimite cadre, computerul nu știe în ce VLAN se află - acest lucru se face de comutator. Comutatorul știe la ce port este conectat computerul și, pe baza acestuia, va determina în ce VLAN se află acest computer.

    Comutatorul are două tipuri de porturi:

    • Port etichetat (etichetat, trunk) - un port prin care puteți trimite sau primi trafic de la mai multe grupuri VLAN. Când este transmis printr-un port etichetat, o etichetă VLAN este adăugată la cadru. Folosit pentru a se conecta la comutatoare, routere (adică acele dispozitive care recunosc etichetele VLAN).
    • Port neetichetat (neetichetat, acces) — port prin care sunt transmise cadrele neetichetate. Folosit pentru a se conecta la nodurile finale (calculatoare, servere). Fiecare port neetichetat este într-un anumit VLAN. Când traficul este transmis de pe acest port, eticheta VLAN este eliminată și traficul neetichetat merge către computer (care nu recunoaște VLAN-ul). În caz contrar, atunci când traficul este primit pe un port neetichetat, i se adaugă o etichetă VLAN.

    Configurarea VLAN pe un switch gestionat Dlink DES-3528

    Seria de switch-uri DES-3528/3552 xStack este un comutator de nivel de acces stivuibil L2+ care conectează în siguranță utilizatorii finali la întreprinderile mari și la rețelele întreprinderilor mici și mijlocii (IMM). Comutatoarele oferă stivuire fizică, rutare statică, suport pentru grupuri multicast și caracteristici avansate de securitate. Toate acestea fac din acest dispozitiv o soluție ideală de nivel de acces. Comutatorul se integrează cu ușurință cu comutatoarele de nivel central L3 pentru a forma o structură de rețea multistrat cu o coloană vertebrală de mare viteză și servere centralizate. Switch-urile din seria DES-3528/3552 sunt echipate cu 24 sau 48 de porturi Ethernet 10/100Mbps și acceptă până la 4 porturi de uplink Gigabit Ethernet.

    Luați în considerare principiile configurării VLAN-urilor pe comutatoarele Dlink gestionate. Pe parcursul lucrărilor, vom studia modalități de a crea, șterge, schimba VLAN-uri, adăugați diferite tipuri de porturi (etichetate și neetichetate).

    Conexiunea la comutator se face prin portul consolei folosind programul HyperTerminal.

    Utilizați comanda show vlan pentru a vizualiza informații despre VLAN-urile existente.

    În figura de mai sus, puteți vedea că inițial un singur VLAN implicit cu numele implicit a fost creat pe comutator. Comanda show vlan afișează următoarele câmpuri:

    • VID - ID VLAN
    • Tip VLAN - tip VLAN
    • Porturi membre - Porturi implicate
    • Porturi statice - porturi statice
    • Porturi etichetate curente - porturi etichetate curente
    • Current Untagged Ports - porturi curente neetichetate
    • Porturi etichetate statice - porturi etichetate statice
    • Static Untagged Ports - porturi statice neetichetate
    • Total de intrări - total de intrări
    • Nume VLAN - nume VLAN
    • Publicitate - stare

    Să creăm un nou VLAN, în care inițialele AA sunt folosite ca nume, iar numărul 22 este folosit ca identificator. Pentru a face acest lucru, vom folosi comanda create vlan.

    Noul VLAN nu include încă niciun port. Folosind config vlan, vom schimba VLAN AA, astfel încât porturile etichetate 10, 14-17 și porturile neetichetate 2-5 să apară în el.

    Cu comanda show vlan, vom afișa informații despre VLAN-urile create.

    Se știe că porturile etichetate pot aparține mai multor VLAN-uri, în timp ce porturile neetichetate pot aparține doar unui singur VLAN. În prezent, atât porturile etichetate, cât și cele neetichetate sunt în VLAN implicit și VLAN AA. Folosind comanda config vlan, vom elimina toate porturile implicate în VLAN AA din VLAN implicit.

    Din figura de mai sus, puteți vedea că acum porturile 2-5, 10, 14-17 sunt doar în VLAN AA.

    Luați în considerare împărțirea rețelei în diferite VLAN-uri. Circuitul este asamblat în dulapul de cablaje și este configurată subrețeaua 10.0.0.0 /8.

    La momentul inițial de timp, toate computerele sunt pe aceeași subrețea și fac ping reciproc. Este necesar să le separați astfel încât PC22, PC20, PC18 să fie într-un VLAN, iar PC 19, PC21 să fie într-un alt VLAN. Pentru a face acest lucru, creăm două VLAN-uri:

    • VLAN=10 numit net1 (PC18, PC20, PC22)
    • VLAN=20 numit net2 (PC19, PC21)

    Pe baza schemei, a fost dezvoltat un plan de configurare a porturilor pentru switch-uri. În același timp, s-a luat în considerare faptul că este necesar să se utilizeze porturi neetichetate pentru computere și porturi etichetate pentru comunicațiile între switch-uri. La configurarea comutatoarelor, porturile etichetate au fost plasate în VLAN=10 și VLAN=20, iar porturile neetichetate au fost plasate numai în VLAN-ul căruia îi aparține computerul.

    Pe fiecare dintre comutatoare, trebuie să configurați porturile în conformitate cu diagrama. Figura de mai jos prezintă un exemplu de setare SW5. La început, se creează un vlan cu identificatorul net1 și eticheta 10. Apoi, creăm un al doilea vlan net2 cu eticheta 20. După aceea, adăugăm porturile de comutare la vlan-urile corespunzătoare. Portul 1 este conectat la PC22, care se află în VLAN 10. Deci 1 port va fi neetichetat. Al doilea port este conectat la SW4 conform schemei și trebuie să treacă VLAN-urile 10 și 20 prin el însuși.

    Comutatoarele rămase sunt configurate prin analogie.

    Cu comanda show vlan, vom vizualiza fiecare dintre VLAN-urile pe care le-am creat.

    • Serghei Savenkov

      un fel de recenzie „rare”... parcă s-ar grăbi undeva