Kullanılabilirliği biraz artırabilecek başka bir küçük araç: banner. Bu, tsiska'nın cihaza yetki vermeden önce göstereceği reklamdır.

Değiştir (yapılandırma) #banner motd q METİN mesajını girin. "q" karakteriyle bitirin. Sadece pankarttır. q Anahtar (yapılandırma) #
Motd'den sonra, satırın bittiğine dair bir sinyal görevi görecek bir karakter belirlersiniz. Bu örnekte “q” koyduk.

Banner'ın içeriği hakkında. Bir efsane var: Bir hacker ağa girdi, orada bir şey kırdı/çaldı, yakalandı ve mahkemede beraat edip serbest bırakıldı. Niye ya? Ancak, sınır yönlendiricide (İnternet ve dahili ağ arasında), afişte “Hoş Geldiniz” kelimesi yazılmıştır. “Eh, sorduklarından beri içeri girdim”)). Bu nedenle, başlıkta "Erişim reddedildi!" Gibi bir şey yazmak iyi bir uygulama olarak kabul edilir.

Bilginizi nokta nokta organize etmek için yapmanız gerekenlere bir göz atalım:

1) Ana bilgisayar adını yapılandırın. Bu, gelecekte gerçek bir ağda bulunduğunuz yerde hızla gezinmenize yardımcı olacaktır.
Anahtar (yapılandırma) #hostname HOSTNAME

2) Tüm vlan'ları oluşturun ve onlara bir ad verin
Anahtar (yapılandırma) #vlan VLAN-NUMARASI Anahtar (config-vlan) #name NAME-OF-VLAN

3) Tüm erişim bağlantı noktalarını yapılandırın ve onlara bir ad verin
Anahtar (config-if) #description ARAYÜZ AÇIKLAMASI Anahtar (config-if) #switchport modu erişimi Anahtar (config-if) #switchport erişimi vlan VLAN-NUMBER

Arayüzleri gruplar halinde yapılandırmak bazen uygun olabilir:

Msk-arbat-asw3 (yapılandırma) #interface aralığı fastEthernet 0/6 - 10 msk-arbat-asw3 (eğer-aralık yapılandırma) #description FEO msk-arbat-asw3 (eğer-aralık yapılandırma) #switchport modu erişim msk- arbat-asw3 (eğer yapılandırma aralığı) #switchport erişim vlan 102

4) Tüm ana bağlantı noktalarını yapılandırın ve onlara bir ad verin:
Anahtar (config-if) #description ARAYÜZ AÇIKLAMASI Anahtar (config-if) #switchport modu devresi Anahtar (config-if) #switchport devresine izin verilir vlan VLAN-NUMARALARI

5) Kaydetmeyi unutmayın:
Değiştir # kopya çalışıyor-config startup-config

Toplam: Neyi başardık? Bir alt ağdaki tüm cihazlar birbirini görebilir, ancak diğerindeki cihazları göremez. Bir sonraki bölümde, statik yönlendirme ve L3 anahtarlarının yanı sıra bu sorunu da ele alacağız.
Genel olarak, bu ders bu konuda tamamlanabilir. Videoda vlanların nasıl yapılandırıldığını bir kez daha görebilirsiniz. Ev ödevi olarak, sunucu anahtarlarında vlans yapılandırın.

Buradan tüm cihazların yapılandırmasını indirebilirsiniz:
Lift-me-Up_Configuration.zip
Ve RT projemiz:
Lift-me-UP_v2-VLANs.pkt

not
Önemli bir ekleme: Bir önceki bölümde native vlan'dan bahsederken sizi biraz yanlış bilgilendirdik. Cisco ekipmanında böyle bir çalışma planı imkansızdır.
101. vlanın etiketsiz çerçevelerini msk-rubl-asw1 anahtarına iletmeyi ve ilk önce onları oradan almayı önerdiğimizi hatırlayın.
Gerçek şu ki, yukarıda bahsettiğimiz gibi, cisco açısından, anahtarların her iki tarafında da aynı vlan numarasının yapılandırılması gerekir, aksi takdirde STP protokolü ile ilgili sorunlar başlar ve günlüklerde yanlış yapılandırma hakkında uyarılar görebilirsiniz. . Bu nedenle 101. vlanı olağan şekilde cihaza aktarıyoruz, çerçeveler etiketlenecek ve buna göre 101. vlan'ın da msk-rubl-asw1 üzerinde oluşturulması gerekiyor.

Bir kez daha, tüm arzumuzla tüm nüansları ve incelikleri kapsayamayacağımızı, bu nedenle kendimize böyle bir görev vermediğimizi belirtmek isteriz. MAC adresinin nasıl oluşturulduğu, Ether Type alan değerleri veya çerçevenin sonundaki CRC'nin ne için olduğu gibi şeyleri kendiniz öğrenmelisiniz. Etiket ekle

VLAN(Sanal Yerel Alan Ağı) - sanal bir yerel alan ağı, daha büyük bir LAN'ın parçasıdır. Ethernet, WI-FI arabirimlerinde çeşitli alt ağları izole etmek için en basit mekanizma. VLAN'ları organize etmek için ağ anahtarının (Switch) VLAN teknolojisini ve 802.1q protokolünü desteklemesi gerekir.

VLAN avantajları:

yayın alanlarının sayısını artırır, ancak her yayın alanının boyutunu azaltır, bu da ağ trafiğini azaltır ve ağ güvenliğini artırır (her iki sonuç da tek bir büyük yayın alanı nedeniyle birbirine bağlanır);

yöneticilerin alt ağ oluşturma çabasını azaltır;

ağlar fiziksel olarak değil mantıksal olarak ayrılabildiğinden ekipman miktarını azaltır;

çeşitli trafik türlerinin yönetimini iyileştirir.

Şartlar:

Terim etiketsiz: herhangi bir VLAN'a atanmamış tüm paketleri yalnızca bir VLAN alabilir (3Com, Planet, Zyxel terminolojisinde - etiketsiz, Cisco terminolojisinde - yerel VLAN). Anahtar, bu VLAN'ın etiketlerini, herhangi bir etiketi olmayan alınan tüm çerçevelere ekleyecektir.

Gövde VLAN, etiketlerle (paketlere eklenen etiketler) ayırt edilen birkaç VLAN kanalı taşıyan fiziksel bir kanaldır. Trunk'lar genellikle VLAN cihazlarının "etiketli bağlantı noktaları" arasında oluşturulur: bir anahtar-anahtar veya bir anahtar-yönlendirici. (Cisco belgelerinde, "trunk" terimi, birkaç fiziksel bağlantının tek bir mantıksal bağlantıda toplanması olarak da adlandırılır: Link Aggregation, Port Trunking). Bir yönlendirici (katman 3 anahtarı), farklı VLAN'ların ağ trafiği için bir omurga görevi görür.

Basitçe söylemek gerekirse, vlan bir fiziksel kanal (kablo) içindeki mantıksal bir kanaldır ve ana hat, bir fiziksel kanal (kablo) içindeki bir dizi mantıksal kanaldır (vlans).

VLAN'lar şu şekilde tanımlanabilir:

Porto (en sık kullanım). Bağlantı Noktası VLAN'ları, bir VLAN'daki belirli bir bağlantı noktasını tanımlamanıza olanak tanır. Bağlantı noktaları ayrı ayrı, gruplar halinde, tüm sıralar halinde ve hatta ana hat protokolü aracılığıyla farklı anahtarlarda tanımlanabilir. Bu, en basit ve en yaygın kullanılan VLAN algılama yöntemidir. Bu, iş istasyonları TCP / IP Dinamik Yapılandırma Protokolünü (DHCP) kullandığında, bağlantı noktası tabanlı VLAN enjeksiyonunun en yaygın kullanımıdır.

MAC adresi - adres (çok nadir). MAC adreslerine dayalı VLAN'lar, kullanıcı bir konumdan diğerine taşınsa bile kullanıcıların aynı VLAN üzerinde olmasına izin verir. Bu yöntem, bir yöneticinin her iş istasyonunun MAC adresini belirlemesini ve ardından bu bilgiyi anahtara girmesini gerektirir. Kullanıcı MAC adresini değiştirmişse, bu yöntemin giderilmesi çok zor olabilir. Herhangi bir yapılandırma değişikliği, ağ yöneticisi ile koordine edilmelidir, bu da yönetimsel gecikmelere neden olabilir.

Kullanıcı kimliği (çok nadir)

VLAN Linux ve D-Link DGS-1100-08P

DGS-1100-08P'yi kurma... İlk portta ona bağlanalım. IP 10.90.91.2 olarak atayalım. 3 adet VLAN oluşturalım: vlan1 (port 1 (etiketli)) servis kullanımı, yani sadece switch'i yapılandırmak için, vlan22 (port 1 (etiketli); port 2,3,4 (etiketlenmemiş)), vlan35 (port 1 ( etiketli); bağlantı noktaları 5.6 (etiketlenmemiş)). 7.8 numaralı bağlantı noktaları kullanılmaz ve Bağlantı Noktası Ayarları (Hız: Devre Dışı) menüsü aracılığıyla devre dışı bırakılır. Gelecekte D-Link DGS-1100-08P'yi (IP 10.90.91.2) yalnızca vlan1 üzerinden kontrol edebileceğinizi, yani bizim durumumuzda sistem yöneticisinin DGS-1100-08P'nin ilk bağlantı noktasına bağlanması gerektiğini belirtiyoruz. (Başka bir bağlantı noktasına bağlanırken - anahtar 10.90.91.2'ye erişime izin vermez).

eth4 bağlantı noktasına bağlı vlan22 adlı bir VLAN oluşturun. Bir IP atayalım: 192.168.122.254. ip bağlantısı bağlantı ekle eth4 adı vlan22 türü vlan kimliği 22 ip adresi ekle 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

Yalnızca anahtar yapılandırması için hizmet vlan:

ip bağlantısı bağlantı ekle eth4 adı vlan44 türü vlan kimliği 1 ip adresi ekle 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 yukarı ip bağlantısı bağlantı ekle eth4 adı vlan35 türü vlan kimliği 35 ip adresi ekle 192.168.35.254/ 24 dev vlan34 ifconfig vlan35 up

Oluşturulan vlanın parametrelerine ls -l / proc / net / vlan / total 0 -rw ------- 1 root root 0 Ağu 17 15:06 config -rw ----- dosyalarında bakıyoruz -- 1 kök kök 0 17 Ağustos 15:06 vlan1 -rw ------- 1 kök kök 0 17 Ağustos 15:06 vlan22

VLAN teknolojisi, ağı mantıksal segmentlere ayırmanıza olanak tanır. Bu tür her mantıksal segmentin kendi yayın alanı vardır. Tek noktaya yayın, yayın ve çok noktaya yayın trafiği yalnızca aynı VLAN'da bulunan cihazlar arasında iletilir. VLAN, genellikle bir yönlendirici veya bir L3 anahtarı üzerindeki farklı VLAN'lar arasındaki trafiğin daha sonra yönlendirilmesi ve filtrelenmesiyle birlikte IP ağ kesimlerini ayırmak için kullanılır.

Bir Cisco yönlendiricide VLAN'ların nasıl yapılandırılacağı, Cisco VLAN - bir Cisco yönlendiricide vlan yapılandırma makalesinde bulunabilir. Burada Cisco Catalyst anahtarlarında VLAN'ları yapılandırmaktan bahsedeceğiz.

Switch üzerinde VLAN'ı yapılandırmadan önce, ağda VLAN Trunking Protocol (VTP) kullanılıp kullanılmayacağına karar vermeniz gerekir. VTP kullanımı, ağdaki VLAN'ların yönetimini (oluşturulmasını, silinmesini, yeniden adlandırılmasını) kolaylaştırır. VTP durumunda, bir anahtar üzerinde merkezi olarak bir değişiklik (VLAN bilgisi) yapılabilir ve değişiklikler ağdaki diğer anahtarlara yayılacaktır. VTP kullanmıyorsanız, değişikliklerin her bir anahtarda yapılması gerekir.

VTP kendi sınırlamalarını uygular: VTP sürüm 1 ve 2 yalnızca temel VLAN aralığını (1 ila 1005) destekler, genişletilmiş aralık desteği (1006 ila 4094) yalnızca protokol sürümü 3'te mevcuttur. VTP 3 sürümü desteği Cisco IOS sürüm 12.2 ile başlar ( 52) SE ve yukarısı. VTP protokolünü başka bir yazıda kurmayı ele alacağız ancak bu yazıda VTP kullanmadığımızı varsayacağız.

Switch üzerindeki VLAN konfigürasyonu üç aşamaya ayrılabilir: VLAN oluşturma, port konfigürasyonu, doğrulama.

1. Cisco Catalyst'te VLAN Oluşturma

VLAN numaraları (VLAN Kimliği) 1 ile 4094 arasında değişebilir:

1 - 1005 temel aralık (normal aralık)

1002 - 1005 Token Ring ve FDDI VLAN için ayrılmıştır

1006 - 4094 Genişletilmiş menzil

Bir VLAN oluştururken veya değiştirirken aşağıdaki parametreleri ayarlayabilirsiniz:

VLAN kimliği	VLAN numarası
VLAN adı ( isim)	VLAN adı
VLAN türü ( medya)	VLAN türü (Ethernet, Fiber Dağıtılmış Veri Arayüzü, FDDI ağ varlık başlığı, TrBRF veya TrCRF, Token Ring, Token Ring-Net)
VLAN durumu ( durum)	VLAN durumu (etkin veya askıya alınmış)
VLAN MTU'su ( mtu)	Bağlantı katmanında iletilebilecek bir veri bloğunun maksimum boyutu
DEDİM ( dedim)	Güvenlik İlişkisi Tanımlayıcısı - güvenlik birliği tanımlayıcısı (IEEE 802.10 standardı)
Uzak SPAN ( uzak mesafe)	Uzaktan trafik izleme için bir VLAN oluşturma (Gelecekte, böyle bir VLAN'da, herhangi bir bağlantı noktasından gelen trafiği yansıtabilir ve bir dış hat üzerinden bu VLAN'dan gelen trafiğin istenen bağlantı noktasına gönderilebileceği başka bir anahtara iletebilirsiniz. bir sniffer bağlı)
TrBRF VLAN için köprü tanımlama numarası ( köprü)	TrBRF (Token Ring Bridge Relay Function) işlevi için köprü numarası tanımlayıcısı. Fonksiyonun amacı halkalardan bir köprü oluşturmaktır.
FDDI ve TrCRF VLAN için zil numarası ( yüzük)	VLAN türleri FDDI ve TrCRF (Token Ring yoğunlaştırıcı röle işlevleri) için zil numarası. TrCRF, köprüye dahil olan halkaları ifade eder.
TrCRF VLAN için üst VLAN numarası ( ebeveyn)	FDDI veya Token Ring VLAN türü için Ana VLAN numarası
TrCRF VLAN için Yayılan Ağaç Protokolü (STP) türü ( stp türü)	VLAN TrCRF türü için Yayılan Ağaç Protokolü (STP) türü
Çeviri VLAN numarası 1 ( tb-vlan1)	Bir VLAN türünden diğerine birincil eşleme için VLAN numarası
Çeviri VLAN numarası 2 ( tb-vlan2)	Bir VLAN türünden diğerine ikincil dönüşüm için VLAN numarası

Uygulamada, çoğu zaman, bir VLAN oluştururken, yalnızca VLAN Kimliği ve VLAN adı belirtilir.

Varsayılan değerler:

Bir VLAN oluşturmak için ihtiyacınız olan:

1. Ayrıcalıklı moda girin ve gerekli şifreyi girin (“komut” etkinleştirme«)

Sw1> sw1> Şifreyi etkinleştir: sw1 #

2. Genel yapılandırma moduna geçin (“komut” terminali yapılandır«)

Sw1 # sw1 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw1 (yapılandırma) #

3. “Komutuyla VLAN oluşturun vlan İD ", nerede İD - VLAN numarası (Oluşturulduktan sonra konsol, VLAN için yukarıdaki parametreleri ayarlayabileceğiniz VLAN yapılandırma modunda olacaktır)

Sw1 (yapılandırma) # sw1 (yapılandırma) #vlan 200 sw1 (yapılandırma-vlan) #

4. Oluşturulan VLAN için gerekli parametreleri ayarlayın (örneğin, ad)

Sw1 (config-vlan) # sw1 (config-vlan) #name TESTVLAN sw1 (config-vlan) #

VLAN yapılandırma modunda bir soru işareti girerseniz, bu VLAN için ayarlanabilecek parametreler görüntülenecektir:

Sw1 (config-vlan) #? VLAN yapılandırma komutları: Bu VLAN için Maksimum Tüm Rota Gezgini atlama sayısı (veya belirtilmemişse sıfır) backupcrf VLAN köprüsünün yedek CRF modu VLAN çıkışının köprüleme özellikleri Değişiklikleri uygula, revizyon numarasını ve çıkış modu medyasını uygula Medya türü VLAN mtu VLAN Maksimum İletim Birimi adı VLAN'ın Ascii adı no Bir komutu olumsuzlayın veya varsayılanlarını ayarlayın FDDI'nin Ana VLAN'ının veya Token Ring tipi VLAN'ların ebeveyn kimlik numarasını özel-vlan Özel bir VLAN uzaktan yapılandırmasını Uzak SPAN VLAN olarak yapılandırın ring FDDI veya Token Ring tipi VLAN'ların halka numarası adı geçen IEEE 802.10 SAID kapatma Kapatma VLAN anahtarlama durumu VLAN ste'nin çalışma durumu Bu VLAN için Spanning Tree Explorer atlamalarının maksimum sayısı (veya belirtilmemişse sıfır) stp VLAN'ın Spanning tree özellikleri tb -vlan1 Bu VLAN için ilk çevrimsel VLAN'ın kimlik numarası (veya yoksa sıfır) tb-vlan2 Bu VLAN için ikinci çevrimsel VLAN'ın kimlik numarası (yoksa sıfır)

5. vlan yapılandırma modundan çıkın (komut " çıkış", Veya" son"- genel yapılandırma modundan çıkın)

Sw1 (config-vlan) # sw1 (config-vlan) #end sw1 #

Yapılandırmayı “ komutuyla kaydetmeyi unutmayın. run-config startup-config'i kopyala"Ayrıcalıklı modda

Sw1 # sw1 # kopya çalışıyor-config startup-config Hedef dosya adı? Bina konfigürasyonu...

Bir VLAN'ı “ komutuyla silebilirsiniz. vlan yok İD "Genel yapılandırma modunda:

Sw1 (yapılandırma) # sw1 (yapılandırma) #vlan 200 sw1 (yapılandırma) #

2. Cisco Catalyst'te bağlantı noktalarını yapılandırma

Cisco anahtarındaki bir bağlantı noktası, modlardan birinde olabilir:

erişim- bağlantı noktası, bir terminal cihazını bağlamak için tasarlanmıştır. Yalnızca bir VLAN'a aittir. Bağlantı noktasına bağlı bir cihazdan gelen trafik, bağlantı noktasında belirtilen VLAN ile işaretlenir.

gövde- bağlantı noktası başka bir anahtara veya yönlendiriciye bağlantı için tasarlanmıştır. Bağlantı noktası etiketli trafiği iletir. Bir veya birkaç VLAN'dan gelen trafiği tek bir fiziksel kablo üzerinden iletebilir.

Cisco Catalyst'te bağlantı noktası modunu kendiniz ayarlayabilir (ana hat veya erişim) veya otomatik algılamayı ayarlayabilirsiniz. Modu otomatik olarak algılarken, bağlantı noktası komşuyla (bu bağlantı noktasına bağlı bir anahtar veya başka bir cihaz) görüşülecektir. Bağlantı noktası modu, DTP (Dinamik Bağlantı Protokolü) çerçeveleri iletilerek belirlenir. DTP protokolünün başarılı bir şekilde çalışması için arayüzlerin aynı VTP etki alanında olması (veya VTP etki alanlarından birinin hatalı olması, boş olması) gereklidir.

Bağlantı noktası modunun otomatik algılanması " komutuyla ayarlanır. switchport modu dinamik otomatik"Veya" "arayüz yapılandırma modunda.

switchport modu dinamik otomatikgövde " veya " dinamik arzu edilir«

Arayüz " olarak ayarlanmışsa switchport modu dinamik arzu edilir"- daha sonra bağlantı noktası, yalnızca komşu anahtarın bağlantı noktası olarak ayarlanmışsa ana hat moduna geçer" gövde" veya " dinamik arzu edilir" veya " dinamik Oto«

Tüm cihazlar DTP'yi desteklemez veya DTP çerçevelerini yanlış iletebilirler, bu durumda modu (erişim veya ana hat) "komutlarla zorla ayarlamak daha iyidir. anahtar kapısı modu erişimi" veya " switchport modu bagajı"Arayüz yapılandırma modunda ve komutuyla DTP çerçevelerinin iletimini devre dışı bırakın" anahtar bağlantı noktası pazarlıksız«.

Varsayılan bağlantı noktası yapılandırması:

Bağlantı noktasının otomatik algılama moduna ayarlanması.

Hareketler:

etkinleştirme«)

terminali yapılandır«)

arayüz arayüz kimliği ", nerede arayüz kimliği - arayüzün adı ve numarası, örneğin "arayüz GigabitEthernet0 / 21")

- bağlantı noktasının / arabirimin dinamik modunu ayarlayın (komut: " switchport modu dinamik otomatik" veya " switchport modu dinamik arzu edilir«)

- (isteğe bağlı) bağlantı noktası ana hat modundan erişim moduna değişirse arabirimde olacak VLAN'ı varsayılan olarak VLAN 1 olarak ayarlayın (komut: " anahtar bağlantı noktası erişim vlan'ı vlan kimliği ", nerede vlan kimliği - VLAN numarası)

- (isteğe bağlı) IEEE 802.1q ana hat için Yerel VLAN'ı varsayılan olarak Yerel VLAN 1'i ayarlayın (komut: " switchport gövde yerel vlan vlan kimliği ", nerede vlan kimliği - Yerel VLAN numarası)

- bagaja VLAN ekleme / kaldırma, varsayılan olarak tüm VLAN numaralarına izin verilir (komutlar: " switchport bagajına izin verilen vlan ekleme vlan listesi "- içinde listelenen VLAN'ları ekleyin vlan listesi, « switchport gövde izin vlan kaldırma vlan listesi "- içinde listelenen ana hat VLAN'larından kaldır vlan listesi, v vlan listesi vlan'lar boşluksuz virgülle ayrılmış olarak listelenir ve aralıklar kısa çizgi ile ayrılır, örneğin 2.20,30-40,50 ). Gerekli VLAN'ların listesini hemen ayarlayabilirsiniz (komutla: " switchport bagajına izin verilen vlan vlan listesi «)

kapanma yok«)

çıkış" veya " son»)

Sw1 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw1 (config) #interface gigabitEthernet 0/23 sw1 (config-if) #switchport modu dinamik istenen sw1 (config-if) #switchport access vlan 50 sw1 (config-if) #switchport trunk yerel vlan 100 sw1 (config-if) #switchport trunk izin verilen vlan 2,30-35,40 sw1 (config-if) #sw1 kapatma yok (config-if) #end sw1 #

Bu örnekte, komşu anahtardaki bağlantı noktası dinamik otomatik veya dinamik devre dışı veya devre moduna ayarlanmışsa, 23 numaralı bağlantı noktası devre moduna geçirilecektir. Trunk'ta sadece VLAN 2, VLAN 30 ila 35 ve VLAN 40 iletilecektir.Port trunk modunda çalışırken, etiketlenmemiş (native) gelen trafik VLAN 100'e yerleştirilecektir (etiketli). mod erişiminde bir komşu anahtar üzerinde çalışır, ardından arayüz VLAN 50'ye yerleştirilecektir.

Bağlantı noktası yapılandırmasına erişin.

Erişim portundaki VLAN, statik veya otomatik olarak ayarlanabilir. Otomatik VLAN ataması, VLAN Sorgu Protokolü (VQP) ve VLAN Yönetim İlkesi Sunucusu (VMPS) kullanılarak kaynak MAC adresini temel alır. Yalnızca Catalyst 4000, 5000 ve 6500 serisi gibi üst düzey modellerin anahtarları VMPS sunucusu görevi görebilir.Bu yazıda erişim portunun VQP aracılığıyla otomatik yapılandırmasını ele almayacağız. Burada yalnızca erişim bağlantı noktasındaki statik VLAN ataması gösterilecektir.

Gerekli VLAN'a erişim portunu etkinleştirmek için yapmanız gerekenler:

- ayrıcalıklı moda girin (komut: " etkinleştirme«)

- genel yapılandırma moduna girin (komut: " terminali yapılandır«)

- ağ arayüzü yapılandırma moduna girin (komut: " arayüz arayüz kimliği ", nerede arayüz kimliği - arayüz adı ve numarası)

- bağlantı noktası / arayüz modunu "erişim" olarak ayarlayın (komut: " anahtar kapısı modu erişimi«)

- port / arayüzde VLAN'ı ayarlayın (komut: " anahtar bağlantı noktası erişim vlan'ı vlan kimliği ", nerede vlan kimliği - VLAN numarası)

- bağlantı noktası / arabirimi etkinleştir (komut: " kapanma yok«)

- arayüz yapılandırma modundan çıkın (komut: " çıkış" veya " son»)

200. VLAN'a yerleştirilmesi gereken switch'in 22. portuna bir sunucu bağlansın.

Bağlantı noktası ayarı:

Sw1> sw1> şifreyi etkinleştir: sw1 # sw1 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw1 (config) #interface GigabitEthernet0 / 22 sw1 (config-if) #switchport mode access sw1 (config-if) #switchport access vlan 200 sw1 (config-if) #kapatma sw1 yok (config-if) #exit sw1 (config-if) ) #sw1'den çıkın #

Ana bağlantı noktasının yapılandırılması.

Ana hat modundaki bağlantı noktası ayarı, modun dinamik değil, ana hat olarak belirtilmesi gerekmesi dışında, otomatik algılama modundaki bağlantı noktası ayarıyla aynıdır.

Sw6 # sw6 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw6 (config) #interface gigabitEthernet 0/23 sw6 (config-if) #switchport mode trunk sw6 (config-if) #switchport trunk'a izin verilir vlan 2,30-35,40 sw6 (config-if) #kapanma yok sw6 (config-if) -if) #sw6'yı sonlandır #

Örnekte, 23. bağlantı noktasında bir devre kurulur, devrede yalnızca VLAN 2, 30 ila 35 arası VLAN'lara ve VLAN 40'a izin verilir.

Bir ana bağlantı noktasına bir VLAN eklemek, şu komutla gerçekleştirilir: “ switchport bagajına izin verilen vlan eklemeVLAN_NUM«

Ana bağlantı noktası 23'te mevcut olanlara vlans 100 ve 200 eklemeye bir örnek:

Sw6 # sw6 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw6 (config) #interface Gi0 / 23 sw6 (config-if) #switchport trunk izin verilir vlan add 100.200 sw6 (config-if) # sw6 (config-if) #end sw6 #

Bir VLAN'ı ana bağlantı noktasından kaldırmak şu komutla gerçekleştirilir: " switchport gövde izin vlan kaldırmaVLAN_NUM«

Ana bağlantı noktası 23'te mevcut olanlardan vlans 100 ve 200'ü silmeye bir örnek:

Sw6 # sw6 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw6 (config) #interface Gi0 / 23 sw6 (config-if) #switchport trunk izin verilir vlan kaldır 100.200 sw6 (config-if) # sw6 (config-if) #end sw6 #

Bazı cisco anahtarları, VLAN'larla çalışmak için iki protokolü, IEEE 802.1q ve ISL'yi destekler. ISL eskidir ve birçok modern anahtarda desteklenmez. Bu nedenle, IEEE 802.1q protokolünün kullanılması tercih edilir.

Bu tür anahtarlarda, bağlantı noktasını ana hat modunda yapılandırmadan önce dot1q kapsülleme türünü seçmeniz gerekir (komut: " switchport gövde kapsülleme dot1q"Arayüz yapılandırma modunda)

3. VLAN ayarını kontrol etme

VTP protokolü hakkındaki bilgileri görüntüleyin: " vtp durumunu göster«

Anahtardaki tüm VLAN'lar hakkındaki bilgileri göster: " vlan'ı göster«

Belirli bir VLAN hakkındaki bilgileri görüntüleyin ve hangi bağlantı noktalarında olduğunu öğrenin: " vlan kimliğini göster vlan kimliği «

Bağlantı noktası çalışma modunu, yerel vlan'ı, erişim vlan'ını ve diğerlerini görüntüleyin: " arayüzleri göster arayüz kimliği anahtar kapısı«

Bazen switch üzerindeki VLAN için Layer 3 interface oluşturmak gerekebilir. Örneğin, farklı VLAN'lar arasında IP trafiğini yönlendirmek ve filtrelemek için (hem anahtar modelinin kendisi hem de IOS sürümü tarafından L3 seviyesi için destek olmalıdır). Veya bu anahtarı özel bir VLAN'da yönetmek için bir arayüz oluşturmanız yeterlidir.

VLAN için ağ arabirimi, genel yapılandırma modunda şu komutla oluşturulur: “ arayüz vlan kimliği ", nerede vlan kimliği VLAN numarasıdır.

VLAN 200 için bir L3 arabirimi oluşturma örneği.

VLAN(İngilizce Sanal Yerel Alan Ağı'ndan) - fiziksel bir yerel alan ağı ile aynı özelliklere sahip bir mantıksal ("sanal") yerel bilgisayar ağı.

Basitçe söylemek gerekirse, bir VLAN, fiziksel olanın içindeki mantıksal bir kanaldır.

Bu teknoloji, iki zıt işlemi gerçekleştirmenizi sağlar. görevler:

1) fiziksel olarak farklı ağ anahtarlarına (örneğin, coğrafi olarak uzaktan yerleştirilmiş) bağlanabilmelerine rağmen, cihazları bağlantı düzeyinde gruplayın (yani aynı VLAN'da bulunan cihazlar);

2) aynı anahtara bağlı cihazları (farklı VLAN'larda bulunan) sınırlandırın.

Başka bir deyişle, VLAN'lar ayrı yayın alanları oluşturmanıza izin verir. Sağlayıcı bir yana, herhangi bir büyük işletmenin ağı, VLAN'ların kullanımı olmadan çalışamaz.

Bu teknolojinin kullanımı bize aşağıdaki avantajları sağlar:

• cihazların (örneğin sunucuların) işlevselliğe göre gruplandırılması;
• ağdaki yayın trafiği miktarını azaltmak, çünkü her VLAN ayrı bir yayın alanıdır;
• artan ağ güvenliği ve yönetilebilirlik (ilk iki avantajın bir sonucu olarak).

sana basit bir örnek vereceğim: Diyelim ki, anahtara dahil olan ve sırayla yönlendiriciye bağlı olan ana bilgisayarlar var (Şekil 1). Tek bir anahtarla birbirine bağlanan ve tek bir yönlendirici aracılığıyla İnternet'e erişen iki yerel alan ağımız olduğunu varsayalım. Ağları VLAN'lara göre ayırt etmezseniz, ilk olarak, bir ağdaki ağ fırtınası ikinci ağı etkileyecek ve ikinci olarak, her ağdan başka bir ağdan gelen trafiği "yakalamak" mümkün olacaktır. Şimdi, ağı VLAN'lara böldükten sonra, aslında bir yönlendirici ile bağlanan iki ayrı ağımız var, yani L3 (ağ katmanı). Tüm trafik yönlendirici aracılığıyla bir ağdan diğerine geçer ve erişim artık yalnızca L3 düzeyinde çalışır ve bu da yöneticinin işini büyük ölçüde kolaylaştırır.

etiketleme

etiketleme- trafik çerçevelerine bir VLAN etiketi (diğer adıyla etiket) ekleme işlemi.

Tipik olarak, son ana bilgisayarlar trafiği etiketlemez (örneğin, kullanıcıların bilgisayarları). Bu, ağdaki anahtarlar tarafından yapılır. Üstelik, son ana bilgisayarlar, falan filan bir VLAN'da olduklarından şüphelenmezler bile. Açıkça söylemek gerekirse, farklı VLAN'lardaki trafik farklı değildir.

Farklı VLAN'ların trafiği anahtar bağlantı noktasından gelebilirse, anahtarın bir şekilde bunu ayırt etmesi gerekir. Bunu yapmak için, her çerçeve bir tür etiketle işaretlenmelidir.

En yaygın teknoloji IEEE 802.1Q spesifikasyonunda açıklanmıştır. Ayrıca başka tescilli protokoller (spesifikasyonlar) da vardır.

802.1q

802.1q Trafik etiketlemeyi tanımlayan açık bir standarttır.

Bunu yapmak için çerçeve gövdesine (Şekil 2) VLAN üyeliği hakkında bilgi içeren bir etiket yerleştirilir. Çünkü etiket çerçevenin başlığına değil gövdeye yerleştirilir, ardından VLAN'ları desteklemeyen cihazlar trafiği şeffaf bir şekilde, yani VLAN'lara bağlanmasını hesaba katmadan geçirir.

Etiketin (etiket) boyutu sadece 4 bayttır. 4 alandan oluşur (Şekil 3):

• Etiket Protokolü Tanımlayıcısı(TPID, etiketleme protokolü tanımlayıcısı). Alan boyutu 16 bittir. Etiketleme için hangi protokolün kullanıldığını gösterir. 802.1Q için değer 0x8100'dür.
• Öncelik(bir öncelik). Alan boyutu 3 bittir. İletilen trafiğin önceliğini ayarlamak için IEEE 802.1p standardı tarafından kullanılır.
• Kanonik Format Göstergesi(CFI, Kanonik Biçim Göstergesi). Alan boyutu 1 bittir. MAC adresinin biçimini belirtir. 0 kurallı, 1 kurallı değil. CFI, Ethernet ve Token Ring ağları arasında birlikte çalışabilirlik için kullanılır.
• VLAN Tanımlayıcı(VID, VLAN Kimliği). Alan boyutu 12 bittir. Çerçevenin hangi VLAN'a ait olduğunu gösterir. Olası değerler aralığı 0 ila 4095 arasındadır.

Trafik etiketlenirse veya bunun tersi olursa - etiket kaldırılır, ardından çerçeve sağlama toplamı yeniden hesaplanır (CRC).

Yerel VLAN

802.1q standardı ayrıca etiketlenmemiş trafiğin VLAN atamasını sağlar, yani. etiketlenmedi. Bu VLAN, yerel VLAN olarak adlandırılır, varsayılan olarak VLAN 1'dir. Bu, gerçekte etiketlenmemiş olan etiketlenmiş trafiği göz önünde bulundurmanıza olanak tanır.

802.1 reklam

802.1 reklam bir çift etiketi (Şekil 4) tanımlayan açık bir standarttır (802.1q'ye benzer). Ayrıca şöyle bilinir Q-in-Q, veya Yığılmış VLAN'lar... Önceki standarttan temel fark, iki VLAN'ın varlığıdır - harici ve dahili, ağı 4095 VLAN'a değil, 4095x4095'e bölmenize izin verir.

Ayrıca, iki etiketin varlığı, daha esnek ve karmaşık operatör ağlarını düzenlemenize olanak tanır. Ayrıca, bir operatörün iki farklı şehirdeki iki farklı müşteri için bir L2 bağlantısı düzenlemesi gerektiği, ancak müşterilerin aynı etiketle trafik gönderdiği durumlar da vardır (Şekil 5).

İstemci-1 ve istemci-2, tek bir sağlayıcı ağının bulunduğu A ve B şehirlerinde şubelere sahiptir. Her iki müşterinin de şubelerini iki farklı şehirde bağlaması gerekiyor. Ayrıca her müşteri kendi ihtiyacı için trafiği 1051 VLAN ile etiketler. Buna göre, sağlayıcı her iki istemcinin trafiğini tek bir VLAN'da kendisi üzerinden geçirirse, bir istemcideki arıza ikinci istemciyi etkileyebilir. Ayrıca, bir istemcinin trafiği başka bir istemci tarafından ele geçirilebilir. Müşteri trafiğini izole etmek için bir operatörün Q-in-Q kullanması en kolay yoldur. Her bir bireysel istemciye ek bir etiket ekleyerek (örneğin, 3083'ten istemci-1'e ve 3082'den istemci-2'ye), operatör istemcileri birbirinden yalıtır ve istemcilerin etiketi değiştirmesi gerekmez.

bağlantı noktası durumu

Switch portları, VLAN'lar ile gerçekleştirilen işleme göre iki tipe ayrılır:

• etiketli(o ana bağlantı noktası, gövde, cisco terminolojisinde) - yalnızca belirli bir etiketle trafiğe izin veren bir bağlantı noktası;
• etiketsiz(o aksesuar, erişim, cisco terminolojisinde) - bu bağlantı noktasına girerken, etiketlenmemiş trafik bir etikete "sarılır".

Belirli bir VLAN'a bağlantı noktası atamak için iki yaklaşım vardır:

• statik atama- VLAN bağlantı noktası yöneticiye ait olduğunda;
• dinamik atama- 802.1X gibi özel standartlarda açıklanan prosedürler kullanılarak anahtarın çalışması sırasında bir portun VLAN üyeliği belirlendiğinde.

Anahtarlama tablosu

VLAN'ları kullanırken anahtarlama tablosu aşağıdaki gibidir (aşağıda VLAN'ları desteklemeyen bir anahtar için anahtarlama tablosu verilmiştir):

Liman	Mac Adresi
1	A
2	B
3	C

Anahtar VLAN'ları destekliyorsa, anahtar tablosu şöyle görünecektir:

Liman	VLAN	Mac Adresi
1	345	A
2	879	B
3	varsayılan	C

varsayılanın yerel vlan olduğu yer.

Protokoller, VLAN ile çalışıyorum

GVRP(cisco için analogu - VTP), çalışması mevcut VLAN'lar hakkında bilgi alışverişi yapmak olan bağlantı düzeyinde çalışan bir protokoldür.

MSTP(PVSTP, cisco için PVSTP ++), çeşitli VLAN'ları dikkate alarak bir "ağaç" oluşturmaya izin veren STP protokolünün bir modifikasyonu olan bir protokoldür.

LLDP(CDP, cisco için), genel olarak ağ hakkında açıklayıcı bilgi alışverişinde bulunmak için kullanılan bir protokoldür, VLAN'lar hakkındaki bilgilere ek olarak, diğer ayarlar hakkında da bilgi dağıtır.

VLAN organizasyonu, sanal bir özel ağı veri hattına alt ağ bazında bağlama yeteneği sağlayarak fiziksel ağ (LAN) fikrini soyutlar. Bir veya daha fazla ağ vlan anahtarı, birden çok bağımsız sanal ağı destekleyebilir. Böylece veri katmanı alt ağlarının farklı uygulamalarını oluşturmayı mümkün kılar. Genellikle ağ segmentasyonu, yayın alanını kısıtlama ihtiyacı ile ilişkilidir. Tipik olarak, bir etki alanı, orta ila büyük ağlar için bir veya daha fazla Ethernet anahtarına hizmet eder.

VLAN'lar, ağ yöneticilerinin kurumsal sistemlerin işlevsellik ve güvenlik gereksinimlerine uygun olarak tek bir anahtarlamalı ağı mantıksal segmentlere ayırmasını kolaylaştırır. Aynı zamanda, yeni kabloların döşenmesine ve yeniden bağlanmasına veya mevcut ağ altyapısında önemli değişikliklere gerek yoktur. Yeni bir iş planı düzenleme sürecinin tamamı, mantıklı bir düzeyde - ağ ekipmanı kurma düzeyinde - gerçekleşir. Anahtarlardaki bağlantı noktaları (arayüzler) bir veya daha fazla sanal ağa atanabilir. Bu, sistemi mantıksal gruplara ayırmanıza izin verir. Belirli bir hizmet veya kaynağın hangi departmanlara ait olduğuna bağlı olarak, bireysel gruplardaki hangi sistemlerin birbirleriyle iletişim kurmasına izin verildiğine göre kurallar belirlenir. Grup yapılandırmaları basit bir fikirden (aynı sanal ağdaki bilgisayarlar o segmentteki bir yazıcıyı görebilir, ancak segment dışındaki bilgisayarlar göremez) nispeten karmaşık modellere kadar değişebilir. Örneğin, perakende bankacılık bölümlerindeki bilgisayarlar, perakende bankacılık bölümlerindeki bilgisayarlarla iletişim kuramaz.

Her mantıksal VLAN segmenti, aynı ağ kimliğiyle yapılandırılmış anahtar bağlantı noktalarına bağlı tüm ana bilgisayarlara veri hattı erişimi sağlar. VLAN etiketi, Ethernet çerçeve başlığında her anahtarlama alanı için 4096'ya kadar VLAN desteği sağlayan 12 bitlik bir alandır. VLAN etiketleme, IEEE (Elektrik ve Elektronik Mühendisleri Enstitüsü) 802.1Q'da standartlaştırılmıştır ve genellikle Dot1Q olarak anılır.

Yönlendirici, fiziksel yerel ağları bağlamak için kullanılır

VPN'lerin ortaya çıkmasından önce, LAN'ı fiziksel anahtarlara göre bölümlere ayırmamız gerekiyordu.

Düzenlemeniz gereken daha fazla segment, daha fazla anahtar satın almanız gerekir. Yerel ağlar arasındaki trafiği iletmek için bir yönlendirici kullanılır.

2 ayrı ofisiniz varsa durum daha da karmaşıklaşıyor. Ve ağ yukarıdaki şemaya göre yapılandırılmışsa, ofisler arasında bir değil iki ayrı kabloya ihtiyacınız olacaktır. Konumların uzaklığına bağlı olarak bu güzergahların döşenmesi ciddi maliyetlere neden olabilir. Şimdi 3 veya daha fazla ofisiniz olduğunu ve örneğin şirkette 5 departman olduğunu hayal edin, 15 kablo güzergahı döşemeniz gerektiği ortaya çıktı - iş bunu yapmayacak.

Yukarıdaki sorunu çözmek için bir çözüme ihtiyacımız var. Esnek olmadığı, daha pahalı olduğu ve hayatınızı zorlaştırdığı için artık fiziksel segmentasyona güvenemiyoruz.Çözümün adı Virtual LAN - VLAN.

Sanal özel VLAN'ları kullanarak, bağlantı noktalarına ve hatta MAC adresi veya protokollerine dayalı olarak ağ segmentasyonu için daha fazla seçeneğimiz var.

VPN'ler nedir ve nasıl çalışırlar?

VLAN ağı kavramı, telekomünikasyonun ilk günlerine kadar uzanır. Switch üzerinde bir segment (VLAN10 ve VLAN20) yapılandırıldığında, çerçeveyi trunk'a (VLAN trunk) göndermeden hemen önce bir VLAN etiketi ekliyoruz. Bu etiket, her çerçevenin sanal ağın hangi kesimine ait olduğunu gösterir. Bu nedenle, hedef Ethernet anahtarına bir çerçeve geldiğinde, mesajı hangi vlan'a iletmesi gerektiğini bilir.

Trunk bağlantısı nasıl çalışır?

• OSI ağ modelinin 2. katmanındaki giden çerçevelerde, ana bağlantı noktasından gönderildiğinde başlık değiştirilir.
• Anahtar, Kaynak MAC ve EtherType alanları arasına bir 802.1Q VLAN etiketi ekler

Tüm bu işlemlerin OSI modelinin 2. katmanında (veri aktarım katmanı) gerçekleştiğine dikkat edin. Ağ katmanı bu durumda yer almaz.

Farklı VLAN'lar arasında trafik nasıl değiştirilir?

Soru şu soruya benzer: trafik yerel Ethernet ağı içinde nasıl iletilir? Ayrılmış Katman 2 Yerel Alan Ağı (LAN) segmentleri, bir yönlendirici ile ilişkilendirilmedikçe birbirlerine veri iletemezler. Yönlendirici, çerçeveleri diğer segmentlere iletmekten sorumludur. Yönlendirici bir Katman 3 cihazı olduğundan, bu nedenle tüm cihazların IP adresi gibi bir Katman 3 başlığı kullanması gerekir.

Her şey yönlendiricinin özelliklerine bağlıdır. Yönlendirici VLAN'ı desteklemiyorsa, arayüzlerine bağlanan erişim bağlantı noktalarına ihtiyacımız var.

Yönlendirici, ana hat modunu ve VLAN etiketlemeyi desteklemiyor

• 1 VLAN = 1 ağ segmenti = 1 yayın alanı
• VLAN segmentleri arasında paketleri iletmek için bir yönlendiriciye ihtiyacımız var
• Yönlendiricinin IP adresi varsayılan ağ geçidi olur