การสร้างและกำหนดค่า vlan สำหรับหุ่นจำลอง วีแลนทำงานอย่างไร คำอธิบายพื้นฐานของการทำงานของ VLAN หลักการสร้างเครือข่ายโดยใช้ VLAN โปรโตคอล VTP ทำงานอย่างไร

บน ในขณะนี้มากมาย องค์กรสมัยใหม่และองค์กรต่างๆ ในทางปฏิบัติไม่ได้ใช้โอกาสที่มีประโยชน์มากและมักจำเป็นในการจัดระเบียบเสมือน (VLAN) ภายในกรอบการทำงานของโครงสร้างพื้นฐานแบบรวมซึ่งจัดทำโดยส่วนใหญ่ สวิตช์ที่ทันสมัย- เนื่องจากมีหลายปัจจัยดังนั้นจึงควรพิจารณาเทคโนโลยีนี้จากมุมมองของความเป็นไปได้ในการใช้งานเพื่อวัตถุประสงค์ดังกล่าว

คำอธิบายทั่วไป

อันดับแรก การตัดสินใจว่า VLAN คืออะไรนั้นคุ้มค่า นี่หมายถึงกลุ่มคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายซึ่งรวมเข้าด้วยกันในโดเมนเพื่อส่งข้อความออกอากาศตามเกณฑ์ที่กำหนด ตัวอย่างเช่น สามารถแยกแยะกลุ่มได้ขึ้นอยู่กับโครงสร้างขององค์กรหรือตามประเภทของงานในโครงการหรืองานร่วมกัน VLAN ให้ประโยชน์หลายประการ เริ่มต้นด้วย เรากำลังพูดถึงและอีกมากมาย การใช้งานที่มีประสิทธิภาพ แบนด์วิธ(เมื่อเปรียบเทียบกับเครือข่ายท้องถิ่นแบบเดิม) ระดับการปกป้องข้อมูลที่ส่งเพิ่มขึ้น รวมถึงรูปแบบการบริหารที่ง่ายขึ้น

เนื่องจากเมื่อใช้ VLAN เครือข่ายทั้งหมดจะถูกแบ่งออกเป็นโดเมนการออกอากาศ ข้อมูลภายในโครงสร้างดังกล่าวจะถูกส่งระหว่างสมาชิกเท่านั้น ไม่ใช่ไปยังคอมพิวเตอร์ทุกเครื่องบนเครือข่ายทางกายภาพ ปรากฎว่าการรับส่งข้อมูลการออกอากาศที่สร้างโดยเซิร์ฟเวอร์นั้นถูกจำกัดไว้ที่โดเมนที่กำหนดไว้ล่วงหน้า กล่าวคือ ไม่ได้ออกอากาศไปยังทุกสถานีบนเครือข่ายนี้ นี่คือวิธีที่เราบรรลุ การกระจายที่เหมาะสมที่สุดแบนด์วิธเครือข่ายระหว่างกลุ่มคอมพิวเตอร์เฉพาะ: เซิร์ฟเวอร์และเวิร์กสเตชันจาก VLAN ที่แตกต่างกันจะมองไม่เห็นซึ่งกันและกัน

กระบวนการทั้งหมดดำเนินไปอย่างไร?

ในเครือข่ายดังกล่าว ข้อมูลได้รับการปกป้องอย่างดีจากข้อเท็จจริงที่ว่าการแลกเปลี่ยนข้อมูลดำเนินการภายในกลุ่มคอมพิวเตอร์กลุ่มใดกลุ่มหนึ่ง กล่าวคือ ไม่สามารถรับการรับส่งข้อมูลที่สร้างในโครงสร้างอื่นที่คล้ายคลึงกัน

หากเราพูดถึงว่า VLAN คืออะไร ก็สมควรที่จะทราบถึงข้อดีของวิธีการจัดองค์กรนี้ที่ทำให้ระบบเครือข่ายง่ายขึ้นส่งผลกระทบต่องานต่างๆ เช่น การเพิ่มองค์ประกอบใหม่ให้กับเครือข่าย การย้ายองค์ประกอบเหล่านั้น และการลบองค์ประกอบเหล่านั้น ตัวอย่างเช่น หากผู้ใช้ VLAN ย้ายไปยังตำแหน่งอื่น ผู้ดูแลระบบเครือข่ายจะไม่จำเป็นต้องเชื่อมต่อสายเคเบิลอีกครั้ง เขาควรจะทำการปรับเปลี่ยน อุปกรณ์เครือข่ายจากที่ทำงานของคุณ ในการใช้งานเครือข่ายดังกล่าวบางประการ การเคลื่อนไหวของสมาชิกกลุ่มสามารถควบคุมได้โดยอัตโนมัติ โดยไม่ต้องมีการแทรกแซงจากผู้ดูแลระบบด้วยซ้ำ เขาเพียงแต่ต้องรู้วิธีการกำหนดค่า VLAN เพื่อดำเนินการที่จำเป็นทั้งหมด เขาสามารถสร้างกลุ่มผู้ใช้เชิงตรรกะใหม่ได้โดยไม่ต้องลุกออกจากที่นั่ง สิ่งนี้ช่วยประหยัดได้มาก ชั่วโมงการทำงานซึ่งจะเป็นประโยชน์ในการแก้ปัญหาที่สำคัญไม่น้อย

วิธีการจัดองค์กร VLAN

มีสาม ตัวเลือกต่างๆ: ขึ้นอยู่กับพอร์ต โปรโตคอลเลเยอร์ 3 หรือที่อยู่ MAC แต่ละวิธีสอดคล้องกับหนึ่งในสามวิธี ระดับล่างโมเดล OSI: ฟิสิคัล เครือข่าย และแชนเนล ตามลำดับ ถ้าเราพูดถึงว่า VLAN คืออะไรมันก็คุ้มค่าที่จะสังเกตว่ามีวิธีที่สี่ในการจัดองค์กรตามกฎเกณฑ์ ปัจจุบันไม่ค่อยได้ใช้ แม้ว่าจะมีความยืดหยุ่นมากกว่าก็ตาม คุณสามารถพิจารณาแต่ละวิธีการที่ระบุไว้โดยละเอียดเพื่อทำความเข้าใจว่าแต่ละวิธีมีคุณลักษณะใดบ้าง

VLAN ที่ใช้พอร์ต

สิ่งนี้เกี่ยวข้องกับการรวมตรรกะของพอร์ตสวิตช์ทางกายภาพบางตัวที่เลือกไว้สำหรับการสื่อสาร ตัวอย่างเช่น สามารถกำหนดได้ว่าพอร์ตบางพอร์ต เช่น 1, 2 และ 5 ในรูปแบบ VLAN1 และหมายเลข 3, 4 และ 6 ใช้สำหรับ VLAN2 และอื่นๆ พอร์ตสวิตช์หนึ่งพอร์ตสามารถใช้เพื่อเชื่อมต่อคอมพิวเตอร์หลายเครื่องได้อย่างง่ายดาย เช่น ฮับ ทั้งหมดนี้จะถูกกำหนดให้เป็นสมาชิกของเครือข่ายเสมือนเดียวกันซึ่งมีการลงทะเบียนพอร์ตการให้บริการของสวิตช์ไว้ การผูกมัดอย่างเข้มงวดของการเป็นสมาชิกเครือข่ายเสมือนถือเป็นข้อเสียเปรียบหลักของโครงร่างองค์กรดังกล่าว

VLAN ขึ้นอยู่กับที่อยู่ MAC

วิธีการนี้ขึ้นอยู่กับการใช้ที่อยู่ระดับลิงก์เลขฐานสิบหกที่ไม่ซ้ำกันซึ่งมีอยู่บนแต่ละเซิร์ฟเวอร์หรือ เวิร์กสเตชันเครือข่าย ถ้าเราพูดถึงว่า VLAN คืออะไร เป็นที่น่าสังเกตว่าวิธีนี้ถือว่ามีความยืดหยุ่นมากกว่าเมื่อเปรียบเทียบกับวิธีก่อนหน้า เนื่องจากค่อนข้างเป็นไปได้ที่จะเชื่อมต่อคอมพิวเตอร์ที่เป็นของเครือข่ายเสมือนที่แตกต่างกันเข้ากับพอร์ตสวิตช์เดียว นอกจากนี้ ยังติดตามการเคลื่อนไหวของคอมพิวเตอร์จากพอร์ตหนึ่งไปยังอีกพอร์ตหนึ่งโดยอัตโนมัติ ซึ่งช่วยให้คุณรักษาความเกี่ยวข้องของไคลเอนต์กับเครือข่ายเฉพาะโดยไม่ต้องมีการแทรกแซงจากผู้ดูแลระบบ

หลักการทำงานที่นี่ง่ายมาก: สวิตช์จะรักษาตารางการติดต่อระหว่างที่อยู่ MAC ของเวิร์กสเตชันและเครือข่ายเสมือน ทันทีที่คอมพิวเตอร์สลับไปที่พอร์ตอื่น ฟิลด์ที่อยู่ MAC จะถูกเปรียบเทียบกับข้อมูลในตาราง หลังจากนั้นจึงได้ข้อสรุปที่ถูกต้องว่าคอมพิวเตอร์อยู่ในเครือข่ายใดเครือข่ายหนึ่งหรือไม่ ข้อเสียของวิธีนี้คือความซับซ้อนของการกำหนดค่า VLAN ซึ่งอาจทำให้เกิดข้อผิดพลาดได้ในขั้นต้น แม้ว่าสวิตช์จะสร้างตารางที่อยู่อย่างอิสระ ผู้ดูแลระบบเครือข่ายจะต้องตรวจสอบทั้งตารางเพื่อพิจารณาว่าที่อยู่ใดเป็นที่อยู่ใด กลุ่มเสมือนสอดคล้องกัน หลังจากนั้นเขาก็กำหนดให้กับ VLAN ที่เกี่ยวข้อง และนี่คือจุดที่มีโอกาสเกิดข้อผิดพลาดซึ่งบางครั้งอาจเกิดขึ้นได้ ซิสโก้ วีแลนการตั้งค่าซึ่งค่อนข้างง่าย แต่การแจกจ่ายซ้ำในภายหลังจะยากกว่าในกรณีของการใช้พอร์ต

VLAN ขึ้นอยู่กับโปรโตคอลเลเยอร์ 3

วิธีนี้ไม่ค่อยได้ใช้ในสวิตช์ระดับกลุ่มงานหรือแผนก เป็นเรื่องปกติสำหรับเครือข่ายแกนหลักที่ติดตั้งเครื่องมือกำหนดเส้นทางในตัวสำหรับโปรโตคอลเครือข่ายท้องถิ่นหลัก - IP, IPX และ AppleTalk วิธีการนี้จะถือว่ากลุ่มของพอร์ตสวิตช์ที่เป็นของ VLAN เฉพาะจะเชื่อมโยงกับเครือข่ายย่อย IP หรือ IPX บางส่วน ใน ในกรณีนี้ความยืดหยุ่นนั้นได้มาจากความจริงที่ว่าการเคลื่อนไหวของผู้ใช้ไปยังพอร์ตอื่นที่เป็นของเครือข่ายเสมือนเดียวกันนั้นได้รับการตรวจสอบโดยสวิตช์และไม่จำเป็นต้องกำหนดค่าใหม่ การกำหนดเส้นทาง VLAN ในกรณีนี้ค่อนข้างง่าย เนื่องจากสวิตช์ในกรณีนี้จะวิเคราะห์ที่อยู่เครือข่ายของคอมพิวเตอร์ที่กำหนดไว้สำหรับแต่ละเครือข่าย วิธีนี้ยังรองรับการโต้ตอบระหว่าง VLAN ที่แตกต่างกันโดยไม่ต้องใช้ เงินทุนเพิ่มเติม- มีข้อเสียเปรียบประการหนึ่งสำหรับวิธีนี้ - ค่าใช้จ่ายสูงสวิตช์ที่ใช้งานอยู่ Rostelecom VLAN รองรับการทำงานในระดับนี้

ข้อสรุป

ตามที่ท่านเข้าใจแล้ว เครือข่ายเสมือนเป็นตัวแทนค่อนข้างมาก เครื่องมืออันทรงพลังสามารถแก้ไขปัญหาด้านความปลอดภัยในการรับส่งข้อมูล การบริหาร การควบคุมการเข้าถึง และการเพิ่มประสิทธิภาพการใช้งาน

VLAN (เสมือนท้องถิ่น เครือข่ายพื้นที่ท้องถิ่นเสมือน เครือข่ายคอมพิวเตอร์) เป็นฟังก์ชันในเราเตอร์และสวิตช์ที่ช่วยให้คุณสามารถสร้างเครือข่ายท้องถิ่นเสมือนหลายเครือข่ายบนอินเทอร์เฟซเครือข่ายกายภาพเดียว (อีเธอร์เน็ต, อินเทอร์เฟซ Wi-Fi)

VLAN เป็นส่วนหนึ่งของ LAN ที่ใหญ่กว่า กลไกที่ง่ายที่สุดสำหรับการแยกเครือข่ายย่อยที่แตกต่างกันบนอินเทอร์เฟซ Ethernet, WI-FI คืออะไร ในการจัดระเบียบ VLAN สวิตช์เครือข่าย (วิธีเลือกสวิตช์เครือข่าย (สวิตช์ สวิตช์)) จะต้องรองรับเทคโนโลยี VLAN และโปรโตคอล 802.1q

ประโยชน์ของ VLAN:

    เพิ่มจำนวนโดเมนการออกอากาศ แต่ลดขนาดของแต่ละโดเมนการออกอากาศ ซึ่งจะช่วยลดการรับส่งข้อมูลเครือข่ายและเพิ่มความปลอดภัยของเครือข่าย (เอฟเฟกต์ทั้งสองเชื่อมโยงกันเนื่องจากโดเมนการออกอากาศขนาดใหญ่เพียงโดเมนเดียว)

    ลดความพยายามของผู้ดูแลระบบในการสร้างเครือข่ายย่อย

    ลดจำนวนอุปกรณ์ เนื่องจากเครือข่ายสามารถแยกออกจากกันในเชิงตรรกะมากกว่าทางกายภาพ

    ปรับปรุงการจัดการการรับส่งข้อมูลประเภทต่างๆ

เงื่อนไข VLAN

    Native VLAN คืออะไร - นี่คือแนวคิดในมาตรฐาน 802.1Q ซึ่งหมายถึง VLAN บนสวิตช์ โดยที่เฟรมทั้งหมดไปโดยไม่มีแท็ก เช่น การจราจรถูกส่งไม่ติดแท็ก ตามค่าเริ่มต้น นี่คือ VLAN 1 ในสวิตช์บางรุ่น เช่น Cisco คุณสามารถเปลี่ยนแปลงได้โดยการระบุ VLAN อื่นเป็นเนทิฟ

    ภาคเรียน ไม่ได้ติดแท็ก: มีเพียง VLAN เดียวเท่านั้นที่สามารถรับแพ็กเก็ตทั้งหมดที่ไม่ได้กำหนดให้กับ VLAN ใด ๆ (ในคำศัพท์ 3Com, Planet, Zyxel - ไม่ได้ติดแท็กในคำศัพท์เฉพาะของ Cisco - VLAN ดั้งเดิม- สวิตช์จะเพิ่มแท็กของ VLAN นี้ให้กับเฟรมที่ได้รับทั้งหมดที่ไม่มีแท็กใดๆ

    กระโปรงหลังรถ VLAN คือช่องทางทางกายภาพซึ่งมีการส่งผ่านช่อง VLAN หลายช่อง ซึ่งมีแท็กที่แตกต่างกัน (ป้ายกำกับที่เพิ่มลงในแพ็กเก็ต) โดยปกติแล้ว Trunks จะถูกสร้างขึ้นระหว่าง "พอร์ตที่ติดแท็ก" ของอุปกรณ์ VLAN: สวิตช์-สวิตช์ หรือ สวิตช์-เราเตอร์ (ในเอกสารของ Cisco คำว่า "trunk" ยังหมายถึงการรวมกันของช่องทางทางกายภาพหลายช่องทางให้เป็นช่องทางเดียว: Link Aggregation, Port Trunking) เราเตอร์ (สวิตช์ชั้นที่สาม) ทำหน้าที่เป็นกระดูกสันหลังของเครือข่าย การรับส่งข้อมูลเครือข่าย VLAN ที่แตกต่างกัน

    พูดง่ายๆ ก็คือ vlan เป็นช่องทางตรรกะภายใน ช่องทางทางกายภาพ(เคเบิล) และ trunk คือชุดของช่องสัญญาณแบบลอจิคัล (vlans) ภายในช่องสัญญาณฟิสิคัลเดียว (เคเบิล)

VLAN สามารถระบุได้โดย:

    ปอร์โต (ใช้บ่อยที่สุด) VLAN ตามหมายเลขพอร์ตช่วยให้คุณสามารถระบุพอร์ตเฉพาะใน VLAN ได้ สามารถกำหนดพอร์ตแยกกัน เป็นกลุ่ม ข้ามทั้งแถว และแม้แต่ข้ามสวิตช์ต่างๆ ผ่านทางโปรโตคอล trunk นี่เป็นวิธีที่ง่ายที่สุดและใช้กันมากที่สุดในการกำหนด VLAN นี่คือการใช้งาน VLAN แบบพอร์ตที่พบบ่อยที่สุดเมื่อเวิร์กสเตชันใช้โปรโตคอล การตั้งค่าแบบไดนามิก TCP/IP (DHCP) ด้านล่างนี้เป็นรูปภาพของ VLAN ตามพอร์ต:

    ที่อยู่ MAC - ที่อยู่ (หายากมาก) ใช้ VLAN ที่อยู่ MAC ah อนุญาตให้ผู้ใช้อยู่บน VLAN เดียวกันแม้ว่าผู้ใช้จะย้ายจากที่หนึ่งไปอีกที่หนึ่งก็ตาม วิธีนี้ต้องการให้ผู้ดูแลระบบกำหนดที่อยู่ MAC ของแต่ละเวิร์กสเตชัน จากนั้นป้อนข้อมูลนี้ลงในสวิตช์ วิธีนี้อาจแก้ไขปัญหาได้ยากมากหากผู้ใช้เปลี่ยนที่อยู่ MAC การเปลี่ยนแปลงการกำหนดค่าใดๆ จะต้องได้รับการอนุมัติจากผู้ดูแลระบบเครือข่าย ซึ่งอาจทำให้เกิดความล่าช้าในการดูแลระบบ

    รหัสผู้ใช้ (หายากมาก)

VLAN Linux และ D-Link DGS-1100-08P

การตั้งค่า DGS-1100-08P- มาเชื่อมต่อที่พอร์ตแรก มากำหนด IP 10.90.91.2 กันเถอะ มาสร้าง VLAN 3 อันกัน: vlan1 (พอร์ต 1 (แท็ก)) สำหรับการใช้บริการนั่นคือสำหรับการกำหนดค่าสวิตช์เท่านั้น vlan22 (พอร์ต 1 (แท็ก); พอร์ต 2,3,4 (ไม่ติดแท็ก)), vlan35 (พอร์ต 1 ( ติดแท็ก); พอร์ต 5,6 (ไม่ติดแท็ก)) ไม่ได้ใช้พอร์ต 7 และ 8 และถูกปิดใช้งานผ่านเมนูการตั้งค่าพอร์ต (ความเร็ว: ปิดใช้งาน)
เราชี้ให้เห็นว่าในอนาคต D-Link DGS-1100-08P (IP 10.90.91.2) สามารถจัดการผ่าน vlan1 เท่านั้นนั่นคือในกรณีของเราผู้ดูแลระบบจะต้องเชื่อมต่อกับพอร์ตแรกของ DGS-1100 -08P (เมื่อเชื่อมต่อกับพอร์ตอื่น - สวิตช์จะไม่อนุญาตให้เข้าถึง 10.90.91.2)

    สร้าง VLAN ชื่อ vlan22 ที่เชื่อมโยงกับพอร์ต การ์ดเครือข่าย eth4. มากำหนด IP:192.168.122.254 กันดีกว่า ลิงค์ ip เพิ่มลิงค์ eth4 ชื่อ vlan22 ประเภท vlan id 22 ip addr เพิ่ม 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 ขึ้น

    บริการ vlan สำหรับการกำหนดค่าสวิตช์เท่านั้น:

    ลิงค์ ip เพิ่มลิงค์ eth4 ชื่อ vlan44 ประเภท vlan id 1 ip addr เพิ่ม 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 up ลิงค์ ip เพิ่มลิงค์ eth4 ชื่อ vlan35 ประเภท vlan id 35 ip addr เพิ่ม 192.168.35.254/ 24 dev vlan34 ifconfig vlan35 ขึ้น

  • เราดูพารามิเตอร์ของ vlans ที่สร้างขึ้นในไฟล์ ls -l / proc/ net/ vlan/ รวม 0 -rw------- 1 รูทรูท 0 17 ส.ค. 15:06 config -rw----- -- 1 รูท รูท 0 ส.ค. 60 15:06 vlan1 -rw------- 1 รูท รูท 0 17 ส.ค. 15:06 vlan22

    การสร้าง vlan ผ่าน vconfig และ ดาวน์โหลดอัตโนมัติมันใช้งานไม่ได้ผ่าน /etc/network/interfaces ดังนั้นเราจึงสร้างไฟล์เริ่มต้นและเพิ่มลงในการเริ่มต้นเซิร์ฟเวอร์

vlan_create.sh #!/bin/sh -e ip link เพิ่มลิงค์ eth4 ชื่อ vlan22 ประเภท vlan id 22 ip addr เพิ่ม 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up VLAN (เสมือนพื้นที่ท้องถิ่น

เครือข่าย) ช่วยให้คุณสร้างเครือข่ายท้องถิ่นเสมือนหลายเครือข่ายในสวิตช์หรือเราเตอร์บนอินเทอร์เฟซเครือข่ายกายภาพเดียว วิธีที่ง่ายและสะดวกในการแบ่งการรับส่งข้อมูลระหว่างไคลเอนต์หรือสถานีฐานโดยใช้ VLAN

เทคโนโลยี VLAN คือการเพิ่มส่วนหัวของแท็กเพิ่มเติมในเฟรมเครือข่าย (ระดับที่ 2) ซึ่งมีข้อมูลบริการและ VLAN ID ค่า VLAN ID สามารถอยู่ระหว่าง 1 - 4095 ในกรณีนี้ 1 จะถูกสงวนไว้เป็น VLAN เริ่มต้น

เมื่อทำงานกับ VLAN สิ่งสำคัญคือต้องเข้าใจการรับส่งข้อมูลที่ติดแท็กและไม่ติดแท็ก ทราฟฟิกที่ติดแท็ก (ด้วย vlan ID) ส่วนใหญ่จะอยู่ระหว่างสวิตช์และเซิร์ฟเวอร์ คอมพิวเตอร์ทั่วไป (โดยเฉพาะที่ใช้ Windows OS) ไม่เข้าใจการรับส่งข้อมูลที่ติดแท็ก ดังนั้นบนพอร์ตเหล่านั้นที่มองโดยตรงที่เวิร์กสเตชันหรือในเครือข่ายด้วยสวิตช์ที่ไม่มีการจัดการ จะมีการออกทราฟฟิกที่ไม่ติดแท็ก เหล่านั้น. แท็กถูกตัดออกจากเฟรมเครือข่าย สิ่งนี้จะเกิดขึ้นเช่นกันหากพอร์ตถูกกำหนดค่าด้วย VLAN ID = 1

นอกจากนี้ยังมีแนวคิดที่เรียกว่าลำต้น Trunk คือพอร์ตสวิตช์ที่รับส่งข้อมูลด้วยแท็กที่แตกต่างกัน โดยทั่วไปแล้ว trunk จะได้รับการกำหนดค่าระหว่างสวิตช์เพื่อให้สามารถเข้าถึง VLAN จากสวิตช์ต่างๆ

การใช้ VLAN บนอุปกรณ์ Mikrotik

เราเตอร์และสวิตช์ Mikrotik รองรับได้ถึง 250 VLAN บนอินเทอร์เฟซอีเธอร์เน็ตเดียว คุณสามารถสร้าง VLAN ได้ไม่เพียงแต่บนอินเทอร์เฟซอีเทอร์เน็ตเท่านั้น แต่ยังบนบริดจ์และแม้แต่บนอุโมงค์ EoIP VLAN สามารถสร้างได้ในอินเทอร์เฟซ VLAN อื่นโดยใช้เทคโนโลยี "Q-in-Q" คุณสามารถสร้าง VLAN ที่ซ้อนกันได้ 10 ตัวขึ้นไป เฉพาะขนาด MTU เท่านั้นที่จะลดลง 4 ไบต์ในแต่ละครั้ง

  • ลองดูการใช้ VLAN โดยใช้ตัวอย่าง งาน:
  • สร้าง VLAN สำหรับ HOTSPOT (172.20.22.0/24)
  • สร้าง VLAN สำหรับระบบโทรศัพท์ VIOP (172.21.22.0/24)
  • แยกเครือข่าย 172.20.22.0/24, 172.21.22.0/24 ออกจากกัน และจากการเข้าถึงเครือข่าย 10.5.5.0/24
  • กำหนดให้ Ether3, Ether4 ทำงานบนเครือข่าย 172.21.22.0/24 (VLAN)

ข้อมูลเริ่มต้น:

  • อินเทอร์เน็ตบน Ether1 กำหนดให้กับอินเทอร์เฟซ Brigde - Ethernet
  • เครือข่ายท้องถิ่น (10.5.5.0/24) กำหนดให้กับอินเทอร์เฟซ Brigde - LAN
การสร้างอินเตอร์เฟส VLAN

สร้าง VLAN2 (ID=2), VLAN3 (ID=3) และกำหนดให้กับ อินเทอร์เฟซแบบบริดจ์แลน อินเทอร์เฟซ LAN จะทำหน้าที่เป็นการเชื่อมต่อ Trunk

/ อินเทอร์เฟซ vlan เพิ่มชื่อ = VLAN2 vlan-id = 2 อินเทอร์เฟซ = LAN / อินเทอร์เฟซ vlan เพิ่มชื่อ = VLAN3 vlan-id = 3 อินเทอร์เฟซ = LAN

การสร้างอินเตอร์เฟสบริดจ์

เราสร้างอินเทอร์เฟซ BridgeVLAN2, BridgeVLAN3 สำหรับ VLAN:

/interface Bridge เพิ่มชื่อ=BridgeVLAN2 /interface Bridge เพิ่มชื่อ=BridgeVLAN3

การเชื่อมต่ออินเตอร์เฟส VLAN ด้วยการเชื่อมต่อแบบบริดจ์

เราเชื่อมโยงอินเทอร์เฟซ VLAN (VLAN2, VLAN3) กับการเชื่อมต่อ Bridge (BridgeVLAN2, BridgeVLAN3):

/พอร์ตอินเทอร์เฟซบริดจ์เพิ่มอินเทอร์เฟซ = VLAN2 Bridge = BridgeVLAN2 /พอร์ตอินเทอร์เฟซบริดจ์เพิ่มอินเทอร์เฟซ = VLAN3 Bridge = BridgeVLAN3

การสร้างที่อยู่ IP

เรากำหนดที่อยู่ IP ให้กับแต่ละอินเตอร์เฟส BridgeVLAN2/BridgeVLAN3 - 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3):

/ที่อยู่ IP เพิ่มที่อยู่=172.20.22.1/24 อินเทอร์เฟซ=BridgeVLAN2 /ที่อยู่ IP เพิ่มที่อยู่=172.21.22.1/24 อินเทอร์เฟซ=BridgeVLAN3

การสร้างพูลที่อยู่

เรากำหนดช่วงของที่อยู่ IP ที่ออกสำหรับเครือข่าย (172.20.22.0/24, 172.21.22.0/24):

/ip พูลเพิ่มชื่อ=ช่วง poolVLAN2=172.20.22.2-172.20.22.254 /ip พูลเพิ่มชื่อ=ช่วง poolVLAN3=172.21.22.2-172.21.22.254

การตั้งค่า เซิร์ฟเวอร์ DHCP

เพื่อให้อุปกรณ์ได้รับ การตั้งค่าเครือข่ายกำหนดค่าเซิร์ฟเวอร์ DHCP สำหรับเครือข่ายท้องถิ่นโดยอัตโนมัติ (172.20.22.0/24, 172.21.22.0/24):

/ip dhcp-server เพิ่มชื่อ=อินเทอร์เฟซ dhcpVLAN2=ที่อยู่พูล BridgeVLAN2=poolVLAN2 ปิดการใช้งาน=ไม่ /ip เซิร์ฟเวอร์ dhcp เพิ่มชื่อ=อินเทอร์เฟซ dhcpVLAN3=ที่อยู่พูล BridgeVLAN3=poolVLAN3 ปิดการใช้งาน=ไม่มี /ip เครือข่ายเซิร์ฟเวอร์ dhcp เพิ่มที่อยู่=172.20 .22.0/24 เกตเวย์=172.20.22.1 /ip เครือข่ายเซิร์ฟเวอร์ dhcp เพิ่มที่อยู่=172.21.22.0/24 เกตเวย์=172.21.22.1

การตั้งค่าไฟร์วอลล์ การเข้าถึงอินเทอร์เน็ตสำหรับเครือข่าย VLAN

ฉันได้กำหนดค่าความปลอดภัยตามนี้ ดังนั้น เพื่อให้อุปกรณ์จากเครือข่ายท้องถิ่น (172.20.22.0/24, 172.21.22.0/24) สามารถเข้าถึงอินเทอร์เน็ตได้ เราจึงเพิ่มกฎสำหรับอุปกรณ์เหล่านี้:

/ip firewall filter add chain=forward action=accept src-address=172.20.22.0/24 comment="เข้าถึงอินเทอร์เน็ตจาก LAN" /ip firewall filter เพิ่ม chain=forward action=accept src-address=172.21.22.0/24 comment= "การเข้าถึงอินเทอร์เน็ตจาก LAN"

การแยกเครือข่าย VLAN

จำเป็นต้องแยกเครือข่าย VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24) ออกจากกัน และจากการเข้าถึงเครือข่ายหลัก เครือข่ายท้องถิ่น 10.5.5.0/24. เราสร้างรายการเครือข่ายท้องถิ่น (LOCAL):

/ip รายการที่อยู่ไฟร์วอลล์เพิ่มรายการ=ที่อยู่ท้องถิ่น=10.5.5.0/24 /ip รายการที่อยู่ไฟร์วอลล์เพิ่มรายการ=ที่อยู่ท้องถิ่น=172.20.22.0/24 /ip รายการที่อยู่ไฟร์วอลล์เพิ่มรายการ=ที่อยู่ท้องถิ่น=172.21.22.0/ 24

เราสร้างกฎสำหรับการบล็อกการเข้าถึงเครือข่ายท้องถิ่น (LOCAL) จากเครือข่าย 172.20.22.0/24, 172.21.22.0/24 เราต้องวางกฎห้ามไว้เหนือกฎการอนุญาต:

/ip ไฟร์วอลล์กรองเพิ่มลูกโซ่ = การกระทำไปข้างหน้า = วาง src-address = 172.20.22.0/24 dst-address-list = LOCAL / ip ตัวกรองไฟร์วอลล์เพิ่มลูกโซ่ = การกระทำไปข้างหน้า = วาง src-address = 172.21.22.0/24 dst-address -รายการ=ท้องถิ่น

การกระจาย VLAN ผ่านพอร์ตเราเตอร์ Mikrotik

เรากำหนดพอร์ตเราเตอร์ให้ทำงานใน VLAN อย่างใดอย่างหนึ่ง พอร์ต ether2 - BridgeVLAN2, พอร์ต ether3, ether4 - BridgeVLAN3:

/พอร์ตบริดจ์อินเทอร์เฟซเพิ่มอินเทอร์เฟซ=ether2 bridge=BridgeVLAN2 /พอร์ตอินเทอร์เฟซบริดจ์เพิ่มอินเทอร์เฟซ=ether3 bridge=BridgeVLAN3 /พอร์ตบริดจ์อินเทอร์เฟซเพิ่มอินเทอร์เฟซ=ether4 bridge=BridgeVLAN3

ข้อมูล: ไม่จำเป็นต้องกำหนดการเชื่อมต่อ Bridge ให้กับแต่ละพอร์ตให้เป็นของ VLAN เฉพาะ ก็เพียงพอแล้วที่จะตั้งค่าการเชื่อมต่อ Bridge ไปที่พอร์ตเดียวเท่านั้น จากนั้นใช้พอร์ต Master เพื่อระบุความเป็นสมาชิก VLAN ของพอร์ตอื่นๆ

เสร็จสิ้นการเพิ่มและกำหนดค่า VLAN เป็นผลให้เรามีเครือข่ายแยกสองเครือข่ายที่มีการเข้าถึงอินเทอร์เน็ต เราวางเครือข่าย VLAN ที่สร้างขึ้นในการเชื่อมต่อ Trunk ซึ่งจะช่วยให้สามารถแบ่งเครือข่าย VLAN ไปยังเราเตอร์อื่นได้ หากจำเป็น ซึ่งสามารถทำได้ง่ายดาย เราได้กำหนดพอร์ตเราเตอร์ที่จำเป็นให้ทำงานในเครือข่าย VLAN ที่เกี่ยวข้อง

บทความนี้เปิดเผยคุณสมบัติของการตั้งค่าเทคโนโลยี VLAN โดยใช้ตัวอย่างอุปกรณ์เฉพาะ

สวัสดีผู้เยี่ยมชมที่รัก วันนี้ตามธรรมเนียมที่ดีของเราฉันจะเล่าให้คุณฟังถึงสิ่งที่น่าสนใจ และเรื่องราวของวันนี้จะเป็นเกี่ยวกับสิ่งมหัศจรรย์ในเครือข่ายท้องถิ่นที่เรียกว่า VLAN โดยธรรมชาติแล้วเทคโนโลยีนี้มีอยู่หลายประเภท เราจะไม่พูดถึงทุกสิ่ง แต่เฉพาะเกี่ยวกับเทคโนโลยีที่จะแก้ปัญหาที่บริษัทของเราเผชิญอยู่เท่านั้น ผู้เชี่ยวชาญของเราใช้เทคโนโลยีนี้มากกว่าหนึ่งครั้งในการปฏิบัติงานด้านไอทีเอาท์ซอร์สในภูมิภาค แต่คราวนี้ ทุกอย่างค่อนข้างน่าสนใจมากขึ้น เพราะ... อุปกรณ์ที่เราต้องใช้ค่อนข้าง "ถูกถอดออก" (งานที่คล้ายกันก่อนหน้านี้เผยแพร่บนสวิตช์ D-link DES-1210-28) แต่สิ่งแรกก่อนอื่น

มันคืออะไรวีแลน?

VLAN ซึ่งเป็นเครือข่ายท้องถิ่นแบบลอจิคัล (“เสมือน”) คือกลุ่มของโฮสต์ที่มีชุดข้อกำหนดทั่วไปที่โต้ตอบราวกับว่าเชื่อมต่อกับโดเมนการออกอากาศ โดยไม่คำนึงถึงตำแหน่งทางกายภาพ VLAN มีคุณสมบัติเหมือนกับฟิสิคัล LAN แต่อนุญาตให้สถานีปลายทางรวมกลุ่มเข้าด้วยกันแม้ว่าจะไม่ได้อยู่บนเครือข่ายฟิสิคัลเดียวกันก็ตาม การปรับโครงสร้างองค์กรดังกล่าวสามารถทำได้โดยใช้ซอฟต์แวร์แทน การเคลื่อนไหวทางกายภาพอุปกรณ์

เทคโนโลยีนี้ช่วยให้คุณทำงานสองอย่างได้:

1) จัดกลุ่มอุปกรณ์ในระดับดาต้าลิงค์ (เช่น อุปกรณ์ที่อยู่ใน VLAN เดียวกัน) แม้ว่าทางกายภาพแล้ว อุปกรณ์เหล่านั้นจะสามารถเชื่อมต่อกับอุปกรณ์ที่แตกต่างกันได้ สวิตช์เครือข่าย(ตั้งอยู่ เช่น ห่างไกลทางภูมิศาสตร์)

2) แยกความแตกต่างระหว่างอุปกรณ์ (อยู่ใน VLAN ที่แตกต่างกัน) ที่เชื่อมต่อกับสวิตช์เดียวกัน

กล่าวอีกนัยหนึ่ง VLAN อนุญาตให้คุณสร้างโดเมนการออกอากาศแยกกัน ซึ่งจะช่วยลดเปอร์เซ็นต์ของการรับส่งข้อมูลการออกอากาศบนเครือข่าย

ท่าเรือ- ฐานวีแลน

Port-Base VLAN – คือกลุ่มของพอร์ตหรือพอร์ตบนสวิตช์ที่เป็นส่วนหนึ่งของ VLAN เดียว พอร์ตใน VLAN ดังกล่าวเรียกว่าไม่ติดแท็ก (ไม่ติดแท็ก) เนื่องจากเฟรมที่เข้าและออกจากพอร์ตไม่มีป้ายกำกับหรือตัวระบุ เทคโนโลยีนี้สามารถอธิบายสั้น ๆ ได้ - VLAN อยู่ในสวิตช์เท่านั้น เราจะพิจารณาเทคโนโลยีนี้กับสวิตช์จัดการ D-link DGS-1100-24

อีอีอี 802.1Q

อีอีอี 802.1Q - มาตรฐานแบบเปิดซึ่งอธิบายขั้นตอนการแท็กการรับส่งข้อมูลเพื่อถ่ายทอดข้อมูลสมาชิก VLAN เมื่อต้องการทำเช่นนี้ แท็กที่มีข้อมูลเกี่ยวกับการเป็นสมาชิกของ VLAN จะถูกวางไว้ในส่วนเนื้อหาของเฟรม เพราะ แท็กถูกวางไว้ในส่วนเนื้อหาและไม่อยู่ในส่วนหัวของเฟรม จากนั้นอุปกรณ์ที่ไม่รองรับ VLAN จะส่งผ่านการรับส่งข้อมูลอย่างโปร่งใส กล่าวคือ โดยไม่คำนึงถึงการเชื่อมโยงกับ VLAN

อาการติดเล็กน้อยคือขั้นตอนการวางแท็กในเฟรมเรียกว่าการฉีด

ขนาดแท็กคือ 4 ไบต์ ประกอบด้วยฟิลด์ต่อไปนี้:

  • ตัวระบุโปรโตคอลแท็ก (TPID, ตัวระบุโปรโตคอลการแท็ก) ขนาดฟิลด์คือ 16 บิต ระบุว่าโปรโตคอลใดใช้สำหรับการแท็ก สำหรับ 802.1Q ค่าคือ 0x8100
  • ลำดับความสำคัญ. ขนาดฟิลด์คือ 3 บิต ใช้โดยมาตรฐาน IEEE 802.1p เพื่อกำหนดลำดับความสำคัญของการรับส่งข้อมูลที่ส่ง
  • ตัวบ่งชี้รูปแบบ Canonical (CFI, ตัวบ่งชี้รูปแบบ Canonical) ขนาดฟิลด์คือ 1 บิต ระบุรูปแบบที่อยู่ MAC 0 - ตามบัญญัติ 1 - ไม่เป็นที่ยอมรับ CFI ใช้สำหรับความเข้ากันได้ระหว่าง เครือข่ายอีเทอร์เน็ตและโทเค็นริง
  • ตัวระบุ VLAN (VID, ตัวระบุ VLAN) ขนาดฟิลด์คือ 12 บิต ระบุว่าเฟรมเป็นของ VLAN ใด ช่วงของค่าที่เป็นไปได้คือตั้งแต่ 0 ถึง 4095

พอร์ตใน 802.1Q

พอร์ตสามารถอยู่ในโหมดใดโหมดหนึ่งต่อไปนี้:

  • พอร์ตที่แท็ก (ในคำศัพท์ของ CISCO - trunk-port) - พอร์ตอนุญาตให้แพ็กเก็ตที่แท็กผ่านได้ หมายเลขที่ระบุ VLAN แต่ในขณะเดียวกันก็ไม่ได้ทำเครื่องหมายแพ็กเก็ตแต่อย่างใด
  • พอร์ตที่ไม่ได้ติดแท็ก (ในคำศัพท์ของ CISCO - การเข้าถึงพอร์ต) - พอร์ตจะส่งผ่านการรับส่งข้อมูลที่ไม่ได้ติดแท็กสำหรับ VLAN ที่ระบุอย่างโปร่งใส หากการรับส่งข้อมูลไปยังพอร์ตสวิตช์อื่นนอก VLAN ที่ระบุก็จะมองเห็นได้ที่นั่นตามที่แท็กด้วยหมายเลขของ VLAN นี้ .
  • พอร์ตไม่ได้เป็นของ VLAN ใด ๆ และไม่มีส่วนร่วมในการทำงานของสวิตช์

ตัวอย่าง. มีอยู่ พื้นที่สำนักงานโดยแผนกทรัพยากรบุคคลแบ่งออกเป็น 2 ชั้น จึงจำเป็นต้องแยกพนักงานออกจากกัน เครือข่ายที่ใช้ร่วมกัน- มีสวิตช์สองตัว มาสร้าง VLAN 3 กัน โดยระบุพอร์ตที่จะอยู่ใน VLAN ตัวใดตัวหนึ่งเป็น Untagget Port เพื่อให้สวิตช์เข้าใจว่าเฟรมใดที่ส่งถึง VLAN สวิตช์จำเป็นต้องมีพอร์ตที่การรับส่งข้อมูลจะถูกส่งไปยัง VLAN เดียวกันของสวิตช์อื่น ตัวอย่างเช่น ลองเลือกหนึ่งพอร์ตแล้วระบุเป็น Tagget หากนอกเหนือจาก VLAN 3 แล้ว เรามีอย่างอื่นด้วย และ PC-1 ที่อยู่ใน VLAN 3 ค้นหา PC-2 ดังนั้นการรับส่งข้อมูลที่ออกอากาศจะไม่ "เดินทาง" ทั่วทั้งเครือข่าย แต่เฉพาะใน VLAN 3 เท่านั้น เฟรมที่มาถึงจะถูกส่งผ่าน ผ่านตาราง MAC หากไม่พบที่อยู่ของผู้รับเฟรมดังกล่าวจะถูกส่งผ่านพอร์ตทั้งหมดของ VLAN ที่มันมาและพอร์ต Tagget ที่มีป้ายกำกับ VLAN เพื่อให้สวิตช์อื่นทำซ้ำการออกอากาศไปยังกลุ่มพอร์ต ระบุไว้ในช่อง VID ตัวอย่างนี้อธิบาย VLAN - หนึ่งพอร์ตสามารถอยู่ใน VLAN เดียวเท่านั้น

อีอีอี 802.1โฆษณา

802.1ad เป็นมาตรฐานเปิด (คล้ายกับ 802.1q) ที่อธิบายแท็กคู่ เรียกอีกอย่างว่า Q-in-Q หรือ Stacked VLAN ความแตกต่างที่สำคัญจากมาตรฐานก่อนหน้านี้คือการมีสอง VLAN - ภายนอกและภายในซึ่งช่วยให้คุณแยกเครือข่ายไม่ใช่ 4095 VLAN แต่เป็น 4095x4095

สถานการณ์อาจแตกต่างกัน - ผู้ให้บริการจำเป็นต้อง "ส่งต่อ" Trunk ของลูกค้าโดยไม่ส่งผลกระทบต่อรูปแบบการกำหนดหมายเลข VLAN โหลดจะต้องมีความสมดุลระหว่างอินเทอร์เฟซย่อยภายในเครือข่ายของผู้ให้บริการ หรือเพียงแค่มีตัวเลขไม่เพียงพอ สิ่งที่ง่ายที่สุดคือสร้างแท็กประเภทเดียวกันอีกอัน

ไม่สมมาตรวีแลน

ในคำศัพท์ D-Link เช่นเดียวกับในการตั้งค่า VLAN มีแนวคิดของ VLAN แบบอสมมาตร - นี่คือ VLAN ที่หนึ่งพอร์ตสามารถอยู่ในหลาย VLAN

สถานะของพอร์ตเปลี่ยนไป

  • พอร์ตที่ติดแท็กทำงานเหมือนเดิม
  • เป็นไปได้ที่จะกำหนดหลายพอร์ตให้กับ VLAN หลายตัวเป็นแบบ Untagged เหล่านั้น. พอร์ตหนึ่งพอร์ตทำงานใน VLAN หลายตัวพร้อมกันในรูปแบบ Untagged
  • แต่ละพอร์ตมีพารามิเตอร์ PVID อื่น - นี่คือ VLAN ID ซึ่งใช้เพื่อทำเครื่องหมายการรับส่งข้อมูลจากพอร์ตนี้หากไปที่พอร์ตที่ติดแท็กและอยู่ภายนอกสวิตช์ แต่ละพอร์ตสามารถมีได้เพียงหนึ่ง PVID เท่านั้น

ดังนั้นเราจึงได้รับความจริงที่ว่าภายในอุปกรณ์หนึ่งพอร์ตสามารถเป็นของ VLAN หลายอันพร้อมกันได้ แต่ในเวลาเดียวกัน การรับส่งข้อมูลที่ออกจากพอร์ตที่แท็ก (TRUNK) จะถูกทำเครื่องหมายด้วยหมายเลขที่เรากำหนดไว้ใน PVID

ข้อจำกัด: IGMP Snooping ไม่ทำงานเมื่อใช้ VLAN แบบอสมมาตร

การสร้าง VLAN บนด-ลิงค์DGS-1100-24.

สิ่งที่มีอยู่ สวิตช์สองตัวหนึ่งในนั้นคือ D-link DGS-1100-24 สวิตช์หมายเลข 2 เชื่อมต่ออยู่ สวิตช์หมายเลข 2 เชื่อมต่อกับเครื่องของผู้ใช้ - ทั้งหมดรวมทั้งเซิร์ฟเวอร์ เกตเวย์เริ่มต้น และ ที่เก็บข้อมูลเครือข่าย.

งาน. จำกัดแผนกทรัพยากรบุคคลตั้งแต่ สภาพแวดล้อมทั่วไปเพื่อให้เซิร์ฟเวอร์ เกตเวย์ และที่เก็บข้อมูลเครือข่ายพร้อมใช้งาน

ยิ่งไปกว่านั้น สวิตช์ D-link DGS-1100-24 เพิ่งถูกนำออกจากกล่อง ส่วนใหญ่เริ่มต้น สวิตช์ที่มีการจัดการ ดี-ลิงค์มีที่อยู่ 10.90.90.90/8. เราไม่สนใจที่จะอยู่ที่สวิตช์หรือเปลี่ยนที่อยู่ มียูทิลิตี้พิเศษคือ D-Link SmartConsole Utility ซึ่งช่วยในการค้นหาอุปกรณ์ของเราผ่านเครือข่าย หลังการติดตั้ง ให้เปิดยูทิลิตี้

ก่อนที่จะไปยังการกำหนดค่า เรามาสลับพอร์ตกันก่อน:

1) สลับพอร์ตแผนกทรัพยากรบุคคลจากสวิตช์หมายเลข 2 เป็นสวิตช์หมายเลข 1

2) สลับเซิร์ฟเวอร์ เกตเวย์ และที่เก็บข้อมูลเครือข่ายจากสวิตช์หมายเลข 2 เป็นสวิตช์หมายเลข 1

3) เชื่อมต่อสวิตช์หมายเลข 2 กับสวิตช์หมายเลข 1

หลังจากสวิตช์ดังกล่าว เราจะเห็นภาพต่อไปนี้: เซิร์ฟเวอร์ เกตเวย์ ที่เก็บข้อมูลเครือข่าย และแผนกทรัพยากรบุคคลเชื่อมต่อกับสวิตช์หมายเลข 1 และผู้ใช้รายอื่นทั้งหมดเชื่อมต่อกับสวิตช์หมายเลข 2

คลิกปุ่ม "ค้นพบ"

ทำเครื่องหมายที่ช่องและคลิกไอคอนรูปเฟืองเพื่อเปิดหน้าต่างการตั้งค่าสวิตช์ หลังจากตั้งค่าที่อยู่ มาสก์ และเกตเวย์แล้ว ให้เขียนรหัสผ่านซึ่งตามค่าเริ่มต้นคือผู้ดูแลระบบ

คลิก “เพิ่ม VLAN” และระบุชื่อ VLAN และพอร์ต

คลิก “สมัคร”

หลังจากสร้าง VLAN ที่จำเป็นแล้ว ให้บันทึกการตั้งค่าโดยคลิก "บันทึก", "บันทึกการกำหนดค่า"

ดังนั้นเราจึงเห็นว่า VLAN 3 ไม่สามารถเข้าถึงพอร์ต 01-08, 15-24 - ดังนั้นจึงไม่มีการเข้าถึงเซิร์ฟเวอร์, เกตเวย์, ที่เก็บข้อมูลเครือข่าย, VLAN2 และไคลเอนต์อื่น ๆ - ซึ่งเชื่อมต่อกับสวิตช์หมายเลข 2 อย่างไรก็ตาม VLAN 2 สามารถเข้าถึงเซิร์ฟเวอร์ เกตเวย์ และพื้นที่เก็บข้อมูลเครือข่ายได้ แต่เข้าถึงเครื่องอื่นไม่ได้ และสุดท้าย เครื่องอื่นๆ ทั้งหมดจะเห็นเซิร์ฟเวอร์ เกตเวย์ ที่เก็บข้อมูลเครือข่าย แต่ไม่เห็นพอร์ต 05,06]

ดังนั้นหากคุณมีความรู้บางอย่างเกี่ยวกับคุณสมบัติของอุปกรณ์และทักษะด้านไอทีเอาท์ซอร์ส คุณสามารถตอบสนองความต้องการของลูกค้าได้แม้จะมีอุปกรณ์ราคาประหยัดเช่นสวิตช์ D-Link DGS1100-24

ทุกคน สันติภาพจงอยู่กับคุณ!


9) การกำหนดเส้นทาง: คงที่และไดนามิกโดยใช้ตัวอย่างของ RIP, OSPF และ EIGRP
10) การแปลที่อยู่เครือข่าย: NAT และ PAT
11) โปรโตคอลการจอง First Hop: FHRP
12) ความปลอดภัยเครือข่ายคอมพิวเตอร์และเครือข่ายส่วนตัวเสมือน: VPN
13) เครือข่ายและโปรโตคอลทั่วโลกที่ใช้: PPP, HDLC, Frame Relay
14) ข้อมูลเบื้องต้นเกี่ยวกับ IPv6 การกำหนดค่าและการกำหนดเส้นทาง
15) การจัดการเครือข่ายและการตรวจสอบเครือข่าย

ป.ล. บางทีเมื่อเวลาผ่านไปรายการก็อาจจะขยายออกไป


ในบทความก่อนหน้านี้ เราได้ทำงานร่วมกับอุปกรณ์เครือข่ายจำนวนมากแล้ว เข้าใจว่าอุปกรณ์เหล่านี้แตกต่างกันอย่างไร และดูว่าเฟรม แพ็กเก็ต และ PDU อื่นๆ ประกอบด้วยอะไรบ้าง โดยหลักการแล้ว ด้วยความรู้นี้ คุณสามารถจัดระเบียบเครือข่ายท้องถิ่นที่เรียบง่ายและทำงานในเครือข่ายนั้นได้ แต่โลกไม่ได้หยุดนิ่ง มีอุปกรณ์จำนวนมากขึ้นเรื่อยๆ ปรากฏขึ้นที่โหลดเครือข่าย หรือที่แย่กว่านั้นคือสร้างภัยคุกคามด้านความปลอดภัย และตามกฎแล้ว "อันตราย" จะปรากฏต่อหน้า "ความปลอดภัย" ตอนนี้ฉันจริงๆ ตัวอย่างง่ายๆฉันจะแสดงมัน.

เราจะไม่แตะต้องเราเตอร์และเครือข่ายย่อยที่แตกต่างกันในตอนนี้ สมมติว่าโหนดทั้งหมดอยู่บนเครือข่ายย่อยเดียวกัน

ฉันจะให้รายการที่อยู่ IP แก่คุณ:

  1. พีซี1 – 192.168.1.2/24
  2. PC2 – 192.168.1.3/24
  3. PC3 – 192.168.1.4/24
  4. PC4 – 192.168.1.5/24
  5. PC5 – 192.168.1.6/24
  6. PC6 – 192.168.1.7/24
เรามี 3 แผนก: ฝ่ายอำนวยการ ฝ่ายบัญชี ฝ่ายทรัพยากรบุคคล แต่ละแผนกมีสวิตช์ของตัวเองและเชื่อมต่อผ่านสวิตช์ส่วนกลางด้านบน ดังนั้น PC1 จึงส่ง Ping ไปที่ PC2






ใครอยากดูแบบอนิเมชั่นก็เปิดสปอยล์ได้เลย (มันแสดง ping จาก PC1 ถึง PC5)

การดำเนินงานเครือข่ายในโดเมนการออกอากาศเดียว


สวยใช่มั้ยล่ะ? ในบทความก่อนหน้านี้เราได้พูดถึงเรื่องงานมากกว่าหนึ่งครั้งแล้ว โปรโตคอล ARPแต่นั่นคือปีที่แล้ว เลยขออธิบายสั้นๆ เนื่องจาก PC1 ไม่ทราบที่อยู่ MAC (หรือที่อยู่เลเยอร์ลิงก์) ของ PC2 จึงส่ง ARP ไปลาดตระเวนเพื่อให้สามารถบอกได้ มันมาถึงสวิตช์จากตำแหน่งที่ส่งต่อไปยังพอร์ตที่ใช้งานอยู่ทั้งหมดนั่นคือไปยัง PC2 และไปยังสวิตช์กลาง จากสวิตช์กลางจะบินออกไปยังสวิตช์ข้างเคียงเรื่อยๆ จนไปถึงทุกคน นี่ไม่ใช่การรับส่งข้อมูลจำนวนเล็กน้อยที่เกิดจากข้อความ ARP เดียว ผู้เข้าร่วมเครือข่ายทุกคนได้รับมัน การจราจรขนาดใหญ่และไม่จำเป็นคือปัญหาแรก ปัญหาที่สองคือความปลอดภัย ฉันคิดว่าพวกเขาสังเกตเห็นว่าข้อความดังกล่าวไปถึงแผนกบัญชีซึ่งคอมพิวเตอร์ไม่ได้เกี่ยวข้องกับเรื่องนี้เลย ผู้โจมตีที่เชื่อมต่อกับสวิตช์ใดๆ จะสามารถเข้าถึงเครือข่ายทั้งหมดได้ โดยหลักการแล้ว เครือข่ายเคยทำงานในลักษณะนี้ คอมพิวเตอร์อยู่ในสภาพแวดล้อมช่องสัญญาณเดียวกันและถูกแยกโดยเราเตอร์เท่านั้น แต่เวลาผ่านไปและจำเป็นต้องแก้ไขปัญหานี้ในระดับลิงก์ ในฐานะผู้บุกเบิก Cisco ได้คิดค้นโปรโตคอลของตัวเองที่แท็กเฟรมและกำหนดว่าอยู่ในสภาพแวดล้อมของช่องสัญญาณเฉพาะ มันถูกเรียกว่า ISL (ลิงก์ระหว่างสวิตช์)- ทุกคนชอบแนวคิดนี้และ IEEE จึงตัดสินใจพัฒนามาตรฐานเปิดที่คล้ายกัน ได้ตั้งชื่อมาตรฐานว่า 802.1คิว- ได้รับความนิยมอย่างมากและ Cisco ก็ตัดสินใจเปลี่ยนมาใช้เช่นกัน
และเป็นเทคโนโลยี VLAN ที่ทำงานบนโปรโตคอล 802.1q มาเริ่มพูดถึงเธอกันดีกว่า

ในฉันได้แสดงให้เห็นว่าเฟรมอีเธอร์เน็ตมีลักษณะอย่างไร ดูแล้วรีเฟรชความทรงจำของคุณ นี่คือลักษณะของเฟรมที่ไม่มีแท็ก

ตอนนี้เรามาดูที่แท็กหนึ่ง

อย่างที่คุณเห็นความแตกต่างก็คือบางอย่าง แท็ก- นี่คือสิ่งที่น่าสนใจสำหรับเรา มาเจาะลึกกันดีกว่า ประกอบด้วย 4 ส่วน

1) TPID (Tag Protocol ID) หรือตัวระบุโปรโตคอลที่ติดแท็ก- ประกอบด้วย 2 ไบต์ และสำหรับ VLAN จะเท่ากับ 0x8100 เสมอ
2) PCP (จุดรหัสลำดับความสำคัญ) หรือค่าลำดับความสำคัญ- ประกอบด้วย 3 บิต ใช้เพื่อจัดลำดับความสำคัญของการรับส่งข้อมูล ผู้ดูแลระบบที่เท่และมีเครารู้วิธีจัดการอย่างถูกต้องและดำเนินการเมื่อมีการรับส่งข้อมูลที่แตกต่างกันบนเครือข่าย (เสียง วิดีโอ ข้อมูล ฯลฯ)
3) CFI (ตัวบ่งชี้รูปแบบ Canonical) หรือตัวบ่งชี้รูปแบบ Canonical- ฟิลด์ธรรมดาที่ประกอบด้วยหนึ่งบิต ถ้าราคาเป็น 0 แสดงว่าใช่ รูปแบบมาตรฐานที่อยู่ MAC
4) VID (ID VLAN ภาษาอังกฤษ) หรือตัวระบุ VLAN- ประกอบด้วย 12 บิตและแสดงว่า VLAN ของเฟรมนั้นอยู่ที่ใด

ฉันอยากจะดึงความสนใจไปที่ความจริงที่ว่าการแท็กเฟรมนั้นดำเนินการระหว่างอุปกรณ์เครือข่าย (สวิตช์ เราเตอร์ ฯลฯ) และระหว่าง โหนดสิ้นสุด(คอมพิวเตอร์ แล็ปท็อป) และอุปกรณ์เครือข่าย เฟรมจะไม่ถูกแท็ก ดังนั้นพอร์ตอุปกรณ์เครือข่ายจึงสามารถมีได้ 2 สถานะ: เข้าถึงหรือ กระโปรงหลังรถ.

  • พอร์ตการเข้าถึงหรือพอร์ตการเข้าถึง- พอร์ตที่อยู่ใน VLAN เฉพาะและส่งเฟรมที่ไม่ได้ติดแท็ก โดยทั่วไปนี่คือพอร์ตที่หันเข้าหาอุปกรณ์ของผู้ใช้
  • พอร์ตท้ายรถหรือพอร์ตท้ายรถ- พอร์ตส่งสัญญาณการรับส่งข้อมูลที่ติดแท็ก โดยทั่วไปแล้ว พอร์ตนี้จะเพิ่มขึ้นระหว่างอุปกรณ์เครือข่าย
ตอนนี้ฉันจะแสดงสิ่งนี้ในทางปฏิบัติ ฉันกำลังเปิดแล็บเดียวกัน ฉันจะไม่ทำซ้ำรูปภาพ แต่ฉันจะเปิดสวิตช์ทันทีและดูว่ามีอะไรอยู่ใน VLAN

ฉันกำลังรับสมัครทีมงาน แสดง vlan.


มีโต๊ะเรียงรายอยู่หลายโต๊ะ อันที่จริงมีเพียงสิ่งแรกเท่านั้นที่สำคัญสำหรับเรา ตอนนี้ฉันจะแสดงวิธีการอ่านมัน

1 คอลัมน์คือหมายเลข VLAN หมายเลข 1 ปรากฏที่นี่ในตอนแรก - นี่คือ VLAN มาตรฐาน ซึ่งปรากฏในตอนแรกในทุกสวิตช์ มันทำหน้าที่อื่นซึ่งฉันจะเขียนเกี่ยวกับด้านล่าง นอกจากนี้ยังมีรายการที่สงวนไว้ตั้งแต่ 1002-1005 นี่สำหรับสื่อช่องอื่น ๆ ที่ไม่น่าจะใช้ในปัจจุบัน คุณไม่สามารถลบได้เช่นกัน

Switch(config)#no vlan 1005 เริ่มต้น VLAN 1005 อาจไม่ถูกลบ
เมื่อลบ Cisco จะแสดงข้อความว่า VLAN นี้ไม่สามารถลบได้ ดังนั้นเราจึงมีชีวิตอยู่และไม่แตะต้อง VLAN ทั้ง 4 นี้

คอลัมน์ที่ 2คือชื่อ VLAN ที่ การสร้าง VLANคุณสามารถใช้ดุลยพินิจของคุณในการตั้งชื่อที่มีความหมายสำหรับพวกเขา เพื่อที่คุณจะได้สามารถระบุได้ในภายหลัง มีค่าเริ่มต้นอยู่แล้ว fddi-default, token-ring-default, fddinet-default, trnet-default

3 คอลัมน์- สถานะ. นี่แสดงว่า VLAN อยู่ในสถานะใด ในขณะนี้ VLAN 1 หรือค่าเริ่มต้นอยู่ในสถานะใช้งานอยู่ และอีก 4 รายการถัดไปเป็น act/unsup (แม้ว่าจะใช้งานอยู่ แต่ก็ไม่รองรับ)

4 คอลัมน์- พอร์ต นี่แสดงว่าพอร์ตเป็นของ VLAN ใด ตอนนี้เรายังไม่ได้แตะต้องอะไรเลย พวกมันอยู่ในค่าเริ่มต้น

มาเริ่มตั้งค่าสวิตช์กันดีกว่า แนวทางปฏิบัติที่ดีในการตั้งชื่อสวิตช์ของคุณให้มีความหมาย นั่นคือสิ่งที่เราจะทำ ฉันกำลังนำทีม

สวิตช์(config)#ชื่อโฮสต์ CentrSW CentrSW(config)#
ส่วนที่เหลือได้รับการกำหนดค่าในลักษณะเดียวกัน ดังนั้น ฉันจะแสดงไดอะแกรมโทโพโลยีที่อัปเดตให้คุณดู


มาเริ่มตั้งค่ากันที่สวิตช์ SW1 กันดีกว่า ขั้นแรก เรามาสร้าง VLAN บนสวิตช์กันก่อน

SW1(config)#vlan 2 - สร้าง VLAN 2 (VLAN 1 ถูกสงวนไว้ตามค่าเริ่มต้น ดังนั้นให้ดำเนินการต่อไป) SW1(config-vlan)#name Dir-ya - เราเข้าสู่การตั้งค่า VLAN และตั้งชื่อให้กับมัน
สร้าง VLAN แล้ว ตอนนี้เรามาดูพอร์ตกันดีกว่า อินเทอร์เฟซ FastEthernet0/1 ดูที่ PC1 และ FastEthernet0/2 ดูที่ PC2 ดังที่ได้กล่าวไว้ก่อนหน้านี้ เฟรมระหว่างเฟรมเหล่านั้นจะต้องถูกส่งแบบไม่ติดแท็ก ดังนั้นเรามาถ่ายโอนเฟรมเหล่านั้นไปยังสถานะการเข้าถึงกันดีกว่า

SW1(config)#interface fastEthernet 0/1 - ดำเนินการตั้งค่าพอร์ตที่ 1 ต่อไป การเข้าถึงโหมด SW1(config-if)#switchport - สลับพอร์ตเป็นโหมดการเข้าถึง SW1(config-if)#switchport access vlan 2 - กำหนด VLAN ที่ 2 ให้กับพอร์ต SW1(config)#interface fastEthernet 0/2 - ดำเนินการตั้งค่าพอร์ตที่ 2 การเข้าถึงโหมด SW1(config-if)#switchport - สลับพอร์ตเป็นโหมดการเข้าถึง SW1(config-if)#switchport access vlan 2 - กำหนด VLAN ที่ 2 ให้กับพอร์ต
เนื่องจากทั้งสองพอร์ตถูกกำหนดให้กับ VLAN เดียวกัน จึงยังคงสามารถกำหนดค่าเป็นกลุ่มได้

SW1(config)#interface range fastEthernet 0/1-2 - นั่นคือเลือกพูลแล้วตั้งค่าเหมือนกัน SW1 (config-if-range) # การเข้าถึงโหมด switchport SW1 (config-if-range) # การเข้าถึงโหมด switchport vlan 2
พอร์ตการเข้าถึงที่กำหนดค่าไว้ ตอนนี้เรามากำหนดค่า trunk ระหว่าง SW1 และ CentrSW

SW1(config)#interface fastEthernet 0/24 - ดำเนินการตั้งค่าพอร์ตที่ 24 ต่อไป SW1(config-if)#switchport mode trunk - สลับพอร์ตเป็นโหมด trunk %LINEPROTO-5-UPDOWN: โปรโตคอลบรรทัดบนอินเทอร์เฟซ FastEthernet0/24 เปลี่ยนสถานะเป็นลง %LINEPROTO-5-UPDOWN: โปรโตคอลบรรทัดบนอินเทอร์เฟซ FastEthernet0/24 เปลี่ยนสถานะเป็นขึ้น
เราเห็นทันทีว่าพอร์ตได้รับการกำหนดค่าใหม่แล้ว โดยหลักการแล้วนี่ก็เพียงพอแล้วสำหรับการทำงาน แต่จากมุมมองด้านความปลอดภัย เฉพาะ VLAN ที่จำเป็นจริงๆ เท่านั้นที่ควรได้รับอนุญาตให้ส่งข้อมูล มาเริ่มกันเลย

SW1(config-if)#switchport trunk อนุญาต vlan 2 - อนุญาตให้ส่งเฉพาะ VLAN ที่ 2 เท่านั้น
หากไม่มีคำสั่งนี้ VLAN ที่มีอยู่ทั้งหมดจะถูกส่งไป มาดูกันว่าตารางมีการเปลี่ยนแปลงอย่างไรด้วยคำสั่ง แสดง vlan.


VLAN ตัวที่ 2 ชื่อ Dir-ya ปรากฏขึ้น และเราเห็นพอร์ต fa0/1 และ fa0/2 ที่เป็นของมัน

หากต้องการแสดงเฉพาะตารางด้านบน คุณสามารถใช้คำสั่ง แสดงบทสรุปของ vlan.


คุณสามารถย่อเอาต์พุตให้สั้นลงได้หากคุณระบุ VLAN ID เฉพาะ


หรือชื่อของเขา


ข้อมูล VLAN ทั้งหมดจะถูกจัดเก็บไว้ในหน่วยความจำแฟลชในไฟล์ vlan.dat


อย่างที่คุณสังเกตเห็น ไม่มีคำสั่งใดที่มีข้อมูลเกี่ยวกับ trunk สามารถดูได้โดยทีมอื่น แสดงส่วนต่อประสานลำตัว.


มีข้อมูลเกี่ยวกับพอร์ต trunk ที่นี่และ VLAN ใดบ้างที่พอร์ตเหล่านี้ส่ง นอกจากนี้ยังมีคอลัมน์ที่นี่ vlan ดั้งเดิม- นี่เป็นประเภทของการรับส่งข้อมูลที่ไม่ควรติดแท็ก หากเฟรมที่ไม่ติดแท็กมาถึงสวิตช์ เฟรมนั้นจะถูกกำหนดให้กับ Native Vlan โดยอัตโนมัติ (โดยค่าเริ่มต้น และในกรณีของเรา นี่คือ VLAN 1) Native VLAN เป็นไปได้ แต่หลายคนบอกว่าจำเป็นต้องเปลี่ยนด้วยเหตุผลด้านความปลอดภัย ในการดำเนินการนี้ในโหมดการกำหนดค่าพอร์ต trunk คุณต้องใช้คำสั่ง - switchport trunk ดั้งเดิม vlan X, ที่ไหน เอ็กซ์- จำนวน VLAN ที่กำหนด เราจะไม่เปลี่ยนโทโพโลยีนี้ แต่การรู้วิธีดำเนินการจะมีประโยชน์

สิ่งที่เหลืออยู่คือการกำหนดค่าอุปกรณ์ที่เหลือ

CentrSW:
สวิตช์ส่วนกลางคือลิงค์เชื่อมต่อ ซึ่งหมายความว่าจะต้องรู้เกี่ยวกับ VLAN ทั้งหมด ดังนั้นเราจึงสร้างมันขึ้นมาก่อนแล้วจึงโอนอินเทอร์เฟซทั้งหมดไปยังโหมดทรังก์

CentrSW(config)#vlan 2 CentrSW(config-vlan)# ชื่อ Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# ชื่อ buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# ชื่อ otdel -kadrov CentrSW (config) # ช่วงอินเทอร์เฟซ fastEthernet 0/1-3 CentrSW (config-if-range) # trunk โหมด switchport
อย่าลืมบันทึกการกำหนดค่า ทีม คัดลอก running-config startup-config.php

SW2(config)#vlan 3 SW2(config-vlan)#ชื่อ buhgalter SW2(config)#ช่วงอินเทอร์เฟซ fastEthernet 0/1-2 SW2(config-if-range)#การเข้าถึงโหมด switchport SW2(config-if-range)# การเข้าถึง switchport vlan 3 SW2 (config) #interface fastEthernet 0/24 SW2 (config-if) # trunk โหมด switchport SW2 (config-if) #switchport trunk อนุญาต vlan 3
SW3:

SW3 (config) #vlan 4 SW3 (config-vlan) # ชื่อ otdel kadrov SW3 (config) # ช่วงอินเทอร์เฟซ fastEthernet 0/1-2 SW3 (config-if-range) # การเข้าถึงโหมด switchport SW3 (config-if-range) #switchport เข้าถึง vlan 4 SW3 (config) #interface fastEthernet 0/24 SW3 (config-if) # trunk โหมด switchport SW3 (config-if) #switchport trunk อนุญาต vlan 4
โปรดทราบว่าเราได้ยกระดับและกำหนดค่า VLAN แต่ยังคงให้การกำหนดแอดเดรสของโหนดเหมือนเดิม นั่นคือโหนดเกือบทั้งหมดอยู่บนเครือข่ายย่อยเดียวกัน แต่แยกจากกันโดย VLAN คุณไม่สามารถทำอย่างนั้นได้ แต่ละ VLAN จะต้องได้รับการกำหนดเครือข่ายย่อยแยกกัน ฉันทำสิ่งนี้เพื่อการศึกษาเท่านั้น หากแต่ละแผนกนั่งอยู่ในเครือข่ายย่อยของตัวเอง แผนกต่างๆ เหล่านั้นก็จะถูกจำกัดไว้ก่อน เนื่องจากสวิตช์ไม่ทราบวิธีกำหนดเส้นทางการรับส่งข้อมูลจากเครือข่ายย่อยหนึ่งไปยังอีกเครือข่ายหนึ่ง (บวกกับข้อจำกัดนี้ในระดับเครือข่ายอยู่แล้ว) และเราต้องจำกัดแผนกในระดับลิงค์
ฉันส่ง Ping PC1 ไปที่ PC3 อีกครั้ง

ARP กำลังถูกใช้อยู่ ซึ่งเป็นสิ่งที่เราต้องการตอนนี้ มาเปิดกันเถอะ

ยังไม่มีอะไรใหม่ ARP ถูกห่อหุ้มในอีเธอร์เน็ต

เฟรมมาถึงสวิตช์และถูกแท็ก ขณะนี้ไม่มีอีเธอร์เน็ตธรรมดา แต่เป็น 802.1q มีการเพิ่มฟิลด์ที่ฉันเขียนถึงก่อนหน้านี้แล้ว นี้ ทีพีไอดีซึ่งมีค่าเท่ากับ 8100 และระบุว่าเป็น 802.1q และ ทีซีไอซึ่งรวม 3 ฟิลด์เข้าด้วยกัน PCP, CFI และ VID- หมายเลขในช่องนี้คือหมายเลข VLAN เดินหน้าต่อไป


หลังจากแท็ก มันจะส่งเฟรมไปที่ PC2 (เนื่องจากอยู่ใน VLAN เดียวกัน) และไปยังสวิตช์กลางผ่านทางพอร์ต trunk


เนื่องจากไม่ได้กำหนดไว้อย่างเคร่งครัดว่าประเภท VLAN ใดที่จะผ่านพอร์ตใด จึงจะส่งไปยังสวิตช์ทั้งสองตัว และที่นี่สวิตช์เมื่อเห็นหมายเลข VLAN ก็เข้าใจว่าไม่มีอุปกรณ์ที่มี VLAN ดังกล่าวและทิ้งมันอย่างกล้าหาญ


PC1 กำลังรอการตอบกลับ แต่ก็ไม่เคยมา สามารถดูได้ใต้สปอยล์ในรูปแบบแอนิเมชั่น

แอนิเมชั่น


ตอนนี้สถานการณ์ต่อไป มีการจ้างบุคคลอื่นเข้ามาเป็นผู้อำนวยการ แต่ไม่มีที่ว่างในสำนักงานผู้อำนวยการและขอให้วางบุคคลในแผนกบัญชีชั่วคราว มาแก้ปัญหานี้กัน


เราเชื่อมต่อคอมพิวเตอร์เข้ากับพอร์ต FastEthernet 0/3 ของสวิตช์และกำหนดที่อยู่ IP 192.168.1.8/24
ตอนนี้ฉันจะกำหนดค่าสวิตช์ SW2- เนื่องจากคอมพิวเตอร์จะต้องอยู่ใน VLAN ที่ 2 ซึ่งสวิตช์ไม่ทราบ ฉันจะสร้างมันขึ้นมาบนสวิตช์

SW2(config)#vlan 2 SW2(config-vlan)#ชื่อ Dir-ya
ต่อไปเราจะกำหนดค่าพอร์ต FastEthernet 0/3 ซึ่งดูที่ PC7

SW2 (config) #interface fastEthernet 0/3 SW2 (config-if) การเข้าถึงโหมด #switchport SW2 (config-if) #switchport การเข้าถึง vlan 2
และสิ่งสุดท้ายคือการกำหนดค่าพอร์ตลำตัว

SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport trunk อนุญาต vlan เพิ่ม 2 - โปรดใส่ใจกับคำสั่งนี้ คือบน คำหลัก"เพิ่ม". หากคุณไม่เพิ่มคำนี้ คุณจะลบ VLAN อื่นๆ ทั้งหมดที่อนุญาตให้ส่งข้อมูลบนพอร์ตนี้ ดังนั้นหากคุณมี trunk ยกอยู่บนพอร์ตอยู่แล้วและมีการส่ง VLAN อื่น ๆ คุณจำเป็นต้องเพิ่มด้วยวิธีนี้
เพื่อให้เฟรมลื่นไหลสวยงาม ฉันจะปรับสวิตช์กลาง ศูนย์สว.

CentrSW (config) #interface fastEthernet 0/1 CentrSW (config-if) #switchport trunk อนุญาต vlan 2 CentrSW (config) #interface fastEthernet 0/2 CentrSW (config-if) #switchport trunk อนุญาต vlan 2,3 CentrSW (config) #interface fastEthernet 0/3 CentrSW (config-if) #switchport trunk อนุญาต vlan 4
ตรวจสอบเวลา ฉันส่ง ping จาก PC1 ไปยัง PC7



จนถึงตอนนี้เส้นทางทั้งหมดก็คล้ายกับเส้นทางก่อนหน้า แต่จากนี้ไป (จากภาพด้านล่าง) สวิตช์ส่วนกลางจะตัดสินใจแตกต่างออกไป เขาได้รับเฟรมและเห็นว่ามันถูกแท็กด้วย VLAN ที่ 2 ซึ่งหมายความว่าควรส่งไปยังตำแหน่งที่ได้รับอนุญาตเท่านั้น นั่นคือไปยังพอร์ต fa0/2


และตอนนี้เขามาถึง SW2 เราเปิดมันและพบว่ามันยังคงติดแท็กอยู่ แต่โหนดต่อไปคือคอมพิวเตอร์และต้องถอดแท็กออก คลิกที่ "รายละเอียด PDU ขาออก" เพื่อดูว่าเฟรมจะออกจากสวิตช์อย่างไร


และแน่นอน สวิตช์จะส่งเฟรมในรูปแบบ "สะอาด" นั่นคือไม่มีแท็ก


ARP ถึง PC7 เราเปิดมันขึ้นมาและตรวจสอบให้แน่ใจว่าเฟรม PC7 ที่ไม่ได้ติดแท็กนั้นจดจำตัวเองและส่งการตอบกลับ


เราเปิดเฟรมบนสวิตช์แล้วดูว่าจะถูกส่งแท็กไป จากนั้นเฟรมก็จะเดินทางเหมือนเดิม



ARP ไปถึง PC1 ตามที่เห็นได้จากเครื่องหมายถูกบนซองจดหมาย ตอนนี้เขารู้ที่อยู่ MAC และใช้ ICMP


เราเปิดแพ็คเกจบนสวิตช์แล้วเห็นภาพเดียวกัน ที่เลเยอร์ลิงก์ เฟรมจะถูกแท็กโดยสวิตช์ สิ่งนี้จะเกิดขึ้นกับทุกข้อความ




เราเห็นว่าแพ็คเกจเข้าถึง PC7 ได้สำเร็จ ฉันจะไม่แสดงทางกลับเพราะมันคล้ายกัน หากใครสนใจสามารถดูเส้นทางทั้งหมดได้ในแอนิเมชั่นใต้สปอยล์ด้านล่างนี้ และถ้าคุณต้องการเจาะลึกโทโพโลยีนี้ด้วยตัวเอง ฉันกำลังแนบลิงก์ไปยังห้องปฏิบัติการ

ตรรกะการดำเนินงาน VLAN



โดยหลักการแล้ว นี่คือการใช้งาน VLAN ที่ได้รับความนิยมมากที่สุด โดยไม่คำนึงถึง ที่ตั้งทางกายภาพคุณสามารถรวมโหนดออกเป็นกลุ่มตามตรรกะได้ ดังนั้นจึงแยกโหนดออกจากโหนดอื่นๆ จะสะดวกมากเมื่อพนักงานทำงานจริง สถานที่ที่แตกต่างกันแต่ต้องนำมารวมกัน และแน่นอน จากมุมมองด้านความปลอดภัย VLAN ไม่สามารถใช้แทนกันได้ สิ่งสำคัญคือคนจำนวน จำกัด สามารถเข้าถึงอุปกรณ์เครือข่ายได้ แต่นี่เป็นหัวข้อแยกต่างหาก
เราได้รับข้อจำกัดในระดับลิงก์แล้ว การจราจรไม่ไปไหนแล้ว แต่เป็นไปตามที่ตั้งใจไว้อย่างเคร่งครัด แต่ตอนนี้เกิดคำถามว่าหน่วยงานต่างๆ จำเป็นต้องสื่อสารกัน และเนื่องจากพวกมันอยู่ในสภาพแวดล้อมของช่องสัญญาณที่แตกต่างกัน การกำหนดเส้นทางจึงเข้ามามีบทบาท แต่ก่อนที่เราจะเริ่มต้น เรามาเรียงลำดับโทโพโลยีกันก่อน สิ่งแรกที่เราจะลงมือทำคือการระบุโหนด ขอย้ำว่าแต่ละแผนกต้องอยู่ในเครือข่ายย่อยของตัวเอง โดยรวมแล้วเราได้รับ:
  • ผู้อำนวยการ - 192.168.1.0/24
  • การบัญชี - 192.168.2.0/24
  • แผนกทรัพยากรบุคคล - 192.168.3.0/24


เมื่อกำหนดเครือข่ายย่อยแล้ว เราจะจัดการกับโหนดทันที
  1. พีซี1:
    ไอพี: 192.168.1.2
    มาสก์: 255.255.255.0 หรือ /24
    เกตเวย์: 192.168.1.1
  2. พีซี2:
    ไอพี: 192.168.1.3
    มาสก์: 255.255.255.0 หรือ /24
    เกตเวย์: 192.168.1.1
  3. PC3:
    ไอพี: 192.168.2.2
    มาสก์: 255.255.255.0 หรือ /24
    เกตเวย์: 192.168.2.1
  4. PC4:
    ไอพี: 192.168.2.3
    มาสก์: 255.255.255.0 หรือ /24
    เกตเวย์: 192.168.2.1
  5. PC5:
    ไอพี: 192.168.3.2
    มาสก์: 255.255.255.0 หรือ /24
    เกตเวย์: 192.168.3.1
  6. PC6:
    ไอพี: 192.168.3.3
    มาสก์: 255.255.255.0 หรือ /24
    เกตเวย์: 192.168.3.1
  7. PC7:
    ไอพี: 192.168.1.4
    มาสก์: 255.255.255.0 หรือ /24
    เกตเวย์: 192.168.1.1
ตอนนี้เกี่ยวกับการเปลี่ยนแปลงในโทโพโลยี เราเห็นว่ามีการเพิ่มเราเตอร์แล้ว มันจะถ่ายโอนการรับส่งข้อมูลจาก VLAN หนึ่งไปยังอีก VLAN (หรืออีกนัยหนึ่งคือเส้นทาง) ในตอนแรก ไม่มีการเชื่อมต่อระหว่างสวิตช์กับสวิตช์ เนื่องจากอินเทอร์เฟซถูกปิดใช้งาน
ขณะนี้โหนดได้เพิ่มพารามิเตอร์ เช่น ที่อยู่เกตเวย์ พวกเขาใช้ที่อยู่นี้เมื่อต้องการส่งข้อความไปยังโหนดที่อยู่บนเครือข่ายย่อยอื่น ดังนั้นแต่ละซับเน็ตจึงมีเกตเวย์ของตัวเอง

สิ่งที่เหลืออยู่คือการกำหนดค่าเราเตอร์และฉันก็เปิด CLI ของมัน ตามประเพณีฉันจะตั้งชื่อที่มีความหมาย

เราเตอร์(config)#ชื่อโฮสต์ เกตเวย์ เกตเวย์(config)#
ต่อไปเราจะไปที่การตั้งค่าอินเทอร์เฟซ

เกตเวย์(config)#interface fastEthernet 0/0 - ไปที่อินเทอร์เฟซที่ต้องการ เกตเวย์ (config-if)#no ปิดเครื่อง - เปิดใช้งาน %LINK-5-CHANGED: อินเทอร์เฟซ FastEthernet0/0 เปลี่ยนสถานะเป็นสูงสุด %LINEPROTO-5-UPDOWN: โปรโตคอลบรรทัดบนอินเทอร์เฟซ FastEthernet0/0 เปลี่ยนสถานะเป็นสูงสุด
ตอนนี้ให้ความสนใจ! เราเปิดใช้งานอินเทอร์เฟซ แต่ไม่ได้กำหนดที่อยู่ IP ให้กับอินเทอร์เฟซดังกล่าว ความจริงก็คือต้องใช้ลิงก์หรือช่องสัญญาณจากอินเทอร์เฟซทางกายภาพเท่านั้น (fastethernet 0/0) บทบาทของเกตเวย์จะดำเนินการโดยอินเทอร์เฟซเสมือนหรืออินเทอร์เฟซย่อย ปัจจุบัน 3 ประเภทวีแลน- ซึ่งหมายความว่าจะมี 3 อินเทอร์เฟซย่อย มาเริ่มการตั้งค่ากัน

เกตเวย์ (config) #interface fastEthernet 0/0.2 เกตเวย์ (config-if) #encapsulation dot1Q 2 เกตเวย์ (config-if) # ที่อยู่ IP 192.168.1.1 255.255.255.0 เกตเวย์ (config) #interface fastEthernet 0/0.3 เกตเวย์ (config-if )#encapsulation dot1Q 3 เกตเวย์ (config-if)#ที่อยู่ ip 192.168.2.1 255.255.255.0 เกตเวย์ (config)#อินเทอร์เฟซ fastEthernet 0/0.4 เกตเวย์ (config-if)#encapsulation dot1Q 4 เกตเวย์ (config-if)#ที่อยู่ ip 192.168 .3.1 255.255.255.0
เราเตอร์ได้รับการกำหนดค่าแล้ว ไปที่สวิตช์กลางแล้วกำหนดค่าพอร์ตลำตัวเพื่อให้ส่งเฟรมที่แท็กไปยังเราเตอร์

CentrSW (config) #interface fastEthernet 0/24 CentrSW (config-if) # trunk โหมด switchport CentrSW (config-if) #switchport trunk อนุญาต vlan 2,3,4
การกำหนดค่าเสร็จสมบูรณ์แล้ว มาฝึกซ้อมกันต่อ ฉันส่ง ping จาก PC1 ไปยัง PC6 (นั่นคือไปที่ 192.168.3.3)


PC1 ไม่รู้ว่า PC6 หรือ 192.168.3.3 คือใคร แต่รู้ว่าพวกมันอยู่บนเครือข่ายย่อยที่แตกต่างกัน (ตามที่เขาเข้าใจสิ่งนี้อธิบายไว้ในบทความ) ดังนั้นจะส่งข้อความผ่านเกตเวย์เริ่มต้นซึ่งมีการระบุที่อยู่ไว้ในการตั้งค่า และถึงแม้ว่า PC1 จะรู้ที่อยู่ IP ของเกตเวย์หลัก แต่ก็ขาดที่อยู่ MAC ที่จะมีความสุขอย่างสมบูรณ์ และเขาเปิดตัว ARP




โปรดทราบ เมื่อเฟรมมาถึง CentrSW สวิตช์จะไม่แพร่ภาพไปยังใครก็ตาม โดยจะส่งไปยังพอร์ตที่ VLAN ตัวที่ 2 สามารถผ่านได้เท่านั้น นั่นคือบนเราเตอร์และบน SW2 (มีผู้ใช้นั่งอยู่ใน VLAN ที่ 2)


เราเตอร์จดจำตัวเองและส่งการตอบสนอง (แสดงด้วยลูกศร) และให้ความสนใจกับกรอบด้านล่าง เมื่อ SW2 ได้รับ ARP จากสวิตช์ส่วนกลาง มันก็ไม่ได้ส่งไปยังคอมพิวเตอร์ทุกเครื่องในทำนองเดียวกัน แต่ส่งเฉพาะ PC7 ซึ่งอยู่ใน VLAN ที่ 2 แต่ PC7 ปฏิเสธเพราะมันไม่เหมาะกับเขา มาดูกันต่อ



ARP ถึง PC1 ตอนนี้เขารู้ทุกอย่างแล้วและสามารถส่ง ICMP ได้ ฉันอยากจะแจ้งให้ทราบอีกครั้งว่าที่อยู่ MAC ปลายทาง ( เลเยอร์ลิงก์) จะเป็นที่อยู่ของเราเตอร์ และเป็นที่อยู่ IP ปลายทาง (เลเยอร์เครือข่าย) ที่อยู่ของ PC6




ICMP ไปถึงเราเตอร์ เขาดูสเปรดชีตแล้วพบว่าเขาไม่รู้จักใครเลยที่ 192.168.3.3 ทิ้ง ICMP ที่มาถึงและปล่อยให้ ARP ตรวจตรา





PC6 จดจำตัวเองและส่งการตอบกลับ




การตอบสนองไปถึงเราเตอร์และเพิ่มรายการลงในตาราง คุณสามารถดูตาราง ARP ด้วยคำสั่ง แสดงอาร์พี.
เดินหน้าต่อไป PC1 ไม่พอใจที่ไม่มีใครตอบเขาและส่งข้อความ ICMP ต่อไปนี้








คราวนี้ ICMP มาถึงโดยไม่มีปัญหา เขาจะเดินทางกลับตามเส้นทางเดิม ฉันจะแสดงให้คุณเห็นผลลัพธ์สุดท้าย


แพ็กเก็ตแรกหายไป (อันเป็นผลมาจาก ARP) แต่แพ็กเก็ตที่สองมาถึงโดยไม่มีปัญหา
ใครสนใจดูแบบอนิเมชั่นก็สปอยล์ได้นะครับ

การกำหนดเส้นทาง InterVLAN



ดังนั้น. เราประสบความสำเร็จแล้วว่าหากโหนดอยู่ในเครือข่ายย่อยเดียวกันและใน VLAN เดียวกัน โหนดเหล่านั้นก็จะผ่านสวิตช์โดยตรง ในกรณีที่คุณต้องการส่งข้อความไปยังซับเน็ตอื่นและ VLAN ข้อความนั้นจะถูกส่งผ่านเราเตอร์เกตเวย์ซึ่งดำเนินการกำหนดเส้นทาง "inter-vlan" โทโพโลยีนี้ได้รับชื่อแล้ว "เราเตอร์ติด"หรือ "เราเตอร์ติด"- ตามที่เข้าใจสะดวกมาก เราสร้าง 3 อินเทอร์เฟซเสมือนและเฟรมที่ติดแท็กต่าง ๆ ถูกส่งไปตามสายเดียว หากไม่ใช้อินเทอร์เฟซย่อยและ VLAN คุณจะต้องใช้อินเทอร์เฟซทางกายภาพแยกต่างหากสำหรับแต่ละเครือข่ายย่อย ซึ่งไม่ก่อให้เกิดผลกำไรเลย

อย่างไรก็ตาม คำถามนี้ได้รับการกล่าวถึงเป็นอย่างดีในวิดีโอนี้ (วิดีโอมีความยาวประมาณ 3 ชั่วโมง ดังนั้นลิงก์จึงเชื่อมโยงกับช่วงเวลาที่แน่นอน) หากหลังจากอ่านและดูวิดีโอแล้วคุณต้องการทำทุกอย่างให้เสร็จด้วยมือของคุณเอง ฉันก็แนบลิงค์ดาวน์โหลดมาด้วย

เราได้จัดการกับ VLAN และก้าวไปสู่หนึ่งในโปรโตคอลที่ใช้งานได้
DTP (โปรโตคอลทรังก์ไดนามิก)หรือเป็นภาษารัสเซีย โปรโตคอลลำต้นแบบไดนามิก- โปรโตคอลที่เป็นกรรมสิทธิ์จาก Cisco ซึ่งใช้เพื่อใช้โหมด trunk ระหว่างสวิตช์ แม้ว่าจะขึ้นอยู่กับสถานะ แต่ก็สามารถสอดคล้องกันในโหมดการเข้าถึงได้เช่นกัน

DTP มี 4 โหมด: ไดนามิกอัตโนมัติ, ไดนามิกที่ต้องการ, ลำต้น, การเข้าถึง มาดูกันว่าเข้ากันได้อย่างไร

โหมด อัตโนมัติแบบไดนามิก ไดนามิกเป็นที่ต้องการ กระโปรงหลังรถ เข้าถึง
อัตโนมัติแบบไดนามิก เข้าถึง กระโปรงหลังรถ กระโปรงหลังรถ เข้าถึง
ไดนามิกเป็นที่ต้องการ กระโปรงหลังรถ กระโปรงหลังรถ กระโปรงหลังรถ เข้าถึง
กระโปรงหลังรถ กระโปรงหลังรถ กระโปรงหลังรถ กระโปรงหลังรถ ไม่มีการเชื่อมต่อ
เข้าถึง เข้าถึง เข้าถึง ไม่มีการเชื่อมต่อ เข้าถึง

นั่นก็คือ คอลัมน์ด้านซ้ายนี่คืออุปกรณ์เครื่องที่ 1 และบรรทัดบนสุดคืออุปกรณ์ที่ 2 ตามค่าเริ่มต้น สวิตช์จะอยู่ในโหมด "ไดนามิกอัตโนมัติ" หากคุณดูที่ตารางแผนผัง สวิตช์สองตัวในโหมด "ไดนามิกอัตโนมัติ" จะจับคู่กับโหมด "การเข้าถึง" ลองตรวจสอบเรื่องนี้ดู ฉันกำลังสร้างอันใหม่ งานห้องปฏิบัติการและเพิ่มสวิตช์ 2 อัน


ฉันจะยังไม่เชื่อมต่อพวกเขา ฉันต้องแน่ใจว่าสวิตช์ทั้งสองอยู่ในโหมด "ไดนามิกอัตโนมัติ" ฉันจะตรวจสอบกับทีมงาน แสดงอินเทอร์เฟซสวิตช์พอร์ต.


ผลลัพธ์ของคำสั่งนี้มีขนาดใหญ่มาก ดังนั้นฉันจึงตัดมันและเน้นจุดที่น่าสนใจ เริ่มต้นด้วย โหมดการดูแลระบบ- บรรทัดนี้แสดงว่าโหมดใดใน 4 โหมดที่พอร์ตที่กำหนดบนสวิตช์ทำงาน ตรวจสอบให้แน่ใจว่าพอร์ตบนสวิตช์ทั้งสองอยู่ในโหมด "ไดนามิกอัตโนมัติ" และเส้น โหมดการทำงานแสดงให้เห็นว่าพวกเขาตกลงที่จะใช้งานในรูปแบบใด เรายังไม่ได้เชื่อมต่อพวกเขา ดังนั้นพวกเขาจึงอยู่ในสถานะ "ล่ม"

ฉันจะให้คำแนะนำที่ดีแก่คุณทันที เมื่อทดสอบโปรโตคอลใดๆ ให้ใช้ตัวกรอง ปิดการใช้งานการแสดงโปรโตคอลทั้งหมดที่คุณไม่ต้องการ

ฉันเปลี่ยน CPT เป็นโหมดจำลองและกรองโปรโตคอลทั้งหมดยกเว้น DTP



ฉันคิดว่าทุกอย่างชัดเจนที่นี่ ฉันเชื่อมต่อสวิตช์ด้วยสายเคเบิล และเมื่อมีการยกลิงก์ขึ้น สวิตช์ตัวใดตัวหนึ่งจะสร้างข้อความ DTP


ฉันเปิดมันและพบว่ามี DTP ห่อหุ้มอยู่ในเฟรมอีเธอร์เน็ต เขาส่งไปยังที่อยู่มัลติคาสต์ "0100.0ccc.cccc" ซึ่งเป็นของโปรโตคอล DTP, VTP, CDP
และให้ฉันดึงความสนใจของคุณไปที่ 2 ฟิลด์ในส่วนหัว DTP

1) ประเภทดีทีพี- ที่นี่ผู้ส่งแทรกข้อเสนอ นั่นคือเขาต้องการปรับให้เข้ากับโหมดใด? ในกรณีของเรา เขาแนะนำให้ตกลงเรื่อง "การเข้าถึง"
2) ที่อยู่ MAC ของเพื่อนบ้าน- ในช่องนี้เขาเขียนที่อยู่ MAC ของพอร์ตของเขา

เขาส่งไปและรอปฏิกิริยาจากเพื่อนบ้าน


ข้อความไปถึง SW1 และสร้างการตอบกลับ ในกรณีที่ยังเจรจาโหมด "การเข้าถึง" ให้แทรกที่อยู่ MAC ของมันและส่งไปยัง SW2


DTP เข้าถึงได้สำเร็จ ตามทฤษฎีแล้ว ควรมีการตกลงกันในโหมด "การเข้าถึง" ฉันจะตรวจสอบ.


ตามที่คาดไว้ พวกเขาเห็นด้วยกับโหมด "การเข้าถึง"
บางคนบอกว่าเทคโนโลยีนี้สะดวกและใช้งานได้ แต่ฉันขอแนะนำอย่างยิ่งว่าอย่าใช้โปรโตคอลนี้กับเครือข่ายของคุณ ฉันไม่ใช่คนเดียวที่แนะนำสิ่งนี้ และตอนนี้ฉันจะอธิบายว่าทำไม ประเด็นก็คือโปรโตคอลนี้เปิดช่องโหว่ด้านความปลอดภัยขนาดใหญ่ ฉันจะเปิดห้องปฏิบัติการที่มีการวิเคราะห์งาน "เราเตอร์บนแท่ง" และเพิ่มสวิตช์อีกอันที่นั่น


ตอนนี้ฉันจะเข้าไปที่การตั้งค่าของสวิตช์ใหม่และฮาร์ดโค้ดพอร์ตเพื่อทำงานในโหมดลำตัว

New_SW (config) #interface fastEthernet 0/1 New_SW (config-if) # ลำตัวโหมด switchport
ฉันเชื่อมต่อพวกเขาและดูว่าเข้ากันได้อย่างไร


ถูกต้องแล้ว โหมด "ไดนามิกอัตโนมัติ" และ "ลำตัว" ได้รับการประสานกัน กระโปรงหลังรถ- ตอนนี้เรากำลังรอใครสักคนที่จะเริ่มทำงาน สมมติว่า PC1 ตัดสินใจส่งข้อความถึงใครบางคน สร้าง ARP และเผยแพร่บนเครือข่าย


ข้ามเส้นทางของเขาไปจนกว่าเขาจะไปถึง SW2


และนี่คือส่วนที่น่าสนใจ


มันจะส่งไปยังสวิตช์ที่เชื่อมต่อใหม่ ฉันอธิบายสิ่งที่เกิดขึ้น ทันทีที่เราตกลงเรื่องท้ายรถกับเขา เขาก็เริ่มส่งเฟรมที่เข้ามาทั้งหมดไปให้เขา แม้ว่าแผนภาพจะแสดงว่าสวิตช์กำลังละทิ้งเฟรม แต่ก็ไม่ได้มีความหมายอะไรเลย คุณสามารถเชื่อมต่ออุปกรณ์ดักฟัง (ดมกลิ่น) เข้ากับสวิตช์หรือแทนสวิตช์ และดูสิ่งที่เกิดขึ้นบนเครือข่ายอย่างใจเย็น ดูเหมือนว่าเขาจะสกัดกั้น ARP ที่ไม่เป็นอันตรายได้ แต่หากมองลึกลงไป คุณจะเห็นว่าที่อยู่ MAC “0000.0C1C.05DD” และที่อยู่ IP “192.168.1.2” นั้นเป็นที่รู้จักอยู่แล้ว นั่นก็คือ PC1 ยอมสละตัวเองโดยไม่ต้องคิด ตอนนี้ผู้โจมตีรู้เกี่ยวกับคอมพิวเตอร์เครื่องดังกล่าวแล้ว นอกจากนี้เขารู้ว่าเขากำลังนั่งอยู่ใน VLAN ที่ 2 จากนั้นเขาก็สามารถทำอะไรได้มากมาย สิ่งที่พบได้บ่อยที่สุดคือการเปลี่ยนที่อยู่ MAC, ที่อยู่ IP ของคุณ ตกลงอย่างรวดเร็วใน Access และปลอมตัวเป็น PC1 แต่สิ่งที่น่าสนใจที่สุด ท้ายที่สุดคุณอาจไม่เข้าใจสิ่งนี้ในทันที โดยปกติเมื่อเราระบุโหมดการทำงานของพอร์ต พอร์ตนั้นจะแสดงทันทีในการกำหนดค่า ฉันเข้า แสดง running-config.php.


แต่ที่นี่การตั้งค่าพอร์ตว่างเปล่า ฉันเข้า แสดงอินเทอร์เฟซสวิตช์พอร์ตและเลื่อนไปที่ fa0/4


และนี่เราเห็นว่าลำต้นได้รับการตกลงกันไว้แล้ว show running-config ไม่ได้ให้ข้อมูลที่ครอบคลุมเสมอไป ดังนั้นให้จำคำสั่งอื่นๆด้วย

ฉันคิดว่ามันชัดเจนว่าทำไมคุณถึงไม่เชื่อถือโปรโตคอลนี้ ดูเหมือนว่าจะทำให้ชีวิตง่ายขึ้น แต่ในขณะเดียวกันก็สามารถสร้างปัญหาใหญ่ได้ ดังนั้นจงวางใจ วิธีการด้วยตนเอง- เมื่อตั้งค่า ให้ตัดสินใจทันทีว่าพอร์ตใดจะทำงานในโหมดทรังก์และพอร์ตใดในการเข้าถึง และที่สำคัญที่สุดคือปิดการกระทบยอดเสมอ เพื่อว่าสวิตช์จะได้ไม่พยายามตกลงกับใคร ทำได้โดยใช้คำสั่ง "switchport nonegotiate"

มาดูโปรโตคอลถัดไปกันดีกว่า

VTP (โปรโตคอลการเดินสาย VLAN)- โปรโตคอลที่เป็นกรรมสิทธิ์จาก Cisco ที่ใช้ในการแลกเปลี่ยนข้อมูลเกี่ยวกับ VLAN

ลองนึกภาพสถานการณ์ที่คุณมีสวิตช์ 40 ตัวและ VLAN 70 ตัว ตามความคิดที่ดี คุณจะต้องสร้างพอร์ตเหล่านั้นบนสวิตช์แต่ละตัวด้วยตนเอง และระบุพอร์ตหลักที่จะอนุญาตการส่งข้อมูล นี่เป็นกระบวนการที่น่าเบื่อและยาวนาน ดังนั้น VTP จึงสามารถทำหน้าที่นี้ได้ คุณสร้าง VLAN บนสวิตช์ตัวเดียว และสวิตช์อื่นๆ ทั้งหมดจะซิงโครไนซ์กับฐานของมัน ลองดูที่โทโพโลยีต่อไปนี้


มีสวิตช์ 4 ตัวที่นี่ หนึ่งในนั้นคือเซิร์ฟเวอร์ VTP และอีก 3 อันเป็นไคลเอนต์ VLAN เหล่านั้นที่จะถูกสร้างขึ้นบนเซิร์ฟเวอร์จะถูกซิงโครไนซ์กับไคลเอนต์โดยอัตโนมัติ ฉันจะอธิบายวิธีการทำงานของ VTP และสิ่งที่สามารถทำได้

ดังนั้น. VTP สามารถสร้าง แก้ไข และลบ VLAN ได้ การกระทำดังกล่าวแต่ละครั้งจะทำให้จำนวนการแก้ไขเพิ่มขึ้น (แต่ละการกระทำจะเพิ่มจำนวนขึ้น +1) หลังจากนั้นเขาก็ส่งโฆษณาที่มีหมายเลขการแก้ไขออกไป ลูกค้าที่ได้รับประกาศนี้จะเปรียบเทียบหมายเลขการแก้ไขกับหมายเลขที่ได้รับ และหากตัวเลขที่ได้มาสูงกว่าก็จะซิงโครไนซ์ฐานข้อมูลกับมัน มิฉะนั้นโฆษณาจะถูกละเว้น

แต่นั่นไม่ใช่ทั้งหมด VTP มีบทบาท ตามค่าเริ่มต้น สวิตช์ทั้งหมดจะทำงานเป็นเซิร์ฟเวอร์ ฉันจะบอกคุณเกี่ยวกับพวกเขา

  1. เซิร์ฟเวอร์วีทีพี- เขาสามารถทำทุกอย่างได้ นั่นคือสร้าง เปลี่ยนแปลง ลบ VLAN หากได้รับโฆษณาซึ่งมีการแก้ไขที่เก่ากว่านั้น จะมีการซิงโครไนซ์ ส่งสัญญาณประกาศและถ่ายทอดจากเพื่อนบ้านอย่างต่อเนื่อง
  2. ไคลเอนต์ VTP- บทบาทนี้ถูกจำกัดอยู่แล้ว คุณไม่สามารถสร้าง เปลี่ยนแปลง หรือลบ VLAN ได้ VLAN ทั้งหมดรับและซิงโครไนซ์จากเซิร์ฟเวอร์ แจ้งให้เพื่อนบ้านทราบเป็นระยะเกี่ยวกับฐาน VLAN
  3. VTP โปร่งใส- นี่เป็นบทบาทอิสระ สามารถสร้าง เปลี่ยนแปลง และลบ VLAN ได้ในฐานข้อมูลเท่านั้น เขาไม่บังคับอะไรกับใครและไม่ยอมรับอะไรจากใครเลย หากได้รับโฆษณาบางประเภท ก็จะส่งต่อ แต่จะไม่ซิงโครไนซ์กับฐานข้อมูล หากในบทบาทก่อนหน้านี้ หมายเลขการแก้ไขเพิ่มขึ้นตามการเปลี่ยนแปลงแต่ละครั้ง ในโหมดนี้ หมายเลขการแก้ไขจะเป็น 0 เสมอ
นั่นคือทั้งหมดสำหรับ VTP เวอร์ชัน 2 VTP เวอร์ชัน 3 เพิ่มอีกหนึ่งบทบาท - ปิด VTP- มันไม่ได้ส่งโฆษณาใด ๆ มิฉะนั้นการทำงานจะคล้ายกับโหมด โปร่งใส.

เราอ่านทฤษฎีมามากพอแล้ว เรามาฝึกฝนกันต่อ ลองตรวจสอบว่าสวิตช์กลางอยู่หรือไม่ โหมดเซิร์ฟเวอร์- ป้อนคำสั่ง แสดงสถานะ vtp.


เราจะเห็นว่าโหมดการทำงาน VTP: เซิร์ฟเวอร์ คุณจะสังเกตได้ว่าเวอร์ชัน VTP คือเวอร์ชันที่ 2 ขออภัย ไม่รองรับ CPT เวอร์ชัน 3 เวอร์ชันแก้ไขเป็นศูนย์
ตอนนี้เรามากำหนดค่าสวิตช์ด้านล่างกัน

SW1(config)#vtp mode client การตั้งค่าอุปกรณ์เป็นโหมด VTP CLIENT
เราเห็นข้อความว่าอุปกรณ์เข้าสู่โหมดไคลเอนต์แล้ว ส่วนที่เหลือได้รับการกำหนดค่าในลักษณะเดียวกันทุกประการ

เพื่อให้อุปกรณ์สามารถแลกเปลี่ยนโฆษณาได้จะต้องอยู่ในโดเมนเดียวกัน และมีลักษณะเฉพาะที่นี่ หากอุปกรณ์ (ในโหมดเซิร์ฟเวอร์หรือไคลเอนต์) ไม่ได้เป็นสมาชิกของโดเมนใดๆ เมื่อได้รับโฆษณาครั้งแรก อุปกรณ์นั้นจะไปที่โดเมนที่โฆษณา หากลูกค้าเป็นสมาชิกของโดเมนใดโดเมนหนึ่ง ลูกค้าจะไม่ยอมรับโฆษณาจากโดเมนอื่น มาเปิด SW1 และตรวจสอบให้แน่ใจว่าไม่ได้เป็นสมาชิกของโดเมนใดๆ


ตรวจสอบให้แน่ใจว่ามันว่างเปล่า

ตอนนี้เราไปที่สวิตช์กลางแล้วโอนไปยังโดเมน

CentrSW (config) #vtp โดเมน cisadmin.ru การเปลี่ยนชื่อโดเมน VTP จาก NULL เป็น cisadmin.ru
เราเห็นข้อความว่าเขาถูกโอนไปยังโดเมน cisadmin.ru
มาเช็คสถานะกัน


และแน่นอน ชื่อโดเมนมีการเปลี่ยนแปลง โปรดทราบว่าขณะนี้หมายเลขการแก้ไขเป็นศูนย์ มันจะเปลี่ยนแปลงทันทีที่เราสร้าง VLAN ขึ้นมา แต่ก่อนที่จะสร้างมันขึ้นมา คุณจะต้องทำให้เครื่องจำลองเข้าสู่โหมดจำลองเพื่อดูว่ามันสร้างโฆษณาได้อย่างไร เราสร้าง VLAN ครั้งที่ 20 และดูภาพต่อไปนี้


เมื่อสร้าง VLAN และเพิ่มหมายเลขการแก้ไข เซิร์ฟเวอร์จะสร้างโฆษณา เขามีสองคน ก่อนอื่นให้เปิดอันทางซ้ายก่อน โฆษณานี้เรียกว่า "โฆษณาสรุป" หรือในภาษารัสเซีย "โฆษณาสรุป" การประกาศนี้สร้างขึ้นโดยสวิตช์ทุกๆ 5 นาที โดยจะพูดถึงชื่อโดเมนและการแก้ไขปัจจุบัน มาดูกันว่ามีลักษณะอย่างไร


ในเฟรมอีเทอร์เน็ต ให้ใส่ใจกับที่อยู่ MAC ปลายทาง มันเหมือนกับข้างต้นเมื่อสร้าง DTP นั่นคือในกรณีของเรา เฉพาะผู้ที่ใช้ VTP เท่านั้นที่จะตอบสนอง ตอนนี้เรามาดูที่สนามถัดไป


นี่คือข้อมูลทั้งหมด ฉันจะผ่านสาขาที่สำคัญที่สุด
  • การจัดการ ชื่อโดเมน- ชื่อของโดเมน (ในกรณีนี้คือ cisadmin.ru)
  • Updater Identity - ตัวระบุผู้ที่อัปเดต โดยปกติแล้วที่อยู่ IP จะเขียนไว้ที่นี่ แต่เนื่องจากไม่ได้กำหนดที่อยู่ให้กับสวิตช์ ฟิลด์จึงว่างเปล่า
  • อัปเดตการประทับเวลา - อัปเดตเวลา เวลาบนสวิตช์ไม่มีการเปลี่ยนแปลง ดังนั้นจึงตั้งเป็นเวลาจากโรงงาน
  • MD5 Digest - แฮช MD5 ใช้สำหรับตรวจสอบข้อมูลประจำตัว นั่นคือถ้า VTP มีรหัสผ่าน เราไม่ได้เปลี่ยนรหัสผ่าน ดังนั้นแฮชจึงเป็นค่าเริ่มต้น
ตอนนี้เรามาดูข้อความถัดไปที่สร้างขึ้น (ข้อความทางขวา) เรียกว่า "โฆษณาย่อย" หรือ " ประกาศโดยละเอียด- นี่เป็นข้อมูลโดยละเอียดเกี่ยวกับ VLAN ที่ส่งแต่ละรายการ
ฉันคิดว่านี่ชัดเจน แยกส่วนหัวสำหรับ VLAN แต่ละประเภท รายการมันยาวจนไม่พอดีกับหน้าจอ แต่ก็เหมือนกันทุกประการยกเว้นชื่อ ฉันจะไม่กังวลกับความหมายของแต่ละรหัส และใน CPT พวกเขาเป็นแบบแผนมากกว่า
มาดูกันว่าเกิดอะไรขึ้นต่อไป


ลูกค้าได้รับโฆษณา พวกเขาเห็นว่าหมายเลขการแก้ไขสูงกว่าของพวกเขาและซิงโครไนซ์ฐานข้อมูล และส่งข้อความไปยังเซิร์ฟเวอร์ว่าฐาน VLAN มีการเปลี่ยนแปลง


โปรโตคอล VTP ทำงานอย่างไร



นี่คือวิธีการทำงานของโปรโตคอล VTP โดยพื้นฐาน แต่ก็มีข้อเสียใหญ่มาก และนี่คือข้อเสียในแง่ของความปลอดภัย ผมจะอธิบายโดยใช้ห้องปฏิบัติการเดียวกันเป็นตัวอย่าง เรามีสวิตช์ส่วนกลางที่ใช้สร้าง VLAN จากนั้นมัลติคาสต์จะซิงโครไนซ์สวิตช์ทั้งหมดกับสวิตช์ทั้งหมด ในกรณีของเรา เขาพูดถึง VLAN 20 ฉันขอแนะนำให้ดูการกำหนดค่าของมันอีกครั้ง

โปรดทราบ ข้อความ VTP ไปถึงเซิร์ฟเวอร์ โดยที่หมายเลขการแก้ไขสูงกว่าของตัวเอง เขาเข้าใจว่าเครือข่ายมีการเปลี่ยนแปลง และเขาจำเป็นต้องปรับตัวให้เข้ากับเครือข่ายนั้น มาตรวจสอบการกำหนดค่ากัน


การกำหนดค่า เซิร์ฟเวอร์กลางเปลี่ยนไปแล้วและตอนนี้เขาจะถ่ายทอดตรงนั้นแล้ว
ทีนี้ลองจินตนาการว่าเราไม่มี VLAN เดียว แต่มีหลายร้อย แบบนี้ ด้วยวิธีง่ายๆคุณสามารถใส่เครือข่ายได้ แน่นอนว่าโดเมนอาจมีการป้องกันด้วยรหัสผ่าน และผู้โจมตีจะก่อให้เกิดอันตรายได้ยากขึ้น ลองนึกภาพสถานการณ์ที่สวิตช์ของคุณเสียและคุณจำเป็นต้องเปลี่ยนสวิตช์อย่างเร่งด่วน คุณหรือเพื่อนร่วมงานวิ่งไปที่โกดังเพื่อซื้อสวิตช์เก่าแล้วลืมตรวจสอบหมายเลขแก้ไข ปรากฏว่าสูงกว่าคนอื่นๆ คุณคงได้เห็นแล้วว่าอะไรจะเกิดขึ้นต่อไป ดังนั้นฉันไม่แนะนำให้ใช้โปรโตคอลนี้ โดยเฉพาะในตัวใหญ่ เครือข่ายองค์กร- หากคุณใช้ VTP เวอร์ชัน 3 อย่าลังเลที่จะเปลี่ยนสวิตช์ไปที่โหมด "ปิด" หากคุณใช้เวอร์ชัน 2 ให้สลับไปที่โหมด "โปร่งใส"
  • ดีทีพี
  • กระโปรงหลังรถ
  • เข้าถึง
    • เพิ่มแท็ก

    บทความที่เกี่ยวข้อง