Naka-on sa ngayon marami modernong organisasyon at ang mga negosyo ay halos hindi gumagamit ng isang napaka-kapaki-pakinabang, at kadalasang kinakailangan, pagkakataon tulad ng pag-aayos ng isang virtual (VLAN) sa loob ng balangkas ng isang mahalagang imprastraktura, na ibinibigay ng karamihan modernong switch. Ito ay dahil sa maraming mga kadahilanan, kaya sulit na isaalang-alang ang teknolohiyang ito mula sa pananaw ng posibilidad ng paggamit nito para sa mga naturang layunin.
Pangkalahatang paglalarawan
Una, sulit na magpasya kung ano ang mga VLAN. Nangangahulugan ito ng isang pangkat ng mga computer na konektado sa isang network, na lohikal na pinagsama sa isang domain para sa pagpapadala ng mga mensahe sa broadcast ayon sa isang tiyak na pamantayan. Halimbawa, ang mga grupo ay maaaring makilala depende sa istraktura ng negosyo o sa pamamagitan ng uri ng trabaho sa isang proyekto o gawain nang magkasama. Nagbibigay ang mga VLAN ng maraming benepisyo. Upang magsimula sa pinag-uusapan natin o marami pa epektibong paggamit bandwidth(kumpara sa mga tradisyunal na lokal na network), isang mas mataas na antas ng proteksyon ng impormasyon na ipinadala, pati na rin ang isang pinasimple na pamamaraan ng pangangasiwa.
Dahil kapag gumagamit ng VLAN, ang buong network ay nahahati sa mga broadcast domain, ang impormasyon sa loob ng naturang istraktura ay ipinapadala lamang sa pagitan ng mga miyembro nito, at hindi sa lahat ng mga computer sa pisikal na network. Lumalabas na ang trapiko ng broadcast na nabuo ng mga server ay limitado sa isang paunang natukoy na domain, iyon ay, hindi ito nai-broadcast sa lahat ng mga istasyon sa network na ito. Ganito tayo nakakamit pinakamainam na pamamahagi bandwidth ng network sa pagitan ng mga nakalaang grupo ng mga computer: ang mga server at workstation mula sa iba't ibang VLAN ay hindi nagkikita.
Paano magpapatuloy ang lahat ng mga proseso?
Sa naturang network, ang impormasyon ay lubos na protektado mula sa katotohanan na ang pagpapalitan ng data ay isinasagawa sa loob ng isang partikular na grupo ng mga computer, iyon ay, hindi sila makakatanggap ng trapiko na nabuo sa ilang iba pang katulad na istraktura.
Kung pinag-uusapan natin kung ano ang mga VLAN, nararapat na tandaan ang isang kalamangan ng pamamaraang ito ng organisasyon na ang pinasimple na networking ay nakakaapekto sa mga gawain tulad ng pagdaragdag ng mga bagong elemento sa network, paglipat ng mga ito, at pagtanggal sa kanila. Halimbawa, kung ang isang gumagamit ng VLAN ay lumipat sa ibang lokasyon, ang administrator ng network ay hindi na kailangang muling ikonekta ang mga cable. Dapat siya na lang ang mag-adjust kagamitan sa network mula sa iyong lugar ng trabaho. Sa ilang mga pagpapatupad ng naturang mga network, ang paggalaw ng mga miyembro ng grupo ay maaaring awtomatikong kontrolin, nang hindi nangangailangan ng interbensyon ng administrator. Kailangan lang niyang malaman kung paano i-configure ang VLAN upang maisagawa ang lahat ng kinakailangang operasyon. Maaari siyang lumikha ng mga bagong lohikal na grupo ng gumagamit nang hindi umaalis sa kanyang upuan. Malaki ang natitipid nito oras ng trabaho, na maaaring maging kapaki-pakinabang para sa paglutas ng mga problema na hindi gaanong mahalaga.
Mga pamamaraan ng organisasyon ng VLAN
May tatlo iba't ibang mga pagpipilian: Batay sa mga port, layer 3 protocol o MAC address. Ang bawat pamamaraan ay tumutugma sa isa sa tatlo mas mababang antas Mga modelo ng OSI: pisikal, network at channel, ayon sa pagkakabanggit. Kung pinag-uusapan natin kung ano ang mga VLAN, nararapat na tandaan ang pagkakaroon ng ikaapat na paraan ng organisasyon - batay sa mga patakaran. Ito ay bihirang ginagamit ngayon, bagama't nagbibigay ito ng higit na kakayahang umangkop. Maaari mong isaalang-alang ang bawat isa sa mga nakalistang pamamaraan nang mas detalyado upang maunawaan kung anong mga tampok ang mayroon sila.
Port-based na VLAN
Ito ay nagsasangkot ng isang lohikal na kumbinasyon ng ilang mga pisikal na switch port na pinili para sa komunikasyon. Halimbawa, matutukoy nito na ang ilang mga port, halimbawa, 1, 2, at 5 ay bumubuo ng VLAN1, at ang mga numero 3, 4 at 6 ay ginagamit para sa VLAN2, at iba pa. Ang isang switch port ay madaling magamit upang ikonekta ang ilang mga computer, kung saan ginagamit nila, halimbawa, isang hub. Lahat sila ay tutukuyin bilang mga miyembro ng parehong virtual network, kung saan nakarehistro ang paghahatid ng port ng switch. Ang gayong mahigpit na pagbubuklod ng pagiging miyembro ng virtual network ay ang pangunahing kawalan ng gayong pamamaraan ng organisasyon.
VLAN batay sa mga MAC address
Ang pamamaraang ito ay batay sa paggamit ng mga natatanging hexadecimal link-level na mga address na magagamit sa bawat server o workstation mga network. Kung pinag-uusapan natin kung ano ang mga VLAN, nararapat na tandaan na ang pamamaraang ito ay itinuturing na mas nababaluktot kumpara sa nauna, dahil posible na ikonekta ang mga computer na kabilang sa iba't ibang mga virtual network sa isang switch port. Bilang karagdagan, awtomatiko nitong sinusubaybayan ang paggalaw ng mga computer mula sa isang port patungo sa isa pa, na nagpapahintulot sa iyo na mapanatili ang kaugnayan ng kliyente sa isang partikular na network nang walang interbensyon ng administrator.
Ang prinsipyo ng operasyon dito ay napaka-simple: ang switch ay nagpapanatili ng isang talahanayan ng mga sulat sa pagitan ng mga MAC address ng mga workstation at virtual network. Sa sandaling lumipat ang computer sa ibang port, ang patlang ng MAC address ay inihambing sa data sa talahanayan, pagkatapos kung saan ang tamang konklusyon ay ginawa tungkol sa kung ang computer ay kabilang sa isang partikular na network. Ang kawalan ng pamamaraang ito ay ang pagiging kumplikado ng pagsasaayos ng VLAN, na maaaring magdulot ng mga error sa simula. Bagama't ang switch ay hiwalay na gumagawa ng mga talahanayan ng address, dapat suriin ng administrator ng network ang buong talahanayan upang matukoy kung aling mga address ang alin. mga virtual na grupo tumutugma, pagkatapos ay itinalaga niya ito sa kaukulang mga VLAN. At ito ay kung saan may puwang para sa mga pagkakamali, na kung minsan ay nangyayari Cisco VLAN, ang setup nito ay medyo simple, ngunit ang kasunod na muling pamamahagi ay magiging mas mahirap kaysa sa kaso ng paggamit ng mga port.
VLAN batay sa layer 3 protocol
Ang pamamaraang ito ay medyo bihirang ginagamit sa mga switch sa antas ng workgroup o departamento. Ito ay tipikal para sa mga backbone network na nilagyan ng built-in na mga tool sa pagruruta para sa mga pangunahing lokal na protocol ng network - IP, IPX at AppleTalk. Ipinapalagay ng pamamaraang ito na ang isang pangkat ng mga switch port na kabilang sa isang partikular na VLAN ay mauugnay sa ilang IP o IPX subnet. SA sa kasong ito Ang flexibility ay ibinibigay ng katotohanan na ang paglipat ng isang user sa isa pang port na kabilang sa parehong virtual network ay sinusubaybayan ng switch at hindi nangangailangan ng reconfiguration. Ang pagruruta ng VLAN sa kasong ito ay medyo simple, dahil sinusuri ng switch sa kasong ito ang mga address ng network ng mga computer na tinukoy para sa bawat isa sa mga network. Sinusuportahan din ng pamamaraang ito ang pakikipag-ugnayan sa pagitan ng iba't ibang VLAN nang hindi gumagamit karagdagang pondo. Mayroong isang sagabal sa pamamaraang ito - mataas na gastos switch kung saan ito ipinatupad. Sinusuportahan ng mga Rostelecom VLAN ang operasyon sa antas na ito.
Mga konklusyon
Tulad ng naiintindihan mo na, mga virtual network medyo kumakatawan makapangyarihang kasangkapan may kakayahang lutasin ang mga problema na may kaugnayan sa seguridad ng paghahatid ng data, pangangasiwa, kontrol sa pag-access at pagtaas ng kahusayan ng paggamit
VLAN (Virtual Local Area Network, virtual na lokal network ng kompyuter) ay isang function sa mga router at switch na nagbibigay-daan sa iyong lumikha ng ilang virtual na lokal na network sa isang pisikal na interface ng network (Ethernet, Wi-Fi interface).
Ang isang VLAN ay bahagi ng isang mas malaking LAN. Ang pinakasimpleng mekanismo para sa paghihiwalay ng iba't ibang mga subnet sa Ano ang Ethernet, mga interface ng WI-FI. Upang maisaayos ang isang VLAN, dapat na suportahan ng switch ng network (Paano pumili ng switch ng network (switch, switch)) ang teknolohiya ng VLAN at ang 802.1q protocol.
Mga Benepisyo ng VLAN:
pinapataas ang bilang ng mga domain ng broadcast, ngunit binabawasan ang laki ng bawat domain ng broadcast, na nagpapababa naman ng trapiko sa network at nagpapataas ng seguridad sa network (ang parehong mga epekto ay pinagsama dahil sa isang malaking domain ng broadcast);
binabawasan ang mga pagsisikap ng mga administrator na lumikha ng mga subnet;
binabawasan ang dami ng kagamitan, dahil ang mga network ay maaaring paghiwalayin nang lohikal sa halip na pisikal;
nagpapabuti sa pamamahala ng iba't ibang uri ng trapiko.
Mga tuntunin ng VLAN
Ano ang Native VLAN - ito ay isang konsepto sa 802.1Q standard, na nagsasaad ng isang VLAN sa isang switch, kung saan ang lahat ng mga frame ay pumunta nang walang tag, i.e. ang trapiko ay ipinadala nang hindi naka-tag. Bilang default, ito ay VLAN 1. Sa ilang mga modelo ng switch, halimbawa, Cisco, maaari itong baguhin sa pamamagitan ng pagtukoy ng isa pang VLAN bilang native.
Termino hindi naka-tag: isang VLAN lang ang makakatanggap ng lahat ng packet na hindi nakatalaga sa anumang VLAN (sa terminolohiya ng 3Com, Planet, Zyxel - hindi naka-tag, sa terminolohiya ng Cisco - katutubong VLAN). Ang switch ay magdaragdag ng mga tag ng VLAN na ito sa lahat ng natanggap na mga frame na walang anumang mga tag.
Baul Ang VLAN ay isang pisikal na channel kung saan ipinapadala ang ilang channel ng VLAN, na naiiba sa mga tag (mga label na idinagdag sa mga packet). Karaniwang ginagawa ang mga trunk sa pagitan ng "mga naka-tag na port" ng mga VLAN device: switch-switch o switch-router. (Sa mga dokumento ng Cisco, ang terminong "trunk" ay tumutukoy din sa kumbinasyon ng ilang pisikal na channel sa isang lohikal na isa: Link Aggregation, Port Trunking). Ang router (third-layer switch) ay gumaganap bilang backbone ng network para sa trapiko sa network iba't ibang VLAN.
Sa madaling salita, ang vlan ay isang lohikal na channel sa loob pisikal na channel(cable), at ang trunk ay isang hanay ng mga lohikal na channel (vlans) sa loob ng isang pisikal na channel (cable).
Ang mga VLAN ay maaaring makilala sa pamamagitan ng:
Porto (pinaka madalas na ginagamit). Binibigyang-daan ka ng mga VLAN batay sa numero ng port na tukuyin ang isang partikular na port sa isang VLAN. Ang mga port ay maaaring tukuyin nang isa-isa, sa mga grupo, sa buong mga hilera, at kahit sa iba't ibang mga switch sa pamamagitan ng isang trunk protocol. Ito ang pinakasimpleng at pinakakaraniwang ginagamit na paraan para sa pagtukoy ng mga VLAN. Ito ang pinakakaraniwang paggamit ng pagpapatupad ng VLAN na nakabatay sa port kapag ginagamit ng mga workstation ang protocol Mga Dynamic na Setting TCP/IP (DHCP). Nasa ibaba ang isang larawan ng VLAN batay sa mga port:
MAC address - address (napakabihirang). Nakabatay sa VLAN MAC address ah ay nagbibigay-daan sa mga user na nasa parehong VLAN kahit na lumipat ang user mula sa isang lokasyon patungo sa isa pa. Ang pamamaraang ito ay nangangailangan ng administrator na matukoy ang MAC address ng bawat workstation at pagkatapos ay ilagay ang impormasyong ito sa switch. Ang pamamaraang ito ay maaaring maging napakahirap i-troubleshoot kung binago ng user ang MAC address. Ang anumang mga pagbabago sa pagsasaayos ay dapat na aprubahan ng administrator ng network, na maaaring magdulot ng mga pagkaantala sa pangangasiwa.
User ID (napakabihirang)
VLAN Linux at D-Link DGS-1100-08P
Pagse-set up ng DGS-1100-08P. Kumonekta tayo dito sa unang port. Italaga natin ito ng IP 10.90.91.2. Gumawa tayo ng 3 VLAN: vlan1 (port 1 (tag)) para sa paggamit ng serbisyo, iyon ay, para lamang sa pag-configure ng switch, vlan22 (port 1 (tag); port 2,3,4 (untagged)), vlan35 (port 1 ( na-tag); mga port 5,6 (walang tag)). Ang mga port 7 at 8 ay hindi ginagamit at hindi pinagana sa pamamagitan ng menu ng Mga Setting ng Port (Bilis: Hindi Pinagana). 
Itinuturo namin na sa hinaharap ang D-Link DGS-1100-08P (IP 10.90.91.2) ay maaari lamang pamahalaan sa pamamagitan ng vlan1, iyon ay, sa aming kaso, ang system administrator ay dapat kumonekta sa unang port ng DGS-1100 -08P (Kapag kumokonekta sa ibang port - hindi papayagan ng switch ang access sa 10.90.91.2).
Tinitingnan namin ang mga parameter ng mga nilikhang vlan sa mga file na ls -l / proc/ net/ vlan/ total 0 -rw------- 1 root root 0 Aug 17 15:06 config -rw----- -- 1 ugat na ugat 0 Ago 17 15:06 vlan1 -rw------- 1 ugat na ugat 0 Ago 17 15:06 vlan22
Paglikha ng vlan sa pamamagitan ng vconfig at awtomatikong pag-download Hindi ito gumana sa pamamagitan ng /etc/network/interfaces, kaya gumawa kami ng startup file at idagdag ito sa server startup.
Gumawa ng VLAN na pinangalanang vlan22 na nakatali sa isang port network card eth4. Italaga natin ito IP:192.168.122.254. ip link magdagdag ng link eth4 name vlan22 type vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up
Serbisyo vlan para lang sa pag-configure ng switch:
ip link magdagdag ng link eth4 name vlan44 type vlan id 1 ip addr add 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 pataas ip link magdagdag ng link eth4 name vlan35 type vlan id 35 ip addr add 192.168.35.244 devlan3 4.vlan_create.sh #!/bin/sh -e ip link magdagdag ng link eth4 name vlan22 type vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up VLAN (Virtual Lokal na Lugar
Network) ay nagbibigay-daan sa iyo na lumikha ng ilang virtual na lokal na network sa mga switch o router sa isang pisikal na interface ng network. Isang simple at maginhawang paraan upang hatiin ang trapiko sa pagitan ng mga kliyente o base station gamit ang VLAN.
Ang teknolohiya ng VLAN ay nagdaragdag ng karagdagang tag header sa network frame (2nd layer), na naglalaman ng impormasyon ng serbisyo at VLAN ID. Ang mga halaga ng VLAN ID ay maaaring mula sa 1 - 4095. Sa kasong ito, ang 1 ay nakalaan bilang default na VLAN.
Kapag nagtatrabaho sa mga VLAN, mahalagang maunawaan ang naka-tag at hindi naka-tag na trapiko. Ang naka-tag na trapiko (na may vlan ID) ay pangunahing napupunta sa pagitan ng mga switch at server. Ang mga ordinaryong computer (lalo na ang mga nagpapatakbo ng Windows OS) ay hindi nakakaintindi ng naka-tag na trapiko. Samakatuwid, sa mga port na iyon na direktang tumitingin sa mga workstation o sa isang network na may hindi pinamamahalaang switch, ibinibigay ang hindi naka-tag na trapiko. Yung. ang tag ay pinutol mula sa frame ng network. Nangyayari rin ito kung ang port ay na-configure na may VLAN ID = 1.
Mayroon ding konsepto na tinatawag na trunk. Ang trunk ay isang switch port na nagdadala ng trapiko na may iba't ibang mga tag. Karaniwang naka-configure ang isang trunk sa pagitan ng mga switch upang payagan ang access sa isang VLAN mula sa iba't ibang switch.
Paggamit ng VLAN sa Mikrotik equipment
Sinusuportahan ng mga router at switch ng Mikrotik ang hanggang 250 VLAN sa isang interface ng Ethernet. Maaari kang lumikha ng isang VLAN hindi lamang sa interface ng Ethernet, kundi pati na rin sa Bridge, at maging sa EoIP tunnel. Ang isang VLAN ay maaaring itayo sa isa pang interface ng VLAN gamit ang teknolohiyang "Q-in-Q". Maaari kang gumawa ng 10 o higit pang mga nested VLAN, ang laki lang ng MTU ay nababawasan ng 4 na byte sa bawat pagkakataon.
- Tingnan natin ang paggamit ng mga VLAN gamit ang isang halimbawa. Gawain:
- Lumikha ng VLAN para sa HOTSPOT (172.20.22.0/24)
- Gumawa ng VLAN para sa VIOP telephony (172.21.22.0/24)
- Ihiwalay ang mga network 172.20.22.0/24, 172.21.22.0/24 sa isa't isa at mula sa access sa 10.5.5.0/24 network
- Italaga ang Ether3, Ether4 na magtrabaho sa network 172.21.22.0/24 (VLAN)
Paunang data:
- Internet sa Ether1, itinalaga sa interface ng Brigde - Ethernet
- Lokal na network (10.5.5.0/24), itinalaga sa interface ng Brigde - LAN
Paglikha ng mga interface ng VLAN
Lumikha ng VLAN2 (ID=2), VLAN3 (ID=3) at italaga sila sa Interface ng tulay LAN Ang LAN interface ay magsisilbing Trunk connection.
/interface vlan magdagdag ng pangalan=VLAN2 vlan-id=2 interface=LAN /interface vlan magdagdag ng pangalan=VLAN3 vlan-id=3 interface=LAN
Paglikha ng mga interface ng Bridge
Lumilikha kami ng mga interface ng BridgeVLAN2, BridgeVLAN3 para sa VLAN:
/interface bridge add name=BridgeVLAN2 /interface bridge add name=BridgeVLAN3
Koneksyon ng mga interface ng VLAN sa mga koneksyon sa Bridge
Iniuugnay namin ang mga interface ng VLAN (VLAN2, VLAN3) sa mga koneksyon ng Bridge (BridgeVLAN2, BridgeVLAN3):
/interface bridge port magdagdag ng interface=VLAN2 bridge=BridgeVLAN2 /interface bridge port magdagdag ng interface=VLAN3 bridge=BridgeVLAN3
Paglikha ng IP Addressing
Itinalaga namin ang bawat interface ng BridgeVLAN2/BridgeVLAN3 ng IP address - 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3):
/ip address add address=172.20.22.1/24 interface=BridgeVLAN2 /ip address add address=172.21.22.1/24 interface=BridgeVLAN3
Paglikha ng isang address pool
Itinakda namin ang hanay ng mga ibinigay na IP address para sa mga network (172.20.22.0/24, 172.21.22.0/24):
/ip pool add name=poolVLAN2 ranges=172.20.22.2-172.20.22.254 /ip pool add name=poolVLAN3 ranges=172.21.22.2-172.21.22.254
Mga setting DHCP server A
Upang matanggap ang mga device mga setting ng network, awtomatiko, i-configure ang isang DHCP server para sa mga lokal na network (172.20.22.0/24, 172.21.22.0/24):
/ip dhcp-server add name=dhcpVLAN2 interface=BridgeVLAN2 address-pool=poolVLAN2 disabled=no /ip dhcp-server add name=dhcpVLAN3 interface=BridgeVLAN3 address-pool=poolVLAN3 disabled=no /ip dhcp-server network add address=172.20 .22.0/24 gateway=172.20.22.1 /ip dhcp-server network add address=172.21.22.0/24 gateway=172.21.22.1
Pag-set up ng Firewall. Internet access para sa mga VLAN network
Na-configure ko ang seguridad ayon dito. Samakatuwid, para magkaroon ng access sa Internet ang mga device mula sa mga lokal na network (172.20.22.0/24, 172.21.22.0/24), nagdaragdag kami ng panuntunan para sa kanila:
/ip firewall filter magdagdag ng chain=forward action=accept src-address=172.20.22.0/24 comment="Access Internet From LAN" /ip firewall filter add chain=forward action=accept src-address=172.21.22.0/24 comment= "I-access ang Internet Mula sa LAN"
Paghihiwalay ng mga network ng VLAN
Kinakailangan na ang mga network na VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24) ay ihiwalay sa isa't isa at mula sa pag-access sa pangunahing lokal na network 10.5.5.0/24. Lumilikha kami ng mga listahan ng mga lokal na network (LOCAL):
/ip firewall address-list add list=LOCAL address=10.5.5.0/24 /ip firewall address-list add list=LOCAL address=172.20.22.0/24 /ip firewall address-list add list=LOCAL address=172.21.22.0/ 24
Gumagawa kami ng mga panuntunan para sa pagharang ng access sa mga lokal na network (LOCAL) mula sa mga network 172.20.22.0/24, 172.21.22.0/24. Dapat nating ilagay ang mga ipinagbabawal na panuntunan kaysa sa pagpapahintulot:
/ip firewall filter magdagdag ng chain=forward action=drop src-address=172.20.22.0/24 dst-address-list=LOCAL /ip firewall filter magdagdag ng chain=forward action=drop src-address=172.21.22.0/24 dst-address -list=LOCAL
Pamamahagi ng VLAN sa mga port ng router ng Mikrotik
Nagtatalaga kami ng mga port ng router upang gumana sa isa o ibang VLAN. Port ether2 - BridgeVLAN2, mga port ether3, ether4 - BridgeVLAN3:
/interface bridge port magdagdag ng interface=ether2 bridge=BridgeVLAN2 /interface bridge port magdagdag ng interface=ether3 bridge=BridgeVLAN3 /interface bridge port magdagdag ng interface=ether4 bridge=BridgeVLAN3
Impormasyon: Hindi kinakailangang magtalaga ng koneksyon sa Bridge sa bawat port upang mapabilang sa isang partikular na VLAN. Ito ay sapat na upang itakda ang isang koneksyon sa Bridge sa isang port lamang, at pagkatapos ay gamitin ang Master port upang ipahiwatig ang pagiging miyembro ng VLAN ng iba pang mga port.
Kinukumpleto nito ang pagdaragdag at pag-configure ng VLAN. Bilang resulta, nakakuha kami ng dalawang nakahiwalay na network na may access sa Internet. Inilagay namin ang mga nilikhang VLAN network sa isang Trunk connection, na magbibigay-daan, kung kinakailangan, na i-segment ang mga VLAN network sa isa pang router, madali itong magagawa. Nagtalaga kami ng mga kinakailangang port ng router upang gumana sa kaukulang mga network ng VLAN.
Ang artikulo ay nagpapakita ng mga tampok ng pag-set up ng teknolohiya ng VLAN gamit ang halimbawa ng mga partikular na kagamitan.Magandang araw, mahal na bisita. Ngayon, gaya ng dati, ayon sa ating magandang tradisyon, sasabihin ko sa iyo ang isang bagay na kawili-wili. At ang kwento ngayon ay tungkol sa isang kahanga-hangang bagay sa mga lokal na network na tinatawag na VLAN. Mayroong ilang mga uri ng teknolohiyang ito sa kalikasan; hindi namin pag-uusapan ang lahat, ngunit tungkol lamang sa mga makakalutas sa problemang kinakaharap ng aming kumpanya. Ang teknolohiyang ito ay ginamit nang higit sa isang beses ng aming mga espesyalista sa aming pagsasanay sa IT outsourcing sa rehiyon Ngunit sa pagkakataong ito, ang lahat ay medyo mas kawili-wili, dahil... ang kagamitan na kailangan naming magtrabaho ay medyo "nahubaran" (isang nakaraang katulad na gawain ay inilabas sa D-link DES-1210-28 switch). Pero, unahin muna.
Ano itoVLAN?
Ang VLAN, isang lohikal na local area network ("virtual"), ay isang pangkat ng mga host na may karaniwang hanay ng mga kinakailangan na nakikipag-ugnayan na parang nakakonekta sila sa isang broadcast domain, anuman ang kanilang pisikal na lokasyon. Ang isang VLAN ay may parehong mga katangian bilang isang pisikal na LAN, ngunit nagbibigay-daan sa mga istasyon ng pagtatapos na magsama-sama kahit na wala sila sa parehong pisikal na network. Ang ganitong pagbabago ay maaaring gawin batay sa software sa halip pisikal na paggalaw mga device.
Pinapayagan ka ng teknolohiyang ito na magsagawa ng dalawang gawain:
1) pangkatin ang mga device sa antas ng data link (ibig sabihin, ang mga device na matatagpuan sa parehong VLAN), bagama't pisikal na maaari silang ikonekta sa iba't ibang mga switch ng network(matatagpuan, halimbawa, malayo sa heograpiya);
2) makilala sa pagitan ng mga device (na matatagpuan sa iba't ibang VLAN) na konektado sa parehong switch.
Sa madaling salita, pinapayagan ka ng mga VLAN na lumikha ng hiwalay na mga domain ng broadcast, sa gayon ay binabawasan ang porsyento ng trapiko ng broadcast sa network.
Port- BaseVLAN
Port-Base VLAN – ay isang pangkat ng mga port o isang port sa isang switch na bahagi ng isang VLAN. Ang mga port sa naturang VLAN ay tinatawag na untagged (untagged), ito ay dahil sa katotohanan na ang mga frame na darating at pupunta mula sa port ay walang label o identifier. Ang teknolohiyang ito maaaring ilarawan sa madaling sabi - ang mga VLAN ay nasa switch lamang. Isasaalang-alang namin ang teknolohiyang ito sa D-link na DGS-1100-24 na pinamamahalaang switch.
IEEE 802.1Q
IEEE 802.1Q - bukas na pamantayan, na naglalarawan sa pamamaraan para sa pag-tag ng trapiko upang maihatid ang impormasyon ng membership sa VLAN. Upang gawin ito, isang tag na naglalaman ng impormasyon tungkol sa pagiging miyembro ng VLAN ay inilalagay sa katawan ng frame. kasi ang tag ay inilalagay sa katawan at hindi sa header ng frame, pagkatapos ay ang mga device na hindi sumusuporta sa mga VLAN ay malinaw na pumasa sa trapiko, iyon ay, nang hindi isinasaalang-alang ang pagbubuklod nito sa isang VLAN.
Ang kaunting pagkagumon, ibig sabihin, ang pamamaraan para sa paglalagay ng isang tag sa isang frame ay tinatawag na iniksyon.
Ang laki ng tag ay 4 bytes. Binubuo ito ng mga sumusunod na field:
- Tag Protocol Identifier (TPID, pag-tag ng protocol identifier). Ang laki ng field ay 16 bits. Isinasaad kung aling protocol ang ginagamit para sa pag-tag. Para sa 802.1Q ang halaga ay 0x8100.
- Priyoridad. Ang laki ng field ay 3 bits. Ginamit ng pamantayang IEEE 802.1p upang itakda ang priyoridad ng ipinadalang trapiko.
- Canonical Format Indicator (CFI, canonical format indicator). Ang laki ng field ay 1 bit. Ipinapahiwatig ang format ng MAC address. 0 - canonical, 1 - non-canonical. Ginagamit ang CFI para sa pagiging tugma sa pagitan ng Mga network ng Ethernet at Token Ring.
- VLAN Identifier (VID, VLAN identifier). Ang laki ng field ay 12 bits. Isinasaad kung saang VLAN kabilang ang frame. Ang hanay ng mga posibleng halaga ay mula 0 hanggang 4095.
Mga port sa 802.1Q
Ang mga port ay maaaring nasa isa sa mga sumusunod na mode:
- Naka-tag na port (sa terminolohiya ng CISCO - trunk-port) - pinapayagan ng port ang mga naka-tag na packet na dumaan ang ipinahiwatig na mga numero VLAN, ngunit sa parehong oras ay hindi minarkahan ang mga packet sa anumang paraan
- Hindi naka-tag na port (sa terminolohiya ng CISCO - access-port) - ang port ay malinaw na pumasa sa hindi naka-tag na trapiko para sa tinukoy na VLAN kung ang trapiko ay mapupunta sa iba pang mga switch port sa labas ng tinukoy na VLAN, kung gayon ito ay makikita na doon bilang naka-tag sa numero ng VLAN na ito;
- Ang port ay hindi nabibilang sa anumang VLAN at hindi nakikilahok sa pagpapatakbo ng switch
Halimbawa. Available espasyo ng opisina, kung saan ang departamento ng HR ay nahahati sa dalawang palapag, kinakailangan na paghiwalayin ang mga empleyado nakabahaging network. Mayroong dalawang switch. Gumawa tayo ng VLAN 3 sa isa at sa isa pa, tukuyin ang mga port na nasa isa sa mga VLAN bilang Untagget Port. Upang maunawaan ng mga switch kung saang VLAN naka-address ang isang frame, kailangan nila ng port kung saan ipapadala ang trapiko sa parehong VLAN ng isa pang switch. Pumili tayo, halimbawa, ng isang port at tukuyin ito bilang Tagget. Kung, bilang karagdagan sa VLAN 3, mayroon kaming iba, at ang PC-1 na matatagpuan sa VLAN 3 ay naghahanap ng PC-2, kung gayon ang trapiko sa broadcast ay hindi "maglalakbay" sa buong network, ngunit sa VLAN 3 lamang. Ang darating na frame ay ipapasa. sa pamamagitan ng talahanayan ng MAC, kung ang address ng tatanggap ay hindi natagpuan, ang gayong frame ay ipapadala sa lahat ng mga port ng VLAN kung saan ito nanggaling at ang Tagget port na may label na VLAN, upang ang isa pang switch ay muling mag-broadcast sa pangkat ng mga port. tinukoy sa field ng VID. Ang halimbawang ito naglalarawan ng isang VLAN - ang isang port ay maaaring nasa isang VLAN lamang.
IEEE 802.1ad
Ang 802.1ad ay isang bukas na pamantayan (katulad ng 802.1q) na naglalarawan ng dalawahang tag. Kilala rin bilang Q-in-Q, o Stacked VLANs. Ang pangunahing pagkakaiba mula sa nakaraang pamantayan ay ang pagkakaroon ng dalawang VLAN - panlabas at panloob, na nagpapahintulot sa iyo na hatiin ang network hindi sa 4095 VLAN, ngunit sa 4095x4095.
Maaaring magkaiba ang mga sitwasyon - kailangang "ipasa" ng provider ang trunk ng kliyente nang hindi naaapektuhan ang scheme ng pagnumero ng VLAN, kailangang balansehin ang load sa pagitan ng mga subinterface sa loob ng network ng provider, o sadyang walang sapat na numero. Ang pinakasimpleng bagay ay gumawa ng isa pang tag ng parehong uri.
AsymmetricVLAN
Sa mga terminolohiyang D-Link, pati na rin sa mga setting ng VLAN, mayroong konsepto ng isang asymmetric na VLAN - ito ay isang VLAN kung saan ang isang port ay maaaring nasa ilang mga VLAN.
Ang mga estado ng port ay nagbabago
- Ang mga naka-tag na port ay gumagana tulad ng dati
- Nagiging posible na magtalaga ng maraming port sa maraming VLAN bilang Untag. Yung. gumagana ang isang port sa ilang VLAN nang sabay-sabay bilang Untag
- Ang bawat port ay may isa pang parameter ng PVID - ito ang VLAN ID, na ginagamit upang markahan ang trapiko mula sa port na ito kung mapupunta ito sa Mga Tag na port at sa labas ng switch. Ang bawat port ay maaari lamang magkaroon ng isang PVID
Kaya, nakuha namin ang katotohanan na sa loob ng device ang isang port ay maaaring pag-aari ng ilang VLAN nang sabay-sabay, ngunit sa parehong oras, ang trapiko na umaalis sa naka-tag na port (TRUNK) ay mamarkahan ng numero na itinakda namin sa PVID.
Limitasyon: Hindi gumagana ang IGMP Snooping kapag gumagamit ng mga asymmetric na VLAN.
Paglikha ng isang VLAN saD-linkDGS-1100-24.
Ano ang magagamit. Dalawang switch, isa sa mga ito ay D-link DGS-1100-24, ang switch No. 2 ay konektado dito. Ang Switch No. 2 ay nag-uugnay sa mga makina ng gumagamit - ganap na lahat ng mga ito, pati na rin ang mga server, ang default na gateway at imbakan ng network.
Gawain. Limitahan ang departamento ng HR mula sa pangkalahatang kapaligiran, upang ang mga server, gateway at imbakan ng network ay magagamit.
Higit pa rito, ang D-link DGS-1100-24 switch ay kakaalis pa lang sa kahon. Default na karamihan pinamamahalaang switch D-Link may address na 10.90.90.90/8. Hindi kami interesado sa pisikal na pagiging nasa switch o pagbabago ng address. Mayroong isang espesyal na utility, ang D-Link SmartConsole Utility, na tumutulong upang mahanap ang aming device sa network. Pagkatapos ng pag-install, ilunsad ang utility.
Bago lumipat sa configuration, palitan natin ng maayos ang mga port:
1) Ilipat ang port ng HR department mula sa switch No. 2 upang lumipat sa No. 1
2) Ilipat ang mga server, gateway at network storage mula sa switch No. 2 upang lumipat sa No. 1
3) Ikonekta ang switch No. 2 para lumipat ang No. 1
Pagkatapos ng naturang switch, makikita natin ang sumusunod na larawan: ang mga server, gateway, network storage at HR department ay konektado sa switch No. 1, at lahat ng iba pang user ay konektado sa switch No. 2.
.JPG)
I-click ang button na “Discovery”.
.JPG)
Lagyan ng check ang kahon at i-click ang icon na gear upang buksan ang window ng mga setting ng switch. Pagkatapos itakda ang address, mask at gateway, isulat ang password, na bilang default ay admin.
.JPG)
.JPG)
I-click ang "Magdagdag ng VLAN" at tukuyin ang pangalan at port ng VLAN
.JPG)
I-click ang “Mag-apply”
.JPG)
Pagkatapos lumikha ng mga kinakailangang VLAN, i-save ang mga setting sa pamamagitan ng pag-click sa "I-save", "I-save ang configuration"
.JPG)
Kaya, nakikita namin na ang VLAN 3 ay walang access sa mga port 01-08, 15-24 - samakatuwid, ay walang access sa mga server, gateway, network storage, VLAN2 at iba pang mga kliyente - na konektado sa switch No. 2. Gayunpaman, ang VLAN 2 ay may access sa mga server, gateway, at imbakan ng network, ngunit hindi sa iba pang mga makina. At sa wakas, nakikita ng lahat ng iba pang makina ang mga server, gateway, network storage, ngunit hindi nakikita ang mga port 05,06.]
Kaya, kung mayroon kang tiyak na kaalaman tungkol sa mga tampok ng kagamitan at mga kasanayan sa outsourcing ng IT, maaari mong matugunan ang mga pangangailangan ng kliyente kahit na may kagamitan sa badyet tulad ng D-Link DGS1100-24 switch.
Lahat ng tao, Sumainyo ang kapayapaan!
9) Pagruruta: static at dynamic gamit ang halimbawa ng RIP, OSPF at EIGRP.
10) Pagsasalin ng address ng network: NAT at PAT.
11) Mga protocol ng pagpapareserba sa unang hop: FHRP.
12) Seguridad sa network ng computer at mga virtual na pribadong network: VPN.
13) Mga pandaigdigang network at protocol na ginamit: PPP, HDLC, Frame Relay.
14) Panimula sa IPv6, pagsasaayos at pagruruta.
15) Pamamahala ng network at pagsubaybay sa network.
P.S. Marahil sa paglipas ng panahon ay mapapalawak ang listahan.
Sa mga nakaraang artikulo, nakatrabaho na namin ang maraming network device, naunawaan kung paano sila naiiba sa isa't isa at tiningnan kung anong mga frame, packet at iba pang mga PDU ang binubuo. Sa prinsipyo, sa kaalamang ito maaari mong ayusin ang isang simpleng lokal na network at magtrabaho dito. Ngunit ang mundo ay hindi tumitigil. Parami nang parami ang lumalabas na mga device na naglo-load sa network o, mas masahol pa, lumikha ng banta sa seguridad. At, bilang panuntunan, lilitaw ang "panganib" bago ang "kaligtasan". Ngayon ako na talaga simpleng halimbawa ipapakita ko.
Hindi namin hawakan ang mga router at iba't ibang mga subnet sa ngayon. Sabihin nating lahat ng node ay nasa parehong subnet.
Hayaan akong bigyan ka ng isang listahan ng mga IP address:
- PC1 – 192.168.1.2/24
- PC2 – 192.168.1.3/24
- PC3 – 192.168.1.4/24
- PC4 – 192.168.1.5/24
- PC5 – 192.168.1.6/24
- PC6 – 192.168.1.7/24
Sino ang gustong makakita nito sa animation, buksan ang spoiler (ito ay nagpapakita ng ping mula PC1 hanggang PC5).
Ang pagpapatakbo ng network sa isang broadcast domain
maganda diba? Sa mga nakaraang artikulo, napag-usapan na natin ang tungkol sa trabaho nang higit sa isang beses ARP protocol, ngunit noong nakaraang taon iyon, kaya ipapaliwanag ko nang maikli. Dahil hindi alam ng PC1 ang MAC address (o link layer address) ng PC2, nagpapadala ito ng ARP sa reconnaissance para masabi nito. Dumating ito sa switch, mula sa kung saan ito ay ipinadala sa lahat ng mga aktibong port, iyon ay, sa PC2 at sa gitnang switch. Mula sa gitnang switch ay lilipad ito palabas sa mga kalapit na switch at iba pa hanggang sa maabot nito ang lahat. Ito ay hindi isang maliit na dami ng trapiko na dulot ng isang mensahe ng ARP. Natanggap ito ng lahat ng kalahok sa network. Malaki at hindi kailangang trapiko ang unang problema. Ang pangalawang problema ay seguridad. Sa palagay ko napansin nila na ang mensahe ay umabot pa sa departamento ng accounting, na ang mga computer ay hindi kasangkot dito. Ang sinumang umaatake na kumokonekta sa alinman sa mga switch ay magkakaroon ng access sa buong network. Sa prinsipyo, ang mga network ay gumagana sa ganitong paraan. Ang mga computer ay matatagpuan sa parehong kapaligiran ng channel at pinaghihiwalay lamang ng mga router. Ngunit lumipas ang oras at kinakailangan upang malutas ang problemang ito sa antas ng link. Ang Cisco, bilang isang pioneer, ay gumawa ng sarili nitong protocol na nag-tag ng mga frame at nagpasiya na kabilang sa isang partikular na kapaligiran ng channel. Tinawag ito ISL (Inter-Switch Link). Nagustuhan ng lahat ang ideyang ito at nagpasya ang IEEE na bumuo ng katulad na bukas na pamantayan. Ang pamantayan ay pinangalanan 802.1q. Nagkamit ito ng napakalaking katanyagan at nagpasya ang Cisco na lumipat din dito.
At ito ay tiyak na teknolohiya ng VLAN na batay sa pagpapatakbo ng 802.1q protocol. Magsimula na tayong mag-usap tungkol sa kanya.
Sa ipinakita ko kung ano ang hitsura ng isang ethernet frame. Tingnan ito at i-refresh ang iyong memorya. Ito ang hitsura ng isang hindi naka-tag na frame.
Ngayon tingnan natin ang naka-tag.
Tulad ng nakikita mo, ang pagkakaiba ay tiyak Tag. Ito ang kawili-wili sa atin. Maghukay tayo ng mas malalim. Binubuo ito ng 4 na bahagi.
1) TPID (Tag Protocol ID) o Tagged Protocol Identifier- binubuo ng 2 byte at para sa VLAN ay palaging katumbas ng 0x8100.
2) PCP (Priority Code Point) o priority value- binubuo ng 3 bits. Ginagamit para unahin ang trapiko. Ang mga cool at balbas na administrator ng system ay alam kung paano pamahalaan ito nang tama at patakbuhin ito kapag may iba't ibang trapiko sa network (boses, video, data, atbp.)
3) CFI (Canonical Format Indicator) o canonical format indicator- isang simpleng field na binubuo ng isang bit. Kung ito ay nagkakahalaga ng 0, kung gayon ito ay karaniwang format Mga MAC address.
4) VID (English VLAN ID) o VLAN identifier- binubuo ng 12 bits at nagpapakita kung saan matatagpuan ang VLAN ng frame.
Nais kong bigyang pansin ang katotohanan na ang pag-tag ng frame ay isinasagawa sa pagitan ng mga aparato ng network (mga switch, router, atbp.), at sa pagitan ng dulo node(computer, laptop) at network device, hindi naka-tag ang mga frame. Samakatuwid, ang isang network device port ay maaaring nasa 2 estado: access o baul.
- Access port o access port- isang port na matatagpuan sa isang partikular na VLAN at nagpapadala ng mga hindi naka-tag na frame. Kadalasan ito ay ang port na nakaharap sa user device.
- Trunk port o trunk port- port na nagpapadala ng naka-tag na trapiko. Karaniwan, ang port na ito ay tumataas sa pagitan ng mga network device.
Nagre-recruit ako ng team ipakita ang vlan.
Nakahilera ang ilang mesa. Sa katunayan, ang pinakauna lang ang mahalaga sa atin. Ngayon ipapakita ko sa iyo kung paano basahin ito.
1 hanay ay ang numero ng VLAN. Ang numero 1 ay unang naroroon dito - ito ay isang karaniwang VLAN, na sa simula ay naroroon sa bawat switch. Gumaganap ito ng isa pang function, na isusulat ko tungkol sa ibaba. Mayroon ding mga nakareserba mula 1002-1005. Ito ay para sa iba pang channel media na malamang na hindi magagamit ngayon. Hindi mo rin matatanggal ang mga ito.
Switch(config)#no vlan 1005 Maaaring hindi matanggal ang Default na VLAN 1005.
Kapag nagde-delete, nagpapakita ang Cisco ng mensahe na hindi matatanggal ang VLAN na ito. Samakatuwid, nabubuhay kami at hindi hawakan ang 4 na VLAN na ito.
2nd column ay ang pangalan ng VLAN. Sa paggawa ng VLAN, maaari mong gamitin ang iyong paghuhusga upang makabuo ng mga makabuluhang pangalan para sa kanila upang makilala mo sila sa ibang pagkakataon. Mayroon nang default, fddi-default, token-ring-default, fddinet-default, trnet-default.
3 hanay- katayuan. Ipinapakita nito kung ano ang estado ng VLAN. Sa ngayon, ang VLAN 1 o default ay nasa aktibong estado, at ang susunod na 4 ay act/unsup (bagaman aktibo, hindi sila sinusuportahan).
4 na hanay- mga daungan. Ipinapakita nito kung aling mga VLAN ang mga port. Ngayon na hindi pa namin nahawakan ang anumang bagay, ang mga ito ay nasa default.
Simulan natin ang pag-set up ng mga switch. Magandang kasanayan na bigyan ng makabuluhang pangalan ang iyong mga switch. Yan ang gagawin natin. Dadalhin ko ang team.
Switch(config)#hostname CentrSW CentrSW(config)#
Ang iba ay naka-configure sa parehong paraan, kaya ipapakita ko sa iyo ang na-update na topology diagram.
Simulan natin ang pag-set up gamit ang switch SW1. Una, gumawa tayo ng VLAN sa switch.
SW1(config)#vlan 2 - lumikha ng VLAN 2 (VLAN 1 ay nakalaan bilang default, kaya kunin ang susunod). SW1(config-vlan)#name Dir-ya - pumasok tayo sa mga setting ng VLAN at bibigyan ito ng pangalan.
Nagawa ang VLAN. Ngayon ay lumipat tayo sa mga port. Ang interface ng FastEthernet0/1 ay tumitingin sa PC1, at ang FastEthernet0/2 ay tumitingin sa PC2. Tulad ng nabanggit kanina, ang mga frame sa pagitan ng mga ito ay dapat na mailipat nang hindi naka-tag, kaya't ilipat natin ang mga ito sa estado ng Access.
SW1(config)#interface fastEthernet 0/1 - magpatuloy sa pag-set up ng 1st port. SW1(config-if)#switchport mode access - ilipat ang port sa access mode. SW1(config-if)#switchport access vlan 2 - italaga ang 2nd VLAN sa port. SW1(config)#interface fastEthernet 0/2 - magpatuloy sa pag-set up ng 2nd port. SW1(config-if)#switchport mode access - ilipat ang port sa access mode. SW1(config-if)#switchport access vlan 2 - italaga ang 2nd VLAN sa port.
Dahil ang parehong mga port ay nakatalaga sa parehong VLAN, maaari pa rin silang i-configure bilang isang grupo.
SW1(config)#interface range fastEthernet 0/1-2 - ibig sabihin, pumili ng pool at pagkatapos ay i-set up ang pareho. SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 2
Mga naka-configure na access port. Ngayon ay i-configure natin ang isang trunk sa pagitan ng SW1 at CentrSW.
SW1(config)#interface fastEthernet 0/24 - magpatuloy sa pag-set up ng ika-24 na port. SW1(config-if)#switchport mode trunk - ilipat ang port sa trunk mode. %LINEPROTO-5-UPDOWN: Line protocol sa Interface FastEthernet0/24, binago ang estado sa pababa %LINEPROTO-5-UPDOWN: Line protocol sa Interface FastEthernet0/24, binago ang estado sa pataas
Nakita namin kaagad na ang port ay na-reconfigure. Sa prinsipyo, ito ay sapat na para sa trabaho. Ngunit mula sa isang punto ng seguridad, tanging ang mga VLAN na talagang kailangan ay dapat pahintulutan para sa paghahatid. Magsimula na tayo.
Pinapayagan ng SW1(config-if)#switchport trunk ang vlan 2 - payagan lamang ang 2nd VLAN na maipadala.
Kung wala ang command na ito, lahat ng available na VLAN ay ipapadala. Tingnan natin kung paano nagbago ang talahanayan gamit ang utos ipakita ang vlan.
Ang isang 2nd VLAN na may pangalang Dir-ya ay lumitaw at nakita namin ang mga port na fa0/1 at fa0/2 na kabilang dito.
Upang ipakita lamang ang tuktok na talahanayan, maaari mong gamitin ang command ipakita ang maikling vlan.
Maaari mo pang paikliin ang output kung tumukoy ka ng partikular na VLAN ID.
O ang kanyang pangalan.
Ang lahat ng impormasyon ng VLAN ay naka-imbak sa flash memory sa vlan.dat file.
Tulad ng napansin mo, wala sa mga utos ang naglalaman ng impormasyon tungkol sa trunk. Maaari itong tingnan ng ibang koponan ipakita ang mga interface trunk.
Mayroong impormasyon dito tungkol sa mga trunk port at kung anong mga VLAN ang ipinadala nila. May column din dito Katutubong vlan. Ito ang eksaktong uri ng trapiko na hindi dapat i-tag. Kung dumating ang isang hindi naka-tag na frame sa switch, awtomatiko itong itatalaga sa Native Vlan (bilang default, at sa aming kaso, ito ay VLAN 1). Posible ang katutubong VLAN, ngunit marami ang nagsasabing kailangan itong baguhin para sa mga kadahilanang pangseguridad. Upang gawin ito, sa trunk port configuration mode, kailangan mong gamitin ang command - switchport trunk native vlan X, Saan X- numero ng itinalagang VLAN. Hindi namin babaguhin ang topology na ito, ngunit kapaki-pakinabang na malaman kung paano ito gagawin.
Ang natitira na lang ay i-configure ang mga natitirang device.
CenterSW:
Ang sentral na switch ay ang link sa pagkonekta, na nangangahulugang dapat itong malaman ang tungkol sa lahat ng VLAN. Samakatuwid, nilikha muna namin ang mga ito, at pagkatapos ay ilipat ang lahat ng mga interface sa trunk mode.
CentrSW(config)#vlan 2 CentrSW(config-vlan)# name Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# name buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# name otdel -kadrov CentrSW(config)#interface range fastEthernet 0/1-3 CentrSW(config-if-range)#switchport mode trunk
Huwag kalimutang i-save ang config. Koponan kopyahin ang running-config startup-config.
SW2(config)#vlan 3 SW2(config-vlan)#pangalan buhgalter SW2(config)#interface range fastEthernet 0/1-2 SW2(config-if-range)#switchport mode access SW2(config-if-range)# switchport access vlan 3 SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#switchport trunk pinapayagan ang vlan 3
SW3:
SW3(config)#vlan 4 SW3(config-vlan)#name otdel kadrov SW3(config)#interface range fastEthernet 0/1-2 SW3(config-if-range)#switchport mode access SW3(config-if-range) #switchport access vlan 4 SW3(config)#interface fastEthernet 0/24 SW3(config-if)#switchport mode trunk SW3(config-if)#switchport trunk pinapayagan ang vlan 4
Pakitandaan na itinaas at na-configure namin ang VLAN, ngunit iniwang pareho ang addressing ng mga node. Iyon ay, halos lahat ng mga node ay nasa parehong subnet, ngunit pinaghihiwalay ng mga VLAN. Hindi mo magagawa iyon. Ang bawat VLAN ay dapat magtalaga ng isang hiwalay na subnet. Ginawa ko ito para lamang sa mga layuning pang-edukasyon. Kung ang bawat departamento ay nakaupo sa sarili nitong subnet, kung gayon sila ay magiging isang priori na limitado, dahil ang switch ay hindi alam kung paano iruta ang trapiko mula sa isang subnet patungo sa isa pa (kasama na ito ay isang limitasyon sa antas ng network). At kailangan nating limitahan ang mga departamento sa antas ng link.
Pina-ping ko ulit ang PC1 sa PC3.
Ginagamit ang ARP, na kailangan natin ngayon. buksan natin.
Wala pang bago. Ang ARP ay naka-encapsulated sa ethernet.
Dumating ang frame sa switch at na-tag. Ngayon ay walang ordinaryong ethernet, ngunit 802.1q. Ang mga patlang na isinulat ko kanina ay naidagdag na. Ito TPID, na katumbas ng 8100 at nagpapahiwatig na ito ay 802.1q. AT TCI, na pinagsasama ang 3 field PCP, CFI at VID. Ang numero sa field na ito ay ang VLAN number. Mag-move on na tayo.
Pagkatapos ng tag, ipinapadala nito ang frame sa PC2 (dahil nasa parehong VLAN ito) at sa gitnang switch sa pamamagitan ng trunk port.
Dahil hindi ito mahigpit na tinukoy kung aling mga uri ng VLAN ang dadaan sa kung aling mga port, ipapadala ito sa parehong mga switch. At narito ang mga switch, na nakita ang numero ng VLAN, nauunawaan na wala silang mga device na may tulad na VLAN at matapang na itapon ito.
Naghihintay ng tugon ang PC1, ngunit hindi ito dumarating. Maaari mong makita ito sa ilalim ng spoiler sa anyo ng animation.
Animasyon
Ngayon ang susunod na sitwasyon. Ang isa pang tao ay tinanggap upang sumali sa direktoryo, ngunit walang puwang sa opisina ng direktorat at pansamantalang hinihiling sa kanila na ilagay ang isang tao sa departamento ng accounting. Solusyonan natin ang problemang ito.
Ikinonekta namin ang computer sa FastEthernet port 0/3 ng switch at itinalaga ang IP address na 192.168.1.8/24.
Ngayon ay i-configure ko ang switch SW2. Dahil ang computer ay dapat nasa 2nd VLAN, na hindi alam ng switch, gagawin ko ito sa switch.
SW2(config)#vlan 2 SW2(config-vlan)#name Dir-ya
Susunod na i-configure namin ang FastEthernet 0/3 port, na tumitingin sa PC7.
SW2(config)#interface fastEthernet 0/3 SW2(config-if)#switchport mode access SW2(config-if)#switchport access vlan 2
At ang huling bagay ay i-configure ang trunk port.
SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport trunk pinapayagan ang vlan add 2 - bigyang pansin ang command na ito. Namely on keyword"dagdag". Kung hindi mo idadagdag ang salitang ito, buburahin mo ang lahat ng iba pang VLAN na pinapayagan para sa paghahatid sa port na ito. Samakatuwid, kung mayroon ka nang isang trunk na nakataas sa port at ang iba pang mga VLAN ay ipinadala, pagkatapos ay kailangan mong idagdag ito sa ganitong paraan.
Para maganda ang daloy ng mga frame, ia-adjust ko ang central switch CentrSW.
CentrSW(config)#interface fastEthernet 0/1 CentrSW(config-if)#switchport trunk pinapayagan vlan 2 CentrSW(config)#interface fastEthernet 0/2 CentrSW(config-if)#switchport trunk pinapayagan vlan 2,3 CentrSW(config) #interface fastEthernet 0/3 CentrSW(config-if)#switchport trunk pinapayagan ang vlan 4
Suriin ang oras. Nagpapadala ako ng ping mula PC1 hanggang PC7.
Sa ngayon, ang buong landas ay katulad ng nauna. Ngunit mula sa sandaling ito (mula sa larawan sa ibaba) ang gitnang switch ay gagawa ng ibang desisyon. Natanggap niya ang frame at nakitang naka-tag ito ng 2nd VLAN. Nangangahulugan ito na dapat lamang itong ipadala sa kung saan ito pinapayagan, iyon ay, sa port fa0/2.
At ngayon siya ay dumating sa SW2. Binuksan namin ito at nakitang naka-tag pa rin ito. Ngunit ang susunod na node ay isang computer at dapat alisin ang tag. Mag-click sa "Mga Detalye ng Outbound PDU" para makita kung paano aalis ang frame sa switch.
At talaga. Ipapadala ng switch ang frame sa isang "malinis" na form, iyon ay, walang mga tag.
Ang ARP ay umabot sa PC7. Binuksan namin ito at tinitiyak na ang hindi naka-tag na frame na PC7 ay nakikilala ang sarili nito at nagpapadala ng tugon.
Binuksan namin ang frame sa switch at nakita namin na ipapadala ito sa tag. Pagkatapos ang frame ay maglalakbay sa parehong paraan na ito ay dumating.
Ang ARP ay umabot sa PC1, bilang ebidensya ng marka ng tsek sa sobre. Ngayon alam na niya ang MAC address at gumagamit ng ICMP.
Binuksan namin ang pakete sa switch at nakita ang parehong larawan. Sa layer ng link, ang frame ay na-tag ng switch. Mangyayari ito sa bawat mensahe.
Nakita namin na matagumpay na naabot ng package ang PC7. Hindi ko ipapakita ang daan pabalik, dahil ito ay katulad. Kung may interesado, makikita mo ang buong landas sa animation sa ilalim ng spoiler sa ibaba. At kung gusto mong mag-isa sa topology na ito, nag-attach ako ng link sa laboratoryo.
Logic ng pagpapatakbo ng VLAN
Ito, sa prinsipyo, ang pinakasikat na paggamit ng mga VLAN. Hindi alintana pisikal na lokasyon, maaari mong lohikal na pagsamahin ang mga node sa mga pangkat, sa gayon ay ihiwalay ang mga ito sa iba. Ito ay lubos na maginhawa kapag ang mga empleyado ay pisikal na nagtatrabaho iba't ibang lugar, ngunit dapat pagsamahin. At siyempre, mula sa isang punto ng seguridad, ang mga VLAN ay hindi mapapalitan. Ang pangunahing bagay ay ang isang limitadong lupon ng mga tao ay may access sa mga device sa network, ngunit ito ay isang hiwalay na paksa.
Nakamit namin ang mga paghihigpit sa antas ng link. Ang trapiko ay hindi na napupunta kahit saan, ngunit napupunta nang mahigpit ayon sa nilalayon. Ngunit ngayon ang tanong ay lumitaw na ang mga departamento ay kailangang makipag-usap sa isa't isa. At dahil sila ay nasa iba't ibang channel environment, ang pagruruta ay pumapasok. Ngunit bago tayo magsimula, ayusin natin ang topology. Ang pinakaunang bagay na ilalagay natin ang ating kamay ay ang pagtugon sa mga node. Inuulit ko na ang bawat departamento ay dapat nasa sarili nitong subnet. Sa kabuuan, nakukuha namin ang:
- Direktoryo - 192.168.1.0/24
- Accounting - 192.168.2.0/24
- Departamento ng HR - 192.168.3.0/24
Kapag natukoy na ang mga subnet, agad naming tinutugunan ang mga node.
- PC1:
IP: 192.168.1.2
Mask: 255.255.255.0 o /24
Gateway: 192.168.1.1 - PC2:
IP: 192.168.1.3
Mask: 255.255.255.0 o /24
Gateway: 192.168.1.1 - PC3:
IP: 192.168.2.2
Mask: 255.255.255.0 o /24
Gateway: 192.168.2.1 - PC4:
IP: 192.168.2.3
Mask: 255.255.255.0 o /24
Gateway: 192.168.2.1 - PC5:
IP: 192.168.3.2
Mask: 255.255.255.0 o /24
Gateway: 192.168.3.1 - PC6:
IP: 192.168.3.3
Mask: 255.255.255.0 o /24
Gateway: 192.168.3.1 - PC7:
IP: 192.168.1.4
Mask: 255.255.255.0 o /24
Gateway: 192.168.1.1
Nagdagdag na ngayon ang mga node ng parameter gaya ng address ng gateway. Ginagamit nila ang address na ito kapag kailangan nilang magpadala ng mensahe sa isang node na matatagpuan sa ibang subnet. Alinsunod dito, ang bawat subnet ay may sariling gateway.
Ang natitira na lang ay i-configure ang router, at binuksan ko ang CLI nito. Ayon sa tradisyon, magbibigay ako ng isang makabuluhang pangalan.
Router(config)#hostname Gateway Gateway(config)#
Susunod na lumipat kami sa pag-set up ng mga interface.
Gateway(config)#interface fastEthernet 0/0 - pumunta sa kinakailangang interface. Gateway(config-if)#no shutdown - paganahin ito. %LINK-5-BINAGO: Interface FastEthernet0/0, binago ang estado sa up %LINEPROTO-5-UPDOWN: Line protocol sa Interface FastEthernet0/0, binago ang estado sa up
Ngayon pansin! Pinagana namin ang interface, ngunit hindi kami nagtalaga ng IP address dito. Ang katotohanan ay isang link o channel lamang ang kailangan mula sa pisikal na interface (fastethernet 0/0). Ang tungkulin ng mga gateway ay isasagawa ng mga virtual na interface o subinterface. Sa kasalukuyan 3 Uri ng VLAN. Nangangahulugan ito na magkakaroon ng 3 subinterfaces Simulan natin ang pag-set up.
Gateway(config)#interface fastEthernet 0/0.2 Gateway(config-if)#encapsulation dot1Q 2 Gateway(config-if)#ip address 192.168.1.1 255.255.255.0 Gateway(config)#interface fastEthernet 0/0.3 Gateway(config-if )#encapsulation dot1Q 3 Gateway(config-if)#ip address 192.168.2.1 255.255.255.0 Gateway(config)#interface fastEthernet 0/0.4 Gateway(config-if)#encapsulation dot1Q 4 Gateway(config-if)#ip address 192.168 .3.1 255.255.255.0
Ang router ay na-configure. Pumunta tayo sa gitnang switch at i-configure ang isang trunk port dito upang maipasa nito ang mga naka-tag na frame sa router.
CentrSW(config)#interface fastEthernet 0/24 CentrSW(config-if)#switchport mode trunk CentrSW(config-if)#switchport trunk pinapayagan vlan 2,3,4
Kumpleto na ang configuration at magpatuloy tayo sa pagsasanay. Nagpapadala ako ng ping mula sa PC1 hanggang PC6 (iyon ay, sa 192.168.3.3).
Walang ideya ang PC1 kung sino ang PC6 o 192.168.3.3, ngunit alam niyang nasa iba't ibang mga subnet ang mga ito (tulad ng naiintindihan niya na inilarawan ito sa artikulo). Samakatuwid, ipapadala nito ang mensahe sa pamamagitan ng default na gateway, ang address kung saan ay tinukoy sa mga setting nito. At bagama't alam ng PC1 ang IP address ng pangunahing gateway, wala itong MAC address para maging ganap na masaya. At inilunsad niya ang ARP.
Mangyaring tandaan. Sa sandaling dumating ang isang frame sa CentrSW, hindi ito ibo-broadcast ng switch sa sinuman. Nagpapadala lamang ito sa mga port kung saan pinapayagang dumaan ang 2nd VLAN. Iyon ay, sa router at sa SW2 (may isang gumagamit na nakaupo sa 2nd VLAN).
Kinikilala ng router ang sarili nito at nagpapadala ng tugon (ipinapakita ng isang arrow). At bigyang pansin ang ilalim na frame. Kapag natanggap ng SW2 ang ARP mula sa gitnang switch, hindi rin nito ipinadala ito sa lahat ng mga computer, ngunit nagpadala lamang ng PC7, na nakaupo sa 2nd VLAN. Pero tinatanggihan ito ng PC7 dahil hindi ito para sa kanya. Tingnan pa natin.
Naabot ng ARP ang PC1. Ngayon alam na niya ang lahat at maaaring magpadala ng ICMP. Muli, nais kong iguhit ang iyong pansin sa katotohanan na bilang ang destinasyong MAC address ( layer ng link), ang magiging address ng router, at bilang destination IP address (network layer), ang address ng PC6.
Naabot ng ICMP ang router. Tinitingnan niya ang kanyang spreadsheet at napagtanto na wala siyang kakilala sa 192.168.3.3. Itapon ang paparating na ICMP at hinahayaan ang ARP reconnoiter.
Kinikilala ng PC6 ang sarili nito at nagpapadala ng tugon.
Ang tugon ay umabot sa router at nagdagdag ito ng isang entry sa talahanayan nito. Maaari mong tingnan ang talahanayan ng ARP gamit ang utos ipakita ang arp.
Mag-move on na tayo. Ang PC1 ay hindi nasisiyahan na walang sumasagot sa kanya at nagpapadala ng sumusunod na mensahe ng ICMP.
Sa pagkakataong ito, dumating ang ICMP nang walang problema. Susundan niya ang parehong ruta pabalik. Ipapakita ko lang sa iyo ang resulta.
Nawala ang unang packet (bilang resulta ng ARP), ngunit dumating ang pangalawa nang walang problema.
Sino ang interesadong makita ito sa animation, maligayang pagdating sa spoiler.
Pagruruta ng InterVLAN
Kaya. Nakamit namin na kung ang mga node ay nasa parehong subnet at sa parehong VLAN, pagkatapos ay direktang pupunta sila sa mga switch. Sa kaso kung kailan kailangan mong magpadala ng mensahe sa isa pang subnet at VLAN, ipapadala ito sa pamamagitan ng Gateway router, na nagsasagawa ng "inter-vlan" routing. Ang topology na ito nakuha ang pangalan "router sa isang stick" o "router sa isang stick". Tulad ng naiintindihan mo, ito ay napaka-maginhawa. Gumawa kami ng 3 virtual na interface at iba't ibang mga naka-tag na frame ang ipinadala sa isang wire. Nang hindi gumagamit ng mga subinterface at VLAN, kakailanganin mong gumamit ng hiwalay na pisikal na interface para sa bawat subnet, na hindi naman kumikita.
Sa pamamagitan ng paraan, ang tanong na ito ay tinalakay nang mahusay sa video na ito (ang video ay humigit-kumulang 3 oras ang haba, kaya ang link ay naka-link sa eksaktong sandali sa oras na iyon). Kung pagkatapos basahin at panoorin ang video gusto mong tapusin ang lahat gamit ang iyong sariling mga kamay, nag-attach ako ng link sa pag-download.
Nakipag-usap kami sa mga VLAN at lumipat sa isa sa mga protocol na gumagana dito.
DTP (Dynamic Trunking Protocol) o sa Russian dynamic na trunk protocol- Cisco proprietary protocol na ginagamit upang ipatupad ang trunk mode sa pagitan ng mga switch. Bagama't, depende sa estado, maaari rin silang maging pare-pareho sa access mode.
May 4 na mode ang DTP: Dynamic na auto, Dynamic na kanais-nais, Trunk, Access. Tingnan natin kung paano sila magkasya.
| Mga mode | Dynamic na sasakyan | Dynamic na kanais-nais | Baul | Access |
|---|---|---|---|---|
| Dynamic na sasakyan | Access | Baul | Baul | Access |
| Dynamic na kanais-nais | Baul | Baul | Baul | Access |
| Baul | Baul | Baul | Baul | Walang koneksyon |
| Access | Access | Access | Walang koneksyon | Access |
Iyon ay kaliwang hanay ito ang 1st device, at ang nangungunang linya ay ang 2nd device. Bilang default, nasa "dynamic na auto" mode ang mga switch. Kung titingnan mo ang talahanayan ng pagmamapa, dalawang switch sa "dynamic na auto" mode ang itinutugma sa "access" mode. Tingnan natin ito. Gumagawa ako ng bago gawain sa laboratoryo at magdagdag ng 2 switch.
Hindi ko pa sila ikokonekta. Kailangan kong tiyakin na ang parehong switch ay nasa "dynamic na auto" mode. Susuriin ko sa team ipakita ang mga interface switchport.
Ang resulta ng command na ito ay napakalaki, kaya pinutol ko ito at itinampok ang mga punto ng interes. Magsimula tayo sa Administrative Mode. Ipinapakita ng linyang ito kung alin sa 4 na mga mode ang isang ibinigay na port sa switch na gumagana. Siguraduhin na ang mga port sa parehong switch ay nasa "Dynamic na auto" mode. At ang linya Mode ng Pagpapatakbo nagpapakita kung aling paraan ng pagpapatakbo ang kanilang sinang-ayunan na patakbuhin. Hindi pa namin sila konektado, kaya nasa "down" na estado sila.
Bibigyan kita kaagad ng magandang payo. Kapag sinusubukan ang anumang protocol, gumamit ng mga filter. Huwag paganahin ang pagpapakita ng lahat ng mga protocol na hindi mo kailangan.
Inilipat ko ang CPT sa simulation mode at sinasala ang lahat ng protocol maliban sa DTP.
Sa tingin ko malinaw na ang lahat dito. Ikinonekta ko ang mga switch gamit ang isang cable at, kapag ang mga link ay nakataas, isa sa mga switch ay bumubuo ng isang DTP na mensahe.
Binuksan ko ito at nakita ko na ito ay DTP na naka-encapsulated sa isang Ethernet frame. Ipinapadala niya ito sa multicast address na "0100.0ccc.cccc", na tumutukoy sa mga protocol ng DTP, VTP, CDP.
At hayaan mong ituon ko ang iyong pansin sa 2 field sa header ng DTP.
1) Uri ng DTP- dito naglalagay ng proposal ang nagpadala. Ibig sabihin, anong mode ang gusto niyang i-conform? Sa aming kaso, iminumungkahi niya ang pagsang-ayon sa "pag-access".
2) MAC address ng kapitbahay- sa larangang ito isinulat niya ang MAC address ng kanyang port.
Ipinadala niya ito at naghihintay ng reaksyon ng kanyang katabi.
Ang mensahe ay umabot sa SW1 at ito ay bumubuo ng isang tugon. Kung saan nakikipag-usap din ito sa mode na "access", ipinapasok ang MAC address nito at ipinapadala ito sa SW2.
Matagumpay na naabot ang DTP. Sa teorya, dapat ay napagkasunduan sila sa "access" mode. Susuriin ko.
Gaya ng inaasahan, sumang-ayon sila sa "access" mode.
Ang ilang mga tao ay nagsasabi na ang teknolohiya ay maginhawa at ginagamit ito. Ngunit lubos kong inirerekumenda na huwag gamitin ang protocol na ito sa iyong network. Hindi lang ako ang nagrerekomenda nito, at ngayon ipapaliwanag ko kung bakit. Ang punto ay ang protocol na ito ay nagbubukas ng isang malaking butas sa seguridad. Bubuksan ko ang laboratoryo kung saan nasuri ang gawaing "Router sa isang stick" at magdagdag ng isa pang switch doon.
Ngayon ay pupunta ako sa mga setting ng bagong switch at i-hardcode ang port para gumana sa trunk mode.
New_SW(config)#interface fastEthernet 0/1 New_SW(config-if)#switchport mode trunk
Ikinonekta ko sila at tingnan kung paano sila magkatugma.
tama yan. Ang "dynamic na auto" at "trunk" na mga mode ay pinag-ugnay sa baul. Ngayon kami ay naghihintay para sa isang tao na magsimulang maging aktibo. Sabihin nating nagpasya ang PC1 na magpadala ng mensahe sa isang tao. Bumubuo ng ARP at ilalabas ito sa network.
Laktawan natin ang kanyang landas hanggang sa makarating siya sa SW2.
At narito ang kawili-wiling bahagi.
Ipinapadala ito sa bagong konektadong switch. Ipinaliwanag ko ang nangyari. Sa sandaling napagkasunduan namin ang isang baul sa kanya, sinimulan niyang ipadala sa kanya ang lahat ng mga papasok na frame. Bagama't ipinapakita ng diagram na ang switch ay nagtatapon ng mga frame, wala itong ibig sabihin. Maaari mong ikonekta ang anumang intercepting device (sniffer) sa switch o sa halip na switch at mahinahong tingnan kung ano ang nangyayari sa network. Mukhang na-intercept niya ang isang hindi nakakapinsalang ARP. Ngunit kung titingnan mo nang mas malalim, makikita mo na ang MAC address na "0000.0C1C.05DD" at ang IP address na "192.168.1.2" ay kilala na. Ibig sabihin, binigay ni PC1 ang kanyang sarili nang hindi nag-iisip. Ngayon alam ng umaatake ang tungkol sa naturang computer. Bilang karagdagan, alam niya na siya ay nakaupo sa 2nd VLAN. Pagkatapos ay maaari siyang gumawa ng maraming bagay. Ang pinakakaraniwang bagay ay palitan ang iyong MAC address, IP address, mabilis na sumang-ayon sa Access at magpanggap na PC1. Ngunit ang pinaka-kagiliw-giliw na bagay. Pagkatapos ng lahat, maaaring hindi mo ito maintindihan kaagad. Karaniwan, kapag tinukoy namin ang operating mode ng isang port, ito ay agad na ipinapakita sa pagsasaayos. pagpasok ko ipakita ang running-config.
Ngunit dito walang laman ang mga setting ng port. pagpasok ko ipakita ang mga interface switchport at mag-scroll sa fa0/4.
At dito makikita natin na ang baul ay napagkasunduan. show running-config ay hindi palaging nagbibigay ng komprehensibong impormasyon. Samakatuwid, tandaan din ang iba pang mga utos.
Sa tingin ko ay malinaw kung bakit hindi mo mapagkakatiwalaan ang protocol na ito. Tila pinapadali nito ang buhay, ngunit sa parehong oras maaari itong lumikha ng isang malaking problema. Kaya umasa sa manu-manong pamamaraan. Kapag nagse-set up, agad na magpasya kung aling mga port ang gagana sa trunk mode at kung alin ang nasa access. At higit sa lahat, laging patayin ang pagkakasundo. Upang ang mga switch ay hindi subukang sumang-ayon sa sinuman. Ginagawa ito gamit ang command na "switchport nonegotiate".
Lumipat tayo sa susunod na protocol.
VTP (VLAN Trunking Protocol)- isang proprietary protocol mula sa Cisco na ginagamit upang makipagpalitan ng impormasyon tungkol sa mga VLAN.
Isipin ang isang sitwasyon kung saan mayroon kang 40 switch at 70 VLAN. Bilang isang magandang ideya, kailangan mong manu-manong gawin ang mga ito sa bawat switch at tukuyin kung aling mga trunk port ang papayagan ang paghahatid. Ito ay isang nakakapagod at mahabang proseso. Samakatuwid, maaaring gawin ng VTP ang gawaing ito. Lumilikha ka ng VLAN sa isang switch, at lahat ng iba ay naka-synchronize sa base nito. Tingnan ang sumusunod na topology.
Mayroong 4 na switch dito. Ang isa sa kanila ay isang VTP server, at ang iba pang 3 ay mga kliyente. Ang mga VLAN na iyon na gagawin sa server ay awtomatikong naka-synchronize sa mga kliyente. Ipapaliwanag ko kung paano gumagana ang VTP at kung ano ang magagawa nito.
Kaya. Ang VTP ay maaaring gumawa, magbago at magtanggal ng mga VLAN. Ang bawat naturang pagkilos ay nagiging sanhi ng pagtaas ng numero ng rebisyon (bawat pagkilos ay nagdaragdag sa bilang ng +1). Pagkatapos ay nagpapadala siya ng mga patalastas na naglalaman ng numero ng rebisyon. Ang mga customer na nakatanggap ng anunsyo na ito ay inihambing ang kanilang revision number sa natanggap nila. At kung mas mataas ang numerong dumarating, sini-synchronize nila ang kanilang database dito. Kung hindi, ang patalastas ay hindi papansinin.
Ngunit hindi lang iyon. May mga tungkulin ang mga VTP. Bilang default, gumagana ang lahat ng switch bilang isang server. Sasabihin ko sa iyo ang tungkol sa kanila.
- VTP Server. Lahat kaya niya. Iyon ay, lumilikha, nagbabago, nagtatanggal ng VLAN. Kung ito ay nakatanggap ng isang patalastas kung saan ang isang rebisyon ay mas luma kaysa dito, ito ay naka-synchronize. Patuloy na nagpapadala ng mga anunsyo at relay mula sa mga kapitbahay.
- VTP Client- Limitado na ang tungkuling ito. Hindi ka maaaring gumawa, magbago, o magtanggal ng mga VLAN. Lahat ng VLAN ay tumatanggap at nagsi-synchronize mula sa server. Pana-panahong nagpapaalam sa mga kapitbahay tungkol sa VLAN base nito.
- VTP Transparent- ito ay isang malayang papel. Maaaring lumikha, magbago at magtanggal ng mga VLAN lamang sa database nito. Hindi siya nagpapataw ng anuman sa sinuman at hindi tumatanggap ng anuman mula sa sinuman. Kung nakatanggap ito ng ilang uri ng patalastas, ipinapasa ito, ngunit hindi ito isinasabay sa database nito. Kung sa mga nakaraang tungkulin ay tumaas ang numero ng rebisyon sa bawat pagbabago, kung gayon sa mode na ito ang numero ng rebisyon ay palaging 0.
Nabasa natin ang sapat na teorya at magpatuloy tayo sa pagsasanay. Suriin natin kung nasa gitna ang switch Server mode. Ipasok ang utos ipakita ang vtp status.
Nakita namin na ang VTP Operating Mode: Server. Maaari mo ring mapansin na ang bersyon ng VTP ay ika-2. Sa kasamaang palad, ang bersyon 3 ng CPT ay hindi suportado. Ang bersyon ng rebisyon ay zero.
Ngayon ay i-configure natin ang mas mababang mga switch.
SW1(config)#vtp mode client Pagtatakda ng device sa VTP CLIENT mode.
Nakikita namin ang isang mensahe na ang device ay pumasok sa client mode. Ang natitira ay na-configure sa eksaktong parehong paraan.
Para makapagpalitan ng mga advertisement ang mga device, dapat nasa parehong domain ang mga ito. At may kakaiba dito. Kung ang device (sa Server o Client mode) ay hindi miyembro ng anumang domain, pagkatapos ay sa unang advertisement na natanggap, mapupunta ito sa na-advertise na domain. Kung ang kliyente ay miyembro ng isang partikular na domain, hindi ito tatanggap ng mga advertisement mula sa ibang mga domain. Buksan natin ang SW1 at siguraduhing hindi ito miyembro ng anumang domain.
Siguraduhin nating walang laman.
Ngayon pumunta kami sa gitnang switch at ilipat ito sa domain.
CentrSW(config)#vtp domain cisadmin.ru Pagpapalit ng VTP domain name mula NULL sa cisadmin.ru
Nakikita namin ang isang mensahe na siya ay inilipat sa cisadmin.ru domain.
Suriin natin ang katayuan.
At talaga. Ang domain name ay nagbago. Pakitandaan na ang numero ng rebisyon ay kasalukuyang zero. Magbabago ito sa sandaling lumikha kami ng VLAN dito. Ngunit bago ito gawin, kailangan mong ilipat ang simulator sa simulation mode upang makita kung paano ito bumubuo ng mga ad. Lumilikha kami ng ika-20 na VLAN at tingnan ang sumusunod na larawan.
Kapag nalikha na ang VLAN at nadagdagan ang numero ng rebisyon, bubuo ng mga advertisement ang server. Dalawa ang dala niya. Una, buksan natin ang nasa kaliwa. Ang advertisement na ito ay tinatawag na "Buod ng Advertisement" o sa Russian "buod na advertisement". Ang anunsyo na ito ay nabuo sa pamamagitan ng switch isang beses bawat 5 minuto, kung saan pinag-uusapan nito ang tungkol sa domain name at ang kasalukuyang rebisyon. Tingnan natin kung ano ang hitsura nito.
Sa Ethernet frame, bigyang-pansin ang Destination MAC address. Pareho ito sa itaas noong nabuo ang DTP. Ibig sabihin, sa aming kaso, ang mga may tumatakbong VTP lang ang tutugon dito. Ngayon tingnan natin ang susunod na field.
Narito ang lahat ng impormasyon. Dadaan ako sa pinakamahalagang larangan.
- Pamamahala Domain Name- ang pangalan ng domain mismo (sa kasong ito cisadmin.ru).
- Updater Identity - identifier ng nag-a-update. Ang IP address ay karaniwang nakasulat dito. Ngunit dahil hindi nakatalaga ang address sa switch, walang laman ang field
- I-update ang Timestamp - oras ng pag-update. Ang oras sa switch ay hindi nabago, kaya nakatakda ito sa oras ng pabrika.
- MD5 Digest - MD5 hash. Ito ay ginagamit upang suriin ang mga kredensyal. Iyon ay, kung ang VTP ay may password. Hindi namin binago ang password, kaya ang hash ang default.
Sa tingin ko ito ay malinaw. Paghiwalayin ang header para sa bawat uri ng VLAN. Napakahaba ng listahan kaya hindi ito magkasya sa screen. Ngunit sila ay eksaktong pareho, maliban sa mga pangalan. Hindi ako mag-abala sa kung ano ang ibig sabihin ng bawat code. At sa CPT mas convention sila.
Tingnan natin kung ano ang susunod na mangyayari.
Ang mga kliyente ay tumatanggap ng mga patalastas. Nakita nila na ang revision number ay mas mataas kaysa sa kanila at i-synchronize ang database. At nagpapadala sila ng mensahe sa server na nagbago ang base ng VLAN.
Paano gumagana ang VTP protocol
Ganito talaga gumagana ang VTP protocol. Ngunit mayroon itong napakalaking disadvantages. At ito ay mga disadvantages sa mga tuntunin ng seguridad. Ipapaliwanag ko gamit ang halimbawa ng parehong laboratoryo. Mayroon kaming sentral na switch kung saan nilikha ang mga VLAN, at pagkatapos ay sa pamamagitan ng multicast sini-synchronize nito ang mga ito sa lahat ng switch. Sa aming kaso, pinag-uusapan niya ang tungkol sa VLAN 20. Iminumungkahi kong tingnan muli ang pagsasaayos nito.
Mangyaring tandaan. Ang isang VTP na mensahe ay umaabot sa server, kung saan ang rebisyon na numero ay mas mataas kaysa sa sarili nito. Naiintindihan niya na nagbago ang network at kailangan niyang umangkop dito. Suriin natin ang pagsasaayos.
Configuration gitnang server ay nagbago at ngayon ay ibo-broadcast niya iyon nang eksakto.
Ngayon isipin na wala tayong isang VLAN, ngunit daan-daan. ganito sa simpleng paraan pwede kang maglagay ng network. Siyempre, maaaring protektado ng password ang domain at magiging mas mahirap para sa isang umaatake na magdulot ng pinsala. Isipin ang isang sitwasyon kung saan sira ang switch mo at kailangan mo itong palitan. Ikaw o ang iyong kasamahan ay tumakbo sa bodega para bumili ng lumang switch at kalimutang tingnan ang revision number. Ito ay lumabas na mas mataas kaysa sa iba. Nakita mo na ang susunod na mangyayari. Samakatuwid, inirerekumenda kong huwag gamitin ang protocol na ito. Lalo na sa malalaki mga network ng korporasyon. Kung gumagamit ka ng VTP na bersyon 3, pagkatapos ay huwag mag-atubiling ilipat ang mga switch sa "Off" mode. Kung gumagamit ka ng bersyon 2, pagkatapos ay lumipat sa "Transparent" na mode.
