Kullanılabilirliği biraz artırabilecek başka bir küçük araç: banner. Bu, tsiska'nın cihaza yetki vermeden önce göstereceği reklamdır.
Değiştir (yapılandırma) #banner motd q METİN mesajını girin. "q" karakteriyle bitirin. Sadece pankarttır. q Anahtar (yapılandırma) #
Motd'den sonra, satırın bittiğine dair bir sinyal görevi görecek bir karakter belirlersiniz. Bu örnekte, “q” koyduk.
Banner'ın içeriği hakkında. Böyle bir efsane var: Bir hacker ağa girdi, orada bir şey kırdı/çaldı, yakalandı ve mahkemede beraat edip serbest bırakıldı. Niye ya? Ancak sınır yönlendiricide (İnternet ve iç ağ arasında) afişte “Hoş Geldiniz” kelimesi yazılmıştır. “Eh, sorduklarından beri içeri girdim”)). Bu nedenle, başlıkta "Erişim reddedildi!" Gibi bir şey yazmak iyi bir uygulama olarak kabul edilir.
Bilginizi nokta nokta organize etmek için yapmanız gerekenlere bir göz atalım:
1) Ana bilgisayar adını yapılandırın. Bu, gelecekte bulunduğunuz yerde hızlı bir şekilde gezinmeniz için gerçek bir ağda size yardımcı olacaktır.
Anahtar (yapılandırma) #hostname HOSTNAME
2) Tüm vlan'ları oluşturun ve onlara bir ad verin
Anahtar (yapılandırma) #vlan VLAN-NUMARASI Anahtar (config-vlan) #name NAME-OF-VLAN
3) Tüm erişim bağlantı noktalarını yapılandırın ve onlara bir ad verin
Anahtar (config-if) #description ARAYÜZ AÇIKLAMASI Anahtar (config-if) #switchport modu erişimi Anahtar (config-if) #switchport erişimi vlan VLAN-NUMBER
Arayüzleri gruplar halinde yapılandırmak bazen uygun olabilir:
Msk-arbat-asw3 (yapılandırma) #interface aralığı fastEthernet 0/6 - 10 msk-arbat-asw3 (eğer-aralık yapılandırma) #description FEO msk-arbat-asw3 (eğer yapılandırma-aralığı) #switchport modu erişim msk- arbat-asw3 (eğer yapılandırma aralığı) #switchport erişim vlan 102
4) Tüm ana bağlantı noktalarını yapılandırın ve onlara bir ad verin:
Anahtar (config-if) #description ARAYÜZ AÇIKLAMASI Anahtar (config-if) #switchport modu devresi Anahtar (config-if) #switchport devresine izin verilir vlan VLAN-NUMARALARI
5) Kaydetmeyi unutmayın:
Değiştir # kopya çalışıyor-config startup-config
Toplam: Neyi başardık? Bir alt ağdaki tüm cihazlar birbirini görebilir, ancak diğerindeki cihazları göremez. Bir sonraki bölümde, statik yönlendirme ve L3 anahtarlarının yanı sıra bu sorunu da ele alacağız.
Genel olarak, bu ders bu konuda tamamlanabilir. Videoda vlan'ların nasıl yapılandırıldığını tekrar görebilirsiniz. Bir ev ödevi olarak, sunucu anahtarlarında vlan'ları yapılandırın.
Buradan tüm cihazların yapılandırmasını indirebilirsiniz:
Lift-me-Up_Configuration.zip
Ve RT projemiz:
Lift-me-UP_v2-VLANs.pkt
not
Önemli bir ekleme: Bir önceki bölümde native vlan'dan bahsederken sizi biraz yanlış bilgilendirdik. Cisco ekipmanında böyle bir çalışma planı imkansızdır.
101. vlanın etiketsiz çerçevelerini msk-rubl-asw1 anahtarına iletmeyi ve ilk önce onları orada almayı önerdiğimizi hatırlayın.
Gerçek şu ki, yukarıda bahsettiğimiz gibi, cisco açısından, anahtarların her iki tarafında aynı vlan numarasının yapılandırılması gerekir, aksi takdirde STP protokolü ile ilgili sorunlar başlar ve yanlış yapılandırma hakkında uyarılar görülebilir. kütükler. Bu nedenle 101. vlanı olağan şekilde cihaza aktarıyoruz, çerçeveler etiketlenecek ve buna göre 101. vlan'ın da msk-rubl-asw1 üzerinde oluşturulması gerekiyor.
Bir kez daha, tüm arzumuzla tüm nüansları ve incelikleri kapsayamayacağımızı, bu nedenle kendimize böyle bir görev vermediğimizi belirtmek isteriz. MAC adresinin nasıl oluşturulduğu, Ether Type alan değerleri veya çerçevenin sonundaki CRC'nin neden gerekli olduğu gibi şeyleri kendiniz öğrenmelisiniz. Etiket ekle
VLAN teknolojisi, ağı mantıksal segmentlere ayırmanıza olanak tanır. Bu tür her mantıksal segmentin kendi yayın alanı vardır. Tek noktaya yayın, yayın ve çok noktaya yayın trafiği yalnızca aynı VLAN'da bulunan cihazlar arasında iletilir. VLAN, genellikle bir yönlendirici veya bir L3 anahtarı üzerindeki farklı VLAN'lar arasındaki trafiğin daha sonra yönlendirilmesi ve filtrelenmesiyle birlikte IP ağ kesimlerini ayırmak için kullanılır.
Bir Cisco yönlendiricide VLAN'ların nasıl yapılandırılacağı, Cisco VLAN - bir Cisco yönlendiricide vlan yapılandırma makalesinde bulunabilir. Burada Cisco Catalyst anahtarlarında VLAN'ların yapılandırılması hakkında konuşacağız.
Switch üzerinde VLAN'ları yapılandırmadan önce, ağda VLAN Trunking Protocol (VTP) kullanılıp kullanılmayacağına karar vermeniz gerekir. VTP kullanmak, ağdaki VLAN'ları yönetmeyi (oluşturmayı, silmeyi, yeniden adlandırmayı) kolaylaştırır. VTP durumunda, bir anahtar üzerinde merkezi olarak bir değişiklik (VLAN bilgisi) yapılabilir ve değişiklikler ağdaki diğer anahtarlara yayılacaktır. VTP kullanmıyorsanız, değişiklikler her bir anahtarda yapılmalıdır.
VTP kendi sınırlamalarını getirir: VTP sürüm 1 ve 2 yalnızca temel VLAN aralığını (1 ila 1005) destekler, genişletilmiş aralık desteği (1006 ila 4094) yalnızca protokol sürümü 3'te mevcuttur. VTP 3 sürümü desteği Cisco IOS sürüm 12.2 ile başlar ( 52) SE ve yukarısı. VTP protokolünü başka bir yazıda kurmayı ele alacağız ancak bu yazıda VTP kullanmadığımızı varsayacağız.
Switch üzerindeki VLAN konfigürasyonu üç aşamaya ayrılabilir: VLAN oluşturma, port konfigürasyonu, doğrulama.
1. Cisco Catalyst'te VLAN Oluşturma
VLAN numaraları (VLAN Kimliği) 1 ile 4094 arasında değişebilir:
1 - 1005 temel aralık (normal aralık)
1002 - 1005 Token Ring ve FDDI VLAN için ayrılmıştır
1006 - 4094 Genişletilmiş menzil
Bir VLAN oluştururken veya değiştirirken aşağıdaki parametreleri ayarlayabilirsiniz:
| VLAN kimliği | VLAN numarası |
| VLAN adı ( isim) | VLAN adı |
| VLAN türü ( medya) | VLAN türü (Ethernet, Fiber Dağıtılmış Veri Arayüzü, FDDI ağ varlık başlığı, TrBRF veya TrCRF, Token Ring, Token Ring-Net) |
| VLAN durumu ( durum) | VLAN durumu (etkin veya askıya alınmış) |
| VLAN MTU'su ( mtu) | Bağlantı katmanında iletilebilecek bir veri bloğunun maksimum boyutu |
| DEDİM ( dedim) | Güvenlik İlişkisi Tanımlayıcısı - güvenlik birliği tanımlayıcısı (IEEE 802.10 standardı) |
| Uzak SPAN ( uzak açıklık) | Trafiğin uzaktan izlenmesi için bir VLAN oluşturma (Gelecekte, böyle bir VLAN'da, herhangi bir bağlantı noktasından gelen trafiği yansıtabilir ve bir dış hat üzerinden bu VLAN'dan gelen trafiğin istenen bağlantı noktasına gönderilebileceği başka bir anahtara aktarabilirsiniz. bir sniffer bağlı) |
| TrBRF VLAN için köprü tanımlama numarası ( köprü) | TrBRF (Token Ring Bridge Relay Function) için köprü numarası tanımlayıcısı. Fonksiyonun amacı bir halka köprüsü oluşturmaktır. |
| FDDI ve TrCRF VLAN için zil numarası ( yüzük) | VLAN türleri FDDI ve TrCRF (Token Ring yoğunlaştırıcı röle işlevleri) için zil numarası. TrCRF, köprüye dahil olan halkaları ifade eder. |
| TrCRF VLAN için üst VLAN numarası ( ebeveyn) | FDDI veya Token Ring VLAN türü için Ana VLAN numarası |
| TrCRF VLAN için Yayılan Ağaç Protokolü (STP) türü ( stp türü) | VLAN TrCRF türü için Yayılan Ağaç Protokolü (STP) türü |
| Çeviri VLAN numarası 1 ( tb-vlan1) | Bir VLAN türünden diğerine birincil eşleme için VLAN numarası |
| Çeviri VLAN numarası 2 ( tb-vlan2) | Bir VLAN türünden diğerine ikincil dönüşüm için VLAN numarası |
Uygulamada, çoğu zaman, bir VLAN oluştururken, yalnızca VLAN Kimliği ve VLAN adı belirtilir.
Varsayılan değerler:
Bir VLAN oluşturmak için ihtiyacınız olan:
1. Ayrıcalıklı moda girin ve gerekli şifreyi girin ("komut" etkinleştirme«)
Sw1> sw1> Şifreyi etkinleştir: sw1 #
2. Genel yapılandırma moduna geçin (komut “ terminali yapılandır«)
Sw1 # sw1 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw1 (yapılandırma) #
3. “Komutuyla VLAN oluşturun vlan İD ", nerede İD - VLAN numarası (Oluşturulduktan sonra konsol, VLAN için yukarıdaki parametreleri ayarlayabileceğiniz VLAN yapılandırma modunda olacaktır)
Sw1 (yapılandırma) # sw1 (yapılandırma) #vlan 200 sw1 (yapılandırma-vlan) #
4. Oluşturulan VLAN için gerekli parametreleri ayarlayın (örneğin, ad)
Sw1 (config-vlan) # sw1 (config-vlan) #name TESTVLAN sw1 (config-vlan) #
VLAN yapılandırma modunda bir soru işareti girerseniz, bu VLAN için ayarlanabilecek parametreler görüntülenecektir:
Sw1 (config-vlan) #? VLAN yapılandırma komutları: Bu VLAN için Maksimum Tüm Rota Gezgini atlama sayısı (veya belirtilmemişse sıfır) backupcrf VLAN köprüsünün yedek CRF modu VLAN çıkışının köprüleme özellikleri Değişiklikleri uygula, revizyon numarasını ve çıkış modu medyasını uygula Medya türü VLAN mtu VLAN Maksimum İletim Birimi adı VLAN'ın Ascii adı hayır Bir komutu olumsuzlayın veya varsayılanlarını ayarlayın FDDI'nin Ana VLAN'ının veya Token Ring tipi VLAN'ların ebeveyn kimlik numarasını özel-vlan Özel bir VLAN uzaktan yapılandırmasını Uzak SPAN VLAN olarak yapılandırın ring FDDI veya Token Ring tipi VLAN'ların halka numarası adı geçen IEEE 802.10 SAID kapatma Kapatma VLAN anahtarlama durumu VLAN ste'nin çalışma durumu Bu VLAN için Spanning Tree Explorer atlamalarının maksimum sayısı (veya belirtilmemişse sıfır) stp VLAN'ın Spanning tree özellikleri tb -vlan1 Bu VLAN için ilk çevrimsel VLAN'ın kimlik numarası (veya yoksa sıfır) tb-vlan2 Bu VLAN için ikinci çevrimsel VLAN'ın kimlik numarası (yoksa sıfır)
5. vlan yapılandırma modundan çıkın (komut " çıkış", Veya" son"- genel yapılandırma modundan çıkın)
Sw1 (config-vlan) # sw1 (config-vlan) #end sw1 #
Yapılandırmayı “ komutuyla kaydetmeyi unutmayın. çalışan-config startup-config'i kopyala"Ayrıcalıklı modda
Sw1 # sw1 # kopya çalışıyor-config startup-config Hedef dosya adı? Bina konfigürasyonu...
Bir VLAN'ı “ komutuyla silebilirsiniz. vlan yok İD "Genel yapılandırma modunda:
Sw1 (yapılandırma) # sw1 (yapılandırma) #vlan 200 sw1 (yapılandırma) #
2. Cisco Catalyst'te bağlantı noktalarını yapılandırma
Cisco anahtarındaki bir bağlantı noktası aşağıdaki modlardan birinde olabilir:
erişim- bağlantı noktası, bir terminal cihazını bağlamak için tasarlanmıştır. Yalnızca bir VLAN'a aittir. Porta bağlı cihazdan gelen trafik, port üzerinde belirtilen VLAN ile işaretlenir.
gövde- bağlantı noktası başka bir anahtara veya yönlendiriciye bağlantı için tasarlanmıştır. Bağlantı noktası etiketli trafiği iletir. Bir veya birkaç VLAN'dan gelen trafiği tek bir fiziksel kablo üzerinden iletebilir.
Cisco Catalyst'te bağlantı noktası modunu kendiniz ayarlayabilir (ana hat veya erişim) veya otomatik algılamayı ayarlayabilirsiniz. Mod otomatik olarak algılandığında, bağlantı noktası komşuyla (bu bağlantı noktasına bağlı bir anahtar veya başka bir cihaz) eşleştirilecektir. Bağlantı noktası modu, DTP (Dinamik Bağlantı Protokolü) çerçeveleri iletilerek belirlenir. DTP protokolünün başarılı bir şekilde çalışması için arayüzlerin aynı VTP domaininde olması (veya VTP domainlerinden birinin boş olması, hatalı olması) gereklidir.
Bağlantı noktası modunun otomatik algılanması " komutuyla ayarlanır. switchport modu dinamik otomatik"Veya" "arayüz yapılandırma modunda.
switchport modu dinamik otomatikgövde " veya " dinamik arzu edilen«
Arayüz " olarak ayarlanmışsa switchport modu dinamik arzu edilir"- daha sonra bağlantı noktası, yalnızca komşu anahtarın bağlantı noktası olarak ayarlanmışsa ana hat moduna geçer" gövde" veya " dinamik arzu edilen" veya " dinamik Oto«
Tüm cihazlar DTP'yi desteklemez veya DTP çerçevelerini yanlış iletebilirler, bu durumda modu (erişim veya ana hat) zorla “ kullanarak ayarlamak daha iyidir. anahtar kapısı modu erişimi" veya " switchport modu bagajı"Arayüz yapılandırma modunda ve komutuyla DTP çerçevelerinin iletimini devre dışı bırakın" anahtar bağlantı noktası pazarlıksız«.
Varsayılan bağlantı noktası yapılandırması:
Bağlantı noktasını otomatik algılama moduna ayarlama.
Hareketler:
etkinleştirme«)
terminali yapılandır«)
arayüz arayüz kimliği ", nerede arayüz kimliği - arayüzün adı ve numarası, örneğin "arayüz GigabitEthernet0 / 21")
- bağlantı noktasının / arabirimin dinamik modunu ayarlayın (komut: " switchport modu dinamik otomatik" veya " switchport modu dinamik arzu edilir«)
- (isteğe bağlı) bağlantı noktası ana hat modundan erişim moduna geçerse arabirimde olacak VLAN'ı varsayılan olarak VLAN 1 olarak ayarlayın (komut: " anahtar bağlantı noktası erişim vlan'ı vlan kimliği ", nerede vlan kimliği - VLAN numarası)
- (isteğe bağlı) IEEE 802.1q ana hat için Yerel VLAN'ı varsayılan olarak Yerel VLAN 1'i ayarlayın (komut: " switchport gövde yerel vlan vlan kimliği ", nerede vlan kimliği - Yerel VLAN numarası)
- bagaja VLAN ekleme / kaldırma, varsayılan olarak tüm VLAN numaralarına izin verilir (komutlar: “ switchport bagajına izin verilen vlan ekleme vlan listesi "- içinde listelenen VLAN'ları ekleyin vlan listesi, « switchport gövde izin vlan kaldırma vlan listesi "- içinde listelenen ana VLAN'lardan kaldır vlan listesi, v vlan listesi vlan'lar boşluksuz virgülle ayrılmış olarak listelenir ve aralıklar kısa çizgi ile ayrılır, örneğin 2.20,30-40,50 ). Gerekli VLAN'ların listesini hemen ayarlayabilirsiniz (komutla: “ switchport bagajına izin verilen vlan vlan listesi «)
kapanma yok«)
çıkış" veya " son»)
Sw1 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw1 (config) #interface gigabitEthernet 0/23 sw1 (config-if) #switchport modu dinamik istenen sw1 (config-if) #switchport access vlan 50 sw1 (config-if) #switchport trunk yerel vlan 100 sw1 (config-if) #switchport trunk izin verilen vlan 2,30-35,40 sw1 (config-if) #sw1 kapatma yok (config-if) #end sw1 #
Bu örnekte, komşu anahtardaki bağlantı noktası dinamik otomatik veya dinamik devre dışı veya devre moduna ayarlanmışsa, 23 numaralı bağlantı noktası devre moduna geçirilecektir. Trunk'ta sadece VLAN 2, VLAN 30 ila 35 ve VLAN 40 iletilecektir.Port trunk modunda çalışırken, etiketlenmemiş (native) gelen trafik VLAN 100'e yerleştirilecektir (etiketli). mod erişiminde bir komşu anahtar üzerinde çalışıyorsa, arayüz VLAN 50'ye yerleştirilecektir.
Bağlantı noktası yapılandırmasına erişin.
Erişim portundaki VLAN, statik veya otomatik olarak ayarlanabilir. Otomatik VLAN ataması, VLAN Sorgu Protokolü (VQP) ve VLAN Yönetim İlkesi Sunucusu (VMPS) kullanılarak kaynak MAC adresini temel alır. Sadece Catalyst 4000, 5000 ve 6500 serisi gibi daha eski modellerin anahtarları VMPS sunucusu görevi görebilir.Bu yazıda erişim portunun VQP aracılığıyla otomatik konfigürasyonunu ele almayacağız. Burada yalnızca erişim bağlantı noktasındaki statik VLAN ataması gösterilecektir.
Gerekli VLAN'a erişim portunu etkinleştirmek için yapmanız gerekenler:
- ayrıcalıklı moda girin (komut: " etkinleştirme«)
- genel yapılandırma moduna girin (komut: " terminali yapılandır«)
- ağ arayüzü yapılandırma moduna girin (komut: “ arayüz arayüz kimliği ", nerede arayüz kimliği - arayüz adı ve numarası)
- bağlantı noktası / arayüz modunu "erişim" olarak ayarlayın (komut: " anahtar kapısı modu erişimi«)
- port / arayüzde VLAN'ı ayarlayın (komut: “ anahtar bağlantı noktası erişim vlan'ı vlan kimliği ", nerede vlan kimliği - VLAN numarası)
- bağlantı noktasını / arayüzü etkinleştir (komut: " kapanma yok«)
- arayüz yapılandırma modundan çıkın (komut: " çıkış" veya " son»)
200. VLAN'a yerleştirilmesi gereken switch'in 22. portuna bir sunucu bağlanmasına izin verin.
Bağlantı noktası ayarı:
Sw1> sw1> şifreyi etkinleştir: sw1 # sw1 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw1 (config) #interface GigabitEthernet0 / 22 sw1 (config-if) #switchport modu erişim sw1 (config-if) #switchport access vlan 200 sw1 (config-if) #kapatma yok sw1 (config-if) #exit sw1 (config-if) ) #sw1'den çıkın #
Ana bağlantı noktasının yapılandırılması.
Ana hat modundaki bağlantı noktası ayarı, modun dinamik değil, ana hat olarak belirtilmesi gerektiği dışında, otomatik algılama modundaki bağlantı noktası ayarıyla aynıdır.
Sw6 # sw6 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw6 (config) #interface gigabitEthernet 0/23 sw6 (config-if) #switchport modu trunk sw6 (config-if) #switchport trunk'a izin verilir vlan 2,30-35,40 sw6 (config-if) #kapanma yok sw6 (config-if) -if) #sw6'yı sonlandır #
Örnekte, 23. bağlantı noktasında bir devre kurulur, devrede yalnızca VLAN 2, 30 ila 35 arası VLAN'lara ve VLAN 40'a izin verilir
Bir ana bağlantı noktasına bir VLAN eklemek, şu komutla gerçekleştirilir: “ switchport bagajına izin verilen vlan eklemeVLAN_NUM«
Ana bağlantı noktası 23'te mevcut olanlara vlans 100 ve 200 eklemeye bir örnek:
Sw6 # sw6 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw6 (config) #interface Gi0 / 23 sw6 (config-if) #switchport trunk izin verilir vlan ekleme 100.200 sw6 (config-if) # sw6 (config-if) #end sw6 #
Bir VLAN'ı ana bağlantı noktasından kaldırmak şu komutla gerçekleştirilir: " switchport gövde izin vlan kaldırmaVLAN_NUM«
Ana bağlantı noktası 23'te mevcut olanlardan vlans 100 ve 200'ü silmeye bir örnek:
Sw6 # sw6 # terminali yapılandırın Her satıra bir tane olmak üzere yapılandırma komutlarını girin. CNTL / Z ile bitirin. sw6 (config) #interface Gi0 / 23 sw6 (config-if) #switchport trunk'a izin verilir vlan kaldırmaya izin verilir 100.200 sw6 (config-if) # sw6 (config-if) #end sw6 #
Bazı cisco anahtarları, VLAN'larla çalışmak için iki protokolü, IEEE 802.1q ve ISL'yi destekler. ISL eskidir ve birçok modern anahtarda desteklenmez. Bu nedenle, IEEE 802.1q protokolünün kullanılması tercih edilir.
Bu tür anahtarlarda, bağlantı noktasını ana hat modunda yapılandırmadan önce dot1q kapsülleme türünü seçmeniz gerekir (komut: " switchport gövde kapsülleme dot1q"Arayüz yapılandırma modunda)
3. VLAN ayarını kontrol etme
VTP protokolü hakkındaki bilgileri görüntüleyin: " vtp durumunu göster«
Anahtardaki tüm VLAN'lar hakkındaki bilgileri göster: " vlan'ı göster«
Belirli bir VLAN hakkındaki bilgileri görüntüleyin ve hangi bağlantı noktalarında olduğunu öğrenin: " vlan kimliğini göster vlan kimliği «
Bağlantı noktası çalışma modunu, yerel vlan'ı, vlan'a ve diğerlerine erişin: " arayüzleri göster arayüz kimliği anahtar kapısı«
Bazen switch üzerindeki VLAN için Layer 3 interface oluşturmak gerekebilir. Örneğin, farklı VLAN'lar arasında IP trafiğini yönlendirmek ve filtrelemek için (hem anahtar modelinin kendisi hem de IOS sürümü tarafından L3 seviyesi için destek olmalıdır). Veya bu anahtarı özel bir VLAN'da yönetmek için bir arayüz oluşturun.
VLAN için ağ arabirimi, genel yapılandırma modunda şu komutla oluşturulur: “ arayüz vlan kimliği ", nerede vlan kimliği VLAN numarasıdır.
VLAN 200 için bir L3 arabirimi oluşturma örneği.
9) Yönlendirme: RIP, OSPF ve EIGRP örneğinde statik ve dinamik.
10) Ağ adreslerinin çevirisi: NAT ve PAT.
11) Birinci sekme yedeklilik protokolleri: FHRP.
12) Bilgisayar ağlarının ve sanal özel ağların güvenliği: VPN.
13) Global ağlar ve kullanılan protokoller: PPP, HDLC, Frame Relay.
14) IPv6'ya giriş, yapılandırma ve yönlendirme.
15) Ağ yönetimi ve ağ izleme.
not Belki zamanla liste eklenecektir.
Önceki makalelerde, birçok ağ cihazı ile çalıştık, birbirlerinden nasıl farklı olduklarını anladık ve çerçevelerin, paketlerin ve diğer PDU'ların nelerden oluştuğunu inceledik. Prensip olarak, bu bilgiyle basit bir yerel ağ düzenleyebilir ve içinde çalışabilirsiniz. Ama dünya durmuyor. Ağı yükleyen veya daha da kötüsü güvenlik için tehdit oluşturan daha fazla cihaz var. Ve kural olarak, "tehlike", "güvenlik" ten önce gelir. Şimdi bunu en basit örnekle göstereceğim.
Şimdilik yönlendiricilere ve farklı alt ağlara değinmeyeceğiz. Diyelim ki tüm düğümler aynı alt ağda.
Hemen IP adreslerinin bir listesini vereceğim:
- PC1 - 192.168.1.2/24
- PC2 - 192.168.1.3/24
- PC3 - 192.168.1.4/24
- PC4 - 192.168.1.5/24
- PC5 - 192.168.1.6/24
- PC6 - 192.168.1.7/24
Animasyonda görmek isterseniz spoiler'ı açın (PC1'den PC5'e ping gösteriyor).
Tek bir yayın etki alanında ağ işlemi
Güzel ha? Daha önceki yazılarda ARP protokolünün çalışmasından bir kereden fazla bahsetmiştik ama bu geçen seneydi, o yüzden kısaca anlatacağım. PC1, PC2'nin MAC adresini (veya bağlantı katmanı adresini) bilmediğinden, onu bilgilendirmek için bir ARP scout'u gönderir. Tüm aktif portlara yani PC2'ye ve merkezi switch'e aktarıldığı yerden switch'e gelir. Merkezi anahtardan komşu anahtarlara uçacak ve herkese ulaşana kadar böyle devam edecek. Bu, bir ARP mesajının neden olduğu küçük bir trafik miktarı değildir. Ağın tüm üyeleri bunu aldı. Büyük ve gereksiz trafik ilk sorundur. İkinci konu güvenlik. Sanırım mesajın, bilgisayarları buna hiç katılmayan muhasebe departmanına bile ulaştığını fark ettiler. Anahtarlardan herhangi birine bağlanan herhangi bir saldırganın tüm ağa erişimi olacaktır. Prensipte, ağlar eskiden böyle çalışırdı. Bilgisayarlar aynı kanal ortamındaydı ve yalnızca yönlendiriciler tarafından ayrılmıştı. Ancak zaman geçti ve bu sorunu veri bağlantısı düzeyinde çözmek gerekiyordu. Cisco, öncü olarak, çerçeveleri etiketleyen ve belirli bir kanal ortamına ait olduğunu belirleyen kendi protokolünü geliştirdi. denirdi ISL (Anahtarlar Arası Bağlantı)... Herkes bu fikri beğendi ve IEEE benzer bir açık standart geliştirmeye karar verdi. Standart adı verildi 802.1q... Büyük bir dağıtım aldı ve Cisco da buna geçmeye karar verdi.
Ve tam olarak 802.1q protokolünün çalışmasına dayanan VLAN teknolojisidir. Onun hakkında konuşmaya başlayalım.
Bölüm 3'te size ethernet çerçevesinin nasıl göründüğünü gösterdim. Bakın ve hafızanızı tazeleyin. Etiketlenmemiş bir çerçeve böyle görünür.
Şimdi etiketli olana bir göz atalım.
Gördüğünüz gibi, fark, belirli bir Etiket... Bizim ilgilendiğimiz şey bu. Daha derine inelim. 4 parçadan oluşmaktadır.
1) TPID (Etiket Protokol Kimliği) veya Etiketli Protokol Tanımlayıcı- 2 bayttan oluşur ve VLAN için her zaman 0x8100'dür.
2) PCP (Öncelik Kod Noktası) veya öncelik değeri- 3 bitten oluşur. Trafiğe öncelik vermek için kullanılır. Havalı ve sakallı sistem yöneticileri, farklı trafik (ses, video, veri vb.)
3) CFI (Kanonik Biçim Göstergesi) veya Kanonik Biçim Göstergesi- bir bitten oluşan basit bir alan. 0 ise, bu MAC adresi için standart biçimdir.
4) VID (İngilizce VLAN Kimliği) veya VLAN Kimliği- 12 bitten oluşur ve çerçevenin hangi VLAN'da olduğunu gösterir.
Çerçevelerin ağ aygıtları (anahtarlar, yönlendiriciler vb.) arasında etiketlendiğine ve çerçevelerin uç düğüm (bilgisayar, dizüstü bilgisayar) ile ağ aygıtı arasında etiketlenmediğine dikkatinizi çekmek istiyorum. Bu nedenle, bir ağ cihazının bağlantı noktası 2 durumda olabilir: erişim veya gövde.
- Erişim portu veya erişim portu- belirli bir VLAN'da bulunan ve etiketlenmemiş çerçeveleri ileten bir bağlantı noktası. Tipik olarak bu, kullanıcı cihazına bakan bağlantı noktasıdır.
- Ana bağlantı noktası veya ana bağlantı noktası- etiketli trafiği ileten bağlantı noktası. Tipik olarak, bu bağlantı noktası ağ cihazları arasında yükselir.
takım yazıyorum vlan'ı göster.
Birkaç masa sıralanmış. Aslında bizim için sadece ilki önemlidir. Şimdi size nasıl okunacağını göstereceğim.
1 sütun VLAN numarasıdır. 1 sayısı başlangıçta burada bulunur - bu, başlangıçta her anahtarda bulunan standart VLAN'dır. Aşağıda hakkında yazacağım bir işlevi daha yerine getiriyor. 1002-1005 arası rezerve de mevcuttur. Bu, şu anda pek kullanılmayan diğer kanal ortamları içindir. Onları da silemezsiniz.
Switch (config) #no vlan 1005 Varsayılan VLAN 1005 silinemez.
Silme sırasında Cisco, bu VLAN'ın silinemeyeceğini belirten bir mesaj görüntüler. Bu nedenle bu 4 VLAN'ı yaşıyoruz ve dokunmuyoruz.
2 sütun VLAN'ın adıdır. Bir VLAN oluştururken, kendi takdirinize bağlı olarak, daha sonra tanımlamak için onlara anlamlı adlar verebilirsiniz. Zaten varsayılan, fddi-varsayılan, token-ring-varsayılan, fddinet-varsayılan, trnet-varsayılan var.
3 sütun- durum. VLAN'ın durumu burada gösterilir. Şu anda, VLAN 1 veya varsayılan etkindir ve sonraki 4'ü harekete geçirme / iptal etme (etkin olmasına rağmen, ancak desteklenmemektedir).
4 sütun- limanlar. Bu, bağlantı noktalarının hangi VLAN'lara ait olduğunu gösterir. Şimdi henüz hiçbir şeye dokunmadığımıza göre, varsayılanlar.
Anahtarları yapılandırmaya başlayalım. Anahtarlarınıza anlamlı adlar vermek iyi bir uygulamadır. Biz ne yapacağız. ekibi getiriyorum.
Anahtar (yapılandırma) #hostname CentrSW CentrSW (yapılandırma) #
Gerisi aynı şekilde yapılandırılmış, bu yüzden güncellenmiş topoloji şemasını göstereceğim.
SW1 ile başlayalım. Öncelikle switch üzerinde bir VLAN oluşturalım.
SW1 (config) #vlan 2 - VLAN 2 oluşturun (VLAN 1 varsayılan olarak ayrılmıştır, bu yüzden bir sonrakini alıyoruz). SW1 (config-vlan) #name Dir-ya - VLAN ayarlarına girip bir isim veriyoruz.
VLAN oluşturuldu. Şimdi limanlara geçelim. FastEthernet0 / 1, PC1'e ve FastEthernet0 / 2, PC2'ye bakar. Daha önce belirtildiği gibi, aralarındaki çerçeveler etiketlenmemiş olarak iletilmelidir, bu yüzden onları Erişim durumuna koyacağız.
SW1 (config) #interface fastEthernet 0/1 - 1. bağlantı noktasının ayarlanmasına gidin. SW1 (config-if) #switchport modu erişimi - bağlantı noktasını erişim moduna getirin. SW1 (config-if) #switchport erişim vlan 2 - bağlantı noktasını 2. VLAN'a atayın. SW1 (config) #interface fastEthernet 0/2 - 2. bağlantı noktasının ayarlanmasına gidin. SW1 (config-if) #switchport modu erişimi - bağlantı noktasını erişim moduna getirin. SW1 (config-if) #switchport erişim vlan 2 - 2. VLAN'ın bağlantı noktasını atayın.
Her iki bağlantı noktasına da aynı VLAN atandığından, yine de bir grup olarak yapılandırılabilirler.
SW1 (config) #interface aralığı fastEthernet 0 / 1-2 - yani, havuzu seçin ve ardından ayar benzerdir. SW1 (eğer-aralık yapılandırması) #switchport modu erişimi SW1 (eğer-aralığı yapılandırması) #switchport erişimi vlan 2
Yapılandırılmış erişim portları. Şimdi SW1 ve CentrSW arasında bir trunk kuralım.
SW1 (config) #interface fastEthernet 0/24 - 24. bağlantı noktasının ayarlanmasına gidin. SW1 (config-if) #switchport modu ana hat - bağlantı noktasını ana hat moduna getirin. % LINEPROTO-5-UPDOWN: FastEthernet0 / 24 Arayüzünde hat protokolü, durum yukarı olarak değiştirildi
Hemen portun yeniden yapılandırıldığını görüyoruz. Prensip olarak, bu iş için yeterlidir. Ancak güvenlik açısından, iletim için yalnızca gerçekten ihtiyaç duyulan VLAN'lara izin verilmelidir. Başlayalım.
SW1 (config-if) #switchport bagajına izin verilir vlan 2 - sadece 2. VLAN'ı iletmemize izin verilir.
Bu komut olmadan, mevcut tüm VLAN'lar iletilecektir. Bakalım komutla tablo nasıl değişti vlan'ı göster.
Dir-ya isimli ikinci VLAN ortaya çıktı ve ona ait fa0/1 ve fa0/2 portlarını görüyoruz.
Yalnızca en üstteki tabloyu görüntülemek için şu komutu kullanabilirsiniz: vlan özetini göster.
Ayrıca, belirli bir VLAN kimliği belirterek çıktıyı kısaltabilirsiniz.
Ya da onun adı.
Tüm VLAN bilgileri flash bellekte vlan.dat dosyasında saklanır.
Gördüğünüz gibi, takımların hiçbirinde ana hat bilgisi yok. Başka bir komutla görüntülenebilir arayüzler gövdesini göster.
Trunk portları ve hangi VLAN'ları ilettikleri hakkında bilgi var. sütun da var yerel vlan... Bu tam olarak etiketlenmemesi gereken trafiktir. Anahtara etiketlenmemiş bir çerçeve gelirse, otomatik olarak Yerel Vlan'a atanır (varsayılan olarak ve bizim durumumuzda bu VLAN 1'dir). Yerel VLAN mümkündür ve birçoğu güvenlik amacıyla değiştirilmesi gerektiğini söyler. Bunu yapmak için, ana bağlantı noktası yapılandırma modunda şu komutu kullanmanız gerekir - switchport gövde yerel vlan X, nerede x- atanan VLAN'ın numarası. Bu topolojide değişiklik yapmayacağız ama nasıl yapılacağını bilmekte fayda var.
Cihazların geri kalanını yapılandırmak için kalır.
MerkezSW:
Merkezi anahtar yapıştırıcıdır, bu da tüm VLAN'lardan haberdar olması gerektiği anlamına gelir. Bu nedenle, önce onları oluşturuyoruz ve ardından tüm arayüzleri gövde moduna aktarıyoruz.
CentrSW (config) #vlan 2 CentrSW (config-vlan) # name Dir-ya CentrSW (config) #vlan 3 CentrSW (config-vlan) # name buhgalter CentrSW (config) #vlan 4 CentrSW (config-vlan) # name otdel -kadrov CentrSW (config) #interface range fastEthernet 0 / 1-3 CentrSW (config-if-range) #switchport modu trunk
Yapılandırmayı kaydetmeyi unutmayın. Emretmek Running-config startup-config'i kopyalayın.
SW2 (config) #vlan 3 SW2 (config-vlan) #name buhgalter SW2 (config) #interface range fastEthernet 0 / 1-2 SW2 (config-if-aralığı) #switchport modu erişim SW2 (config-if-range) # switchport erişimi vlan 3 SW2 (config) #interface fastEthernet 0/24 SW2 (config-if) #switchport mode trunk SW2 (config-if) #switchport trunk izin verilen vlan 3
SW3:
SW3 (config) #vlan 4 SW3 (config-vlan) #name otdel kadrov SW3 (config) #interface range fastEthernet 0 / 1-2 SW3 (config-if-range) #switchport modu erişim SW3 (config-if-range) #switchport access vlan 4 SW3 (config) #interface fastEthernet 0/24 SW3 (config-if) #switchport mode trunk SW3 (config-if) #switchport trunk izin verilen vlan 4
VLAN'ı yükseltip yapılandırdığımızı, ancak ana bilgisayarı aynı adreslemeyi bıraktığımızı unutmayın. Yani, neredeyse tüm düğümler aynı alt ağdadır, ancak VLAN'larla ayrılmıştır. Bunu yapamazsın. Her VLAN'a ayrı bir alt ağ atanmalıdır. Bunu tamamen eğitim amaçlı yaptım. Her departman kendi alt ağında oturuyorsa, anahtar trafiği bir alt ağdan diğerine yönlendiremediğinden (artı bu zaten ağ düzeyinde bir sınırlamadır) önsel olarak sınırlandırılacaktır. Ve departmanları bağlantı düzeyinde sınırlamamız gerekiyor.
PC1'den PC3'e tekrar ping atıyorum.
Şu anda ihtiyacımız olan ARP devam ediyor. Onu açalım.
Şimdiye kadar, yeni bir şey yok. ARP ethernet içinde kapsüllenmiştir.
Çerçeve anahtara gelir ve etiketlenir. Artık sıradan bir ethernet yok, 802.1q var. Daha önce yazdığım alanlar eklendi. o TPID 8100'dür ve 802.1q olduğunu gösterir. VE TCI 3 alanı birleştiren PCP, CFI ve VID... Bu alandaki numara VLAN numarasıdır. Hareketli.
Etiketlemeden sonra çerçeveyi PC2'ye (aynı VLAN'da olduğu için) ve trunk portu üzerinden merkezi switch'e gönderir.
Hangi VLAN türlerinin hangi portlardan geçeceği kesin olarak belirtilmediği için her iki anahtara da gönderecektir. Ve burada, VLAN numarasını gören anahtarlar, böyle bir VLAN'a sahip cihazlarının olmadığını anlıyor ve cesurca atıyor.
PC1 asla gelmeyecek bir yanıt bekliyor. Spoiler altında animasyon şeklinde görebilirsiniz.
Animasyon
Şimdi bir sonraki durum. Müdürlüğe bağlı olarak bir kişi daha işe alınır, ancak müdürlüğün ofisinde yer yoktur ve bir süreliğine muhasebe bölümüne bir kişi yerleştirmeleri istenir. Bu sorunu çözüyoruz.
Switch'in FastEthernet 0/3 portuna bir bilgisayar bağladık ve 192.168.1.8/24 IP adresini atadık.
Şimdi anahtarı yapılandıracağım SW2... Bilgisayar, switch'in bilmediği 2. VLAN'da olması gerektiğinden, onu switch üzerinde oluşturacağız.
SW2 (config) #vlan 2 SW2 (config-vlan) #name Dir-ya
Ardından, PC7'ye bakan FastEthernet 0/3 portunu yapılandırıyoruz.
SW2 (config) #interface fastEthernet 0/3 SW2 (config-if) #switchport modu erişimi SW2 (config-if) #switchport erişim vlan 2
Ve son şey, bagaj bağlantı noktasını yapılandırmaktır.
SW2 (config) #interface fastEthernet 0/24 SW2 (config-if) #switchport trunk'a izin verilir vlan add 2 - bu komuta dikkat edin. Yani, "ekle" anahtar kelimesi. Bu kelimeyi eklemezseniz, bu bağlantı noktasında iletime izin verilen diğer tüm VLAN'ları sileceksiniz. Bu nedenle, port üzerinde daha önce bir trunk oluşturduysanız ve diğer VLAN'lar iletildiyse, bu şekilde eklemeniz gerekir.
Çerçevelerin güzel gitmesini sağlamak için merkezi anahtarı düzelteceğim Merkez SW.
CentrSW (yapılandırma) #interface fastEthernet 0/1 CentrSW (yapılandırma-if) #switchport hattına izin verilir vlan 2 CentrSW (yapılandırma) #interface fastEthernet 0/2 CentrSW (yapılandırma-if) #switchport hattına izin verilir vlan 2,3 CentrSW (yapılandırma) #interface fastEthernet 0/3 CentrSW (config-if) #switchport ana hattına izin verilir vlan 4
Zamanı kontrol et. PC1'i PC7'ye pingleyin.
Şimdiye kadar, tüm yol bir öncekine benzer. Ancak bu andan itibaren (aşağıdaki resimden) merkezi anahtar farklı bir karar verecektir. Çerçeveyi alır ve 2. VLAN ile etiketlendiğini görür. Bu, yalnızca izin verilen yere, yani fa0 / 2 bağlantı noktasına göndermeniz gerektiği anlamına gelir.
Ve böylece SW2'ye geliyor. Açıyoruz ve hala etiketli olduğunu görüyoruz. Ancak bir sonraki düğüm bilgisayardır ve etiketin kaldırılması gerekir. Çerçevenin anahtardan nasıl çıkacağını görmek için "Giden PDU Ayrıntıları"na tıklayın.
Ve gerçekten. Anahtar, çerçeveyi "temiz" bir biçimde yani etiketsiz olarak gönderir.
ARP PC7'ye ulaştı. Açıyoruz ve etiketsiz çerçeve PC7'nin kendisini tanıdığından ve bir yanıt gönderdiğinden emin oluyoruz.
Switch üzerinde çerçeveyi açıyoruz ve gönderilmek üzere etiketlenerek gönderileceğini görüyoruz. Ayrıca, çerçeve geldiği gibi aynı şekilde hareket edecektir.
ARP, zarf üzerinde bir onay işareti ile belirtildiği gibi PC1'e ulaşır. Artık MAC adresini biliyor ve ICMP'yi başlatıyor.
Anahtardaki paketi açıyoruz ve aynı resmi görüyoruz. Bağlantı düzeyinde, çerçeve anahtar tarafından etiketlenir. Her mesajda öyle olacak.
Paketin PC7'ye başarıyla ulaştığını görüyoruz. Benzer olduğu için dönüş yolunu göstermeyeceğim. Merak edenler için yolun tamamını aşağıdaki spoiler altında animasyonda görebilirsiniz. Ve bu topolojiyi kendiniz daha derine inmek istiyorsanız, laboratuvara bir bağlantı ekliyorum.
VLAN mantığı
Bu temelde VLAN'lar için en popüler kullanımdır. Fiziksel konumlarından bağımsız olarak, düğümleri mantıksal olarak gruplar halinde birleştirebilir, böylece onları diğerlerinden yalıtabilirsiniz. Çalışanların fiziksel olarak farklı yerlerde çalıştığı ancak birlik olması gerektiği zaman çok uygundur. Ve elbette, güvenlik açısından VLAN'ların yeri doldurulamaz. Ana şey, sınırlı sayıda kişinin ağ cihazlarına erişimi olmasıdır, ancak bu ayrı bir konudur.
Bağlantı düzeyinde ulaşılan kısıtlamalar. Trafik artık hiçbir yere gitmiyor, tam olarak istendiği gibi gidiyor. Ama şimdi soru şu ki, departmanların birbirleriyle iletişim kurması gerekiyor. Ve farklı kanal ortamlarında oldukları için yönlendirme devreye giriyor. Ama başlamadan önce topolojiyi sıralayalım. Yapabileceğimiz ilk şey düğümleri adreslemek. Her departmanın kendi alt ağında olması gerektiğini tekrarlıyorum. Toplam elde ettiğimiz:
- Müdürlük - 192.168.1.0/24
- Muhasebe - 192.168.2.0/24
- İnsan Kaynakları Departmanı - 192.168.3.0/24
Alt ağlar tanımlandıktan sonra, hemen düğümleri ele alırız.
- PC1:
IP: 192.168.1.2
Maske: 255.255.255.0 veya / 24
Ağ Geçidi: 192.168.1.1 - PC2:
IP: 192.168.1.3
Maske: 255.255.255.0 veya / 24
Ağ Geçidi: 192.168.1.1 - PC3:
IP: 192.168.2.2
Maske: 255.255.255.0 veya / 24
Ağ Geçidi: 192.168.2.1 - PC4:
IP: 192.168.2.3
Maske: 255.255.255.0 veya / 24
Ağ Geçidi: 192.168.2.1 - PC5:
IP: 192.168.3.2
Maske: 255.255.255.0 veya / 24
Ağ Geçidi: 192.168.3.1 - PC6:
IP: 192.168.3.3
Maske: 255.255.255.0 veya / 24
Ağ Geçidi: 192.168.3.1 - PC7:
IP: 192.168.1.4
Maske: 255.255.255.0 veya / 24
Ağ Geçidi: 192.168.1.1
Düğümler, ağ geçidi adresi gibi bir parametre ekledi. Farklı bir alt ağdaki bir ana bilgisayara mesaj göndermeleri gerektiğinde bu adresi kullanırlar. Buna göre, her alt ağın kendi ağ geçidi vardır.
Yönlendiriciyi yapılandırmaya devam ediyor ve CLI'sini açıyorum. Geleneğe göre anlamlı bir isim vereceğim.
Yönlendirici (yapılandırma) #hostname Ağ Geçidi Ağ Geçidi (yapılandırma) #
Ardından, arayüzleri yapılandırmaya geçelim.
Ağ geçidi (config) #interface fastEthernet 0/0 - gerekli arayüze gidin. Ağ geçidi (config-if) #kapatma yok - etkinleştirin. % LINK-5-DEĞİŞTİRİLDİ: Arayüz FastEthernet0 / 0, durum yukarı olarak değiştirildi % LINEPROTO-5-UPDOWN: FastEthernet0 / 0 Arayüzünde hat protokolü, durum yukarı olarak değiştirildi
Şimdi dikkat! Arayüzü açtık, ancak üzerine bir IP adresi asmadık. Gerçek şu ki, fiziksel arabirimden (fastethernet 0/0) yalnızca bir bağlantı veya kanal gereklidir. Ağ geçitlerinin rolü, sanal arabirimler veya alt arabirimler tarafından gerçekleştirilecektir. Şu anda 3 tip VLAN vardır. Bu da 3 alt arayüz olacağı anlamına geliyor, yapılandırmaya başlayalım.
Gateway (config) #interface fastEthernet 0 / 0.2 Gateway (config-if) #encapsulation dot1Q 2 Gateway (config-if) #ip address 192.168.1.1 255.255.255.0 Gateway (config) #interface fastEthernet 0 / 0.3 Gateway (config-if) ) #encapsulation dot1Q 3 Gateway (config-if) #ip address 192.168.2.1 255.255.255.0 Gateway (config) #interface fastEthernet 0 / 0.4 Gateway (config-if) #encapsulation dot1Q 4 Gateway (config-if) #ip adresi 192.168 .3.1 255.255.255.0
Yönlendirici yapılandırıldı. Merkezi anahtara gidelim ve etiketli çerçeveleri yönlendiriciye iletecek şekilde bir ana hat bağlantı noktası yapılandıralım.
CentrSW (config) #interface fastEthernet 0/24 CentrSW (config-if) #switchport modu trunk CentrSW (config-if) #switchport trunk izin verilen vlan 2,3,4
Yapılandırma tamamlandı ve uygulamaya geçelim. PC1'den PC6'ya ping atıyorum (yani 192.168.3.3).
PC1'in PC6 veya 192.168.3.3'ün kim olduğu hakkında hiçbir fikri yoktur, ancak bunların farklı alt ağlarda olduğunu bilir (bunu bir önceki makalede anlatıldığını anladığı gibi). Bu nedenle, adresi ayarlarında belirtilen varsayılan ağ geçidi üzerinden bir mesaj gönderecektir. PC1, varsayılan ağ geçidinin IP adresini bilmesine rağmen, tam mutluluk için bir MAC adresinden yoksundur. Ve ARP kullanıyor.
Not. Bir çerçeve CentrSW'ye ulaştığında, anahtar onu herhangi birine göndermez. Yalnızca 2. VLAN'ın geçişine izin verilen bağlantı noktalarına gönderir. Yani yönlendiriciye ve SW2'ye (2. VLAN'da oturan bir kullanıcı var).
Yönlendirici kendini tanır ve bir yanıt gönderir (bir okla gösterilir). Ve alt çerçeveye dikkat edin. SW2, merkezi anahtardan ARP aldığında, benzer şekilde tüm bilgisayarlara göndermedi, sadece 2. VLAN'daki PC7'yi gönderdi. Ancak PC7, bunun için olmadığı için atar. Daha ileriye bakıyoruz.
ARP PC1'e ulaştı. Artık her şeyi biliyor ve ICMP gönderebiliyor. Bir kez daha dikkatinizi çekiyorum ki hedef MAC adresi (bağlantı katmanı) yönlendiricinin adresi, hedef IP adresi (ağ katmanı) ise PC6 adresi olacaktır.
ICMP yönlendiriciye ulaşır. Masasına bakar ve 192.168.3.3 adresinde kimseyi tanımadığını fark eder. Gelen ICMP'yi düşürür ve ARP'nin keşif yapmasına izin verir.
PC6 kendini tanır ve yanıt gönderir.
Cevap yönlendiriciye gelir ve tablosuna bir girdi ekler. ARP tablosunu komut ile görüntüleyebilirsiniz. arp göster.
Hareketli. PC1, kimsenin yanıt vermediği ve bir sonraki ICMP mesajını göndermediği için mutlu değil.
Bu sefer ICMP sorunsuz geliyor. Aynı yoldan geri dönecek. Size sadece nihai sonucu göstereceğim.
İlk paket (ARP sonucu) kayboldu ve ikincisi sorunsuz geldi.
Animasyonda kim görmek ister, spoiler altına hoşgeldiniz.
InterVLAN Yönlendirme
Yani. Düğümler aynı alt ağda ve aynı VLAN'daysa, doğrudan anahtarlardan geçeceklerini başardık. Bir mesajı başka bir alt ağa ve VLAN'a iletmek gerektiğinde, "vlanlar arası" yönlendirmeyi gerçekleştiren Ağ Geçidi yönlendiricisi aracılığıyla iletilecektir. Bu topoloji denir "Bir çubuk üzerinde yönlendirici" veya "Bir çubuk üzerinde yönlendirici"... Anladığınız gibi, çok uygun. 3 sanal arayüz oluşturduk ve aynı kablo üzerinde farklı etiketli çerçeveler çalıştırdık. Alt arayüzler ve VLAN'lar kullanılmadan, her bir alt ağ için ayrı bir fiziksel arayüz kullanmak gerekli olacaktır ve bu hiç de karlı değildir.
Bu arada, bu videoda bu soru çok iyi çözülmüş (video yaklaşık 3 saat sürüyor, bu nedenle bağlantı tam olarak o ana bağlı). Videoyu okuduktan ve izledikten sonra her şeyi kendi elinizle bitirmek isterseniz, bir indirme bağlantısı ekliyorum.
VLAN'ları bulduk ve onunla çalışan protokollerden birine gittik.
DTP (Dinamik Kanal Protokolü) veya Rusça dinamik ana hat protokolü- anahtarlar arasında ana hat modunu uygulamak için kullanılan, Cisco'ya ait özel bir protokol. Duruma bağlı olarak, erişim modunda da pazarlık yapabilirler.
DTP'nin 4 modu vardır: Dinamik otomatik, Dinamik istenen, Trunk, Access. Bakalım nasıl bir araya gelecekler.
| Modlar | Dinamik otomatik | Dinamik arzu edilir | Gövde | Erişim |
|---|---|---|---|---|
| Dinamik otomatik | Erişim | Gövde | Gövde | Erişim |
| Dinamik arzu edilir | Gövde | Gövde | Gövde | Erişim |
| Gövde | Gövde | Gövde | Gövde | Bağlantı yok |
| Erişim | Erişim | Erişim | Bağlantı yok | Erişim |
Yani, sol sütun 1. cihaz ve üst sıra 2. cihazdır. Varsayılan olarak, anahtarlar "dinamik otomatik" modundadır. Eşleme tablosuna bakarsanız, "dinamik otomatik" modundaki iki anahtar "erişim" modunda uzlaştırılır. Hadi kontrol edelim. Yeni bir laboratuvar oluşturup 2 anahtar ekliyorum.
Henüz onları bağlamayacağım. Her iki anahtarın da "dinamik otomatik" modda olduğundan emin olmam gerekiyor. bir ekiple kontrol edeceğim arayüzleri göster switchport.
Bu komutun sonucu çok büyük, bu yüzden onu kırptım ve ilgi çekici noktaları vurguladım. İle başlayalım Yönetim Modu... Bu satır, bu bağlantı noktasının anahtar üzerinde 4 moddan hangisinde çalıştığını gösterir. Her iki anahtardaki bağlantı noktalarının da "Dinamik otomatik" modunda olduğundan emin olun. ve çizgi Operasyonel Mod hangi çalışma modunda çalışmayı kabul ettiklerini gösterir. Onları henüz bağlamadık, bu yüzden kapalılar.
Sana hemen iyi bir tavsiye vereceğim. Herhangi bir protokolü test ederken filtreler kullanın. İhtiyacınız olmayan tüm protokollerin çalışmalarını göstermeyi devre dışı bırakın.
CPT'yi simülasyon moduna alıyorum ve DTP dışındaki tüm protokolleri filtreliyorum.
Bence burada her şey açık. Anahtarları bir kablo ile bağlıyorum ve bağlantılar kaldırıldığında anahtarlardan biri bir DTP mesajı oluşturuyor.
Açıyorum ve Ethernet çerçevesinde kapsüllenmiş DTP olduğunu görüyorum. DTP, VTP, CDP protokollerini ifade eden "0100.0ccc.cccc" multicast adresine gönderir.
Ve DTP başlığında 2 alana dikkat edeceğim.
1) DTP Türü- burada gönderen bir teklif ekler. Yani, hangi modda anlaşmak istiyor. Bizim durumumuzda, "erişim" konusunda anlaşmayı önerir.
2) Komşu MAC adresi- bu alana portunun MAC adresini yazar.
Bir komşudan bir tepki gönderir ve bekler.
Bir mesaj SW1'e ulaşır ve bir yanıt üretir. "Erişim" modunu da müzakere ettiği yerde, MAC adresini ekler ve yolda SW2'ye gönderir.
DTP başarıyla geldi. Teorik olarak, "erişim" modunda anlaşmaları gerekiyordu. Kontrol edeceğim.
Beklendiği gibi, "erişim" modunu kabul ettiler.
Birisi teknolojinin uygun olduğunu ve onu kullandığını söylüyor. Ancak bu protokolü ağımda kullanmaktan kesinlikle vazgeçiyorum. Bunu öneren tek kişi ben değilim ve şimdi nedenini açıklayacağım. Mesele şu ki, bu protokol büyük bir güvenlik açığı açıyor. "Çubukta yönlendirici" çalışmasıyla ilgilenen laboratuvarı açacağım ve oraya başka bir anahtar ekleyeceğim.
Şimdi yeni anahtarın ayarlarına gideceğim ve bağlantı noktasını ana hat modunda çalışacak şekilde kodlayacağım.
New_SW (config) #interface fastEthernet 0/1 New_SW (config-if) #switchport modu ana hattı
Onları bir araya getirdim ve nasıl uyduklarına baktım.
Her şey doğru. "Dinamik otomatik" ve "gövde" modları, gövde... Şimdi birilerinin aktif olmasını bekliyoruz. Diyelim ki PC1 birine mesaj göndermeye karar verdi. ARP'yi oluşturur ve ağa yayınlar.
SW2'ye ulaştığı ana kadar yolunu atlayalım.
Ve işte eğlenceli kısım.
Yeni bağlanan anahtara gönderir. Ne olduğunu açıklarım. Onunla bagaj üzerinde anlaştığımız anda, gelen tüm kareleri ona göndermeye başlıyor. Diyagram, anahtarın çerçeveleri düşürdüğünü gösterse de, bu hiçbir şey ifade etmez. Herhangi bir sniffer'ı anahtara veya anahtar yerine bağlayabilir ve ağda neler olup bittiğini sakince görüntüleyebilirsiniz. Zararsız bir ARP'yi ele geçirmiş gibi görünüyor. Ancak daha derine bakarsanız, "0000.0C1C.05DD" MAC adresinin ve "192.168.1.2" IP adresinin zaten bilindiğini görebilirsiniz. Yani PC1 hiç düşünmeden kendini ele verdi. Saldırgan artık böyle bir bilgisayarı biliyor. Ayrıca 2. VLAN'da oturduğunu da biliyor. O zaman çok şey yapabilir. En yaygın olanı MAC adresinizi, IP adresinizi değiştirmek, Access'te hızlı bir şekilde anlaşmak ve PC1'i taklit etmektir. Ama en ilginç şey. Sonuçta, bunu hemen anlamayabilirsiniz. Genellikle, port çalışma modunu kaydettiğimizde, konfigürasyonda hemen görüntülenir. giriyorum çalışan yapılandırmayı göster.
Ama burada port ayarları boş. giriyorum arayüzleri göster switchport ve fa0 / 4'e kaydırma.
Ve burada bagajın müzakere edildiğini görüyoruz. Show Running-config her zaman kapsamlı bilgi sağlamaz. Bu nedenle, diğer komutları da ezberleyin.
Sanırım bu protokole neden güvenemeyeceğiniz açık. Hayatı kolaylaştırıyor gibi görünüyor, ama aynı zamanda büyük bir sorun yaratabilir. Bu yüzden manuel yönteme güvenin. Konfigüre ederken, hangi bağlantı noktalarının ana hat modunda ve hangilerinin erişimde çalışacağını hemen kendinize belirleyin. En önemlisi, her zaman müzakereyi kapatın. Böylece anahtarlar kimseyle anlaşmaya çalışmaz. Bu, "switchport nogotiate" komutuyla yapılır.
Bir sonraki protokole geçelim.
VTP (VLAN Bağlantı Protokolü) VLAN'lar hakkında bilgi alışverişinde kullanılan Cisco'nun tescilli bir protokolüdür.
40 anahtarınız ve 70 VLAN'ınız olduğu bir durumu hayal edin. İyi bir nedenle, bunları her bir anahtarda manuel olarak oluşturmanız ve iletime izin vermek için hangi ana hat bağlantı noktalarına kaydolmanız gerekir. Bu kasvetli ve uzun bir iş. Bu nedenle, bu görev VTP tarafından üstlenilebilir. Bir anahtarda VLAN'lar yaratırsınız ve diğerleri onun tabanıyla senkronize edilir. Aşağıdaki topolojiye bir göz atın.
Burada 4 anahtar var. Bunlardan biri VTP sunucusu, diğer 3'ü ise istemcidir. Sunucu üzerinde oluşturulacak olan bu VLAN'lar, istemciler üzerinde otomatik olarak senkronize edilir. VTP'nin nasıl çalıştığını ve neler yapabileceğini anlatacağım.
Yani. VTP, VLAN'ları oluşturabilir, değiştirebilir ve silebilir. Bu tür her eylem, revizyon numarasının artmasına neden olur (her eylem sayıyı +1 artırır). Ardından revizyon numarasının belirtildiği duyurular gönderir. Bu duyuruyu alan müşteriler, revizyon numaralarını gelen ile karşılaştırır. Ve alınan numara daha yüksekse, bazlarını onunla senkronize ederler. Aksi takdirde, reklam yoksayılır.
Ama hepsi bu değil. VTP'nin rolleri vardır. Varsayılan olarak, tüm anahtarlar bir sunucu olarak çalışır. Sana onlardan bahsedeceğim.
- VTP Sunucusu... Her şeyi nasıl yapacağını biliyor. Yani VLAN'ları oluşturur, değiştirir, siler. Revizyonun kendisinden daha eski olduğu bir reklam alırsa, senkronize edilir. Komşulardan sürekli olarak duyurular ve yeniden yayınlar gönderir.
- VTP İstemcisi- Bu rol zaten sınırlıdır. VLAN oluşturamaz, değiştiremez veya silemezsiniz. Tüm VLAN, sunucudan alır ve senkronize edilir. Komşuları VLAN tabanı hakkında periyodik olarak bilgilendirir.
- VTP Şeffaf- bu çok bağımsız bir rol. VLAN'ları yalnızca kendi tabanında oluşturabilir, değiştirebilir ve silebilir. Kimseye bir şey empoze etmez ve kimseden bir şey kabul etmez. Bir tür reklam alırsa, iletir, ancak tabanıyla senkronize olmaz. Önceki rollerde, her değişiklikte revizyon numarası artırıldıysa, bu modda revizyon numarası her zaman 0'dır.
Teoriyi okuyup uygulamaya geçiyoruz. Merkezi anahtarın Sunucu modunda olduğunu kontrol edelim. komutu girin vtp durumunu göster.
VTP Çalışma Modunun Sunucu olduğunu görüyoruz. Ayrıca VTP versiyonunun 2. olduğunu fark edebilirsiniz. Ne yazık ki, CPT sürüm 3 desteklenmiyor. Revizyon versiyonu sıfırdır.
Şimdi alt anahtarları yapılandıralım.
SW1 (config) #vtp modu istemcisi Cihazı VTP İSTEMCİ moduna ayarlama.
Cihazın istemci moduna geçtiğine dair bir mesaj görüyoruz. Gerisi aynı şekilde yapılandırılmıştır.
Cihazların reklam alışverişinde bulunabilmesi için aynı etki alanında olmaları gerekir. Ve burada bir tuhaflık var. Cihaz (Sunucu veya İstemci modunda) herhangi bir etki alanına ait değilse, ilk reklam alındığında, reklamı yapılan etki alanına gider. İstemci bir etki alanındaysa, diğer etki alanlarından reklamları kabul etmeyecektir. SW1'i açalım ve herhangi bir etki alanına ait olmadığından emin olalım.
Bunun boş olduğundan emin oluyoruz.
Şimdi merkezi anahtara gidiyoruz ve onu etki alanına aktarıyoruz.
CentrSW (config) #vtp etki alanı cisadmin.ru VTP etki alanı adını BOŞ'tan cisadmin.ru'ya değiştirme
cisadmin.ru alan adına aktarıldığına dair bir mesaj görüyoruz.
Durumu kontrol edelim.
Ve gerçekten. Alan adı değişti. Lütfen revizyon numarasının şu anda sıfır olduğunu unutmayın. Üzerinde bir VLAN oluşturduğumuz anda değişecektir. Ancak oluşturmadan önce, nasıl reklam oluşturacağını görmek için simülatörü simülasyon moduna almanız gerekir. 20. VLAN'ı oluşturuyoruz ve aşağıdaki resmi görüyoruz.
VLAN oluşturulduğunda ve revizyon numarası arttığında, sunucu reklamlar oluşturur. İki tane var. İlk önce soldakini açalım. Bu duyuruya "Özet Reklam" veya Rusça'da "özet duyuru" denir. Bu duyuru, anahtar tarafından her 5 dakikada bir oluşturulur, burada alan adı ve mevcut revizyon hakkında konuşur. Nasıl göründüğüne bir bakalım.
Ethernet çerçevesinde, Hedef MAC adresine dikkat edin. DTP oluşturulduğunda yukarıdakiyle aynıdır. Yani, bizim durumumuzda, yalnızca VTP'yi çalıştıranlar buna tepki verecektir. Şimdi bir sonraki alana bakalım.
İşte sadece tüm bilgiler. Gelelim en önemli alanlara.
- Yönetim Etki Alanı Adı - etki alanının kendisinin adı (bu durumda, cisadmin.ru).
- Güncelleyici Kimliği - güncelleyicinin tanımlayıcısı. Bu genellikle IP adresinin yazıldığı yerdir. Ancak anahtara adres atanmadığı için alan boştur.
- Zaman Damgasını Güncelle - zamanı güncelle. Anahtarın üzerindeki saat değişmedi, yani fabrika saati orada.
- MD5 Özeti - MD5 karma. Kimlik bilgilerini doğrulamak için kullanılır. Yani, VTP'nin bir şifresi varsa. Parolayı değiştirmedik, bu nedenle varsayılan karma.
Bence burası açık. Her VLAN türü için ayrı başlık. Liste o kadar uzun ki ekrana sığmadı. Ama isimleri dışında aynen öyleler. Bunun için endişelenmeyeceğim, bu da her kodu kullanamayacağım anlamına geliyor. Ve CPT'de daha çok bir sözleşmedir.
Bakalım sonra ne olacak.
Müşteriler reklam alır. Revizyon numarasının kendilerinden daha yüksek olduğunu görürler ve üssü senkronize ederler. Ve sunucuya VLAN tabanının değiştiğine dair bir mesaj gönderirler.
VTP Nasıl Çalışır?
VTP temelde böyle çalışır. Ama çok büyük dezavantajları var. Ve bu dezavantajlar güvenlik açısındandır. Aynı laboratuvar örneğini kullanarak açıklayacağım. Üzerinde VLAN'ların oluşturulduğu merkezi bir anahtarımız var ve ardından çok noktaya yayın yoluyla bunları tüm anahtarlarla senkronize ediyor. Bizim durumumuzda VLAN 20'den bahsediyor. Yapılandırmasına bir kez daha bakmanızı öneririm.
Not. Bir VTP mesajı, revizyon numarasının kendisinden yüksek olduğu sunucuya ulaşır. Ağın değiştiğini ve buna uyum sağlamak gerektiğini anlıyor. Yapılandırmayı kontrol edelim.
Merkezi sunucunun konfigürasyonu değişti ve şimdi tam olarak bunu yayınlayacak.
Şimdi bir değil yüzlerce VLAN'ımız olduğunu hayal edin. Bu kadar basit bir şekilde bir ağ koyabilirsiniz. Elbette, alan parola korumalı olabilir ve bir saldırganın zarar vermesi daha zor olacaktır. Ve anahtarınızın bozulduğunu ve acilen değiştirmeniz gerektiğini hayal edin. Siz veya meslektaşınız eski santral için depoya koşuyorsunuz ve revizyon numarasını kontrol etmeyi unutuyorsunuz. Diğerlerinden daha yüksek olduğu ortaya çıkıyor. Bundan sonra ne olacağını zaten gördünüz. Bu nedenle, bu protokolü kullanmamanızı tavsiye ederim. Özellikle büyük kurumsal ağlarda. VTP sürüm 3 kullanıyorsanız, anahtarları "Kapalı" moduna geçirmekten çekinmeyin. 2. sürüm kullanılıyorsa, "Şeffaf" moda geçin. Etiket ekle
Rostelecom'dan bir yönlendirici / modemi bağımsız olarak bağlamaya ihtiyacınız varsa veya buna karar verdiyseniz, IPTV veya dijital telefon hizmetlerine bağlanmanız gerekiyorsa, VLAN kimliğinin ne olduğunu ve nasıl bulunacağını bilmelisiniz.
VLAN Kimliği, coğrafi konum gibi herhangi bir fiziksel engeli atlayarak çok seviyeli sanal ağlar oluşturabileceğiniz, belirli bilgileri doğru cihazlara aktarabileceğiniz 12 bitlik bir sayı kümesidir. ViLan teknolojisi, ortak bir ağın oluşturulmasını sağlayan cihazlarda bulunur. Basit bir ifadeyle, "ViLan" kimliği, kendisini tanıyan (anahtarlar) özel cihazların veri paketleri gönderdiği bir adrestir.
Teknoloji oldukça uygundur, hem avantajları hem de dezavantajları vardır, Rostelecom tarafından veri iletimi için kullanılır: örneğin, dijital televizyon (IPTV) için. Yani, IPTV'yi kendiniz bağlamaya veya yapılandırmaya karar verdiyseniz, tanımlayıcıyı bilmeniz gerekir. Tahmin edebileceğiniz gibi, Rus şirketi, ortak bir "adrese" sahip kişilerin modemlerini / yönlendiricilerini IPTV izlemek için kullanabilmeleri için bu özel numara setlerini kullanıyor. Yani bu "işaret" farklı kişilerin aynı bilgiyi almasına izin verir.
Bu sadece kolaylık sağlamak ve fiziksel sınırları atlamak için yapılmaz. Tanımlayıcı, çeşitli sanal ağlara erişimi güvenli hale getirmenizi sağlar. Örneğin, konuk bağlantılarını kurumsal bağlantılardan ayırın veya IPTV durumunda yalnızca belirli kullanıcılara erişim verin.
trafiği etiketleme
Etiketli ve etiketsiz bağlantı noktaları vardır. Bu, etiketleri kullanan ve kullanmayan diğer bağlantı noktalarının olduğu anlamına gelir. Etiketlenmemiş bir bağlantı noktası yalnızca kişisel bir VLAN iletebilir, etiketli bir bağlantı noktası çeşitli "işaretçilerden" trafik alabilir ve gönderebilir.
Etiketler trafiğe "iliştirilir", böylece ağ anahtarları onu tanıyabilir ve alabilir. Etiketler Rostelecom tarafından da kullanılmaktadır.
En ilginç şey, etiketlerin izin vermesidir - bilgisayarlar bir anahtara (anahtara) bağlanabilir, bir noktadan bir Wi-Fi sinyali alabilir. Ancak aynı zamanda, farklı "işaretçilere" aitlerse birbirlerini görmeyecekler ve farklı veriler almayacaklar. Bunun nedeni, bir "ViLan" için belirli etiketlerin kullanılması, diğerinin ise genel olarak etiketsiz olabilmesi ve bu trafiğin geçmesine izin vermemesidir.
Bu özelliği etkinleştir
Bilgi alan cihazların görebilmesi için bu tanımlayıcıyı eklemeniz gerekir. Aksi takdirde, tüm şifrelenmiş bilgiler görünmeyecektir.
Bu nedenle, her belirli hizmet için VLAN'ı etkinleştirmeye değer. Zaten etkinleştirildiyse ve bunu yapan siz değilseniz, yine de "adresini" bilmelisiniz.
Şu anda, birçok modern kuruluş ve işletme, çoğu modern anahtar tarafından sağlanan entegre bir altyapı çerçevesinde bir sanal (VLAN) düzenlemek gibi çok yararlı ve çoğu zaman gerekli bir fırsatı pratik olarak kullanmamaktadır. Bu, birçok faktörden kaynaklanmaktadır, bu nedenle, bu teknolojiyi, bu tür amaçlar için kullanma olasılığı açısından düşünmeye değer.
Genel açıklama
Başlangıç olarak, VLAN'ların ne olduğuna karar vermeye değer. Bununla, belirli bir özniteliğe dayalı olarak bir yayın mesajı dağıtım etki alanında mantıksal olarak gruplandırılmış bir ağa bağlı bir grup bilgisayar kastedilmektedir. Örneğin gruplar, işletmenin yapısına veya birlikte bir proje veya görev üzerindeki çalışma türlerine göre ayırt edilebilir. VLAN'lar çeşitli avantajlar sunar. Başlangıç olarak, bant genişliğinin çok daha verimli bir şekilde kullanılmasından (geleneksel yerel ağlara kıyasla), iletilen bilginin artan derecede korunmasından ve basitleştirilmiş bir yönetim şemasından bahsediyoruz.
Bir VLAN kullanıldığında, tüm ağ yayın alanlarına bölündüğünden, böyle bir yapı içindeki bilgiler fiziksel ağdaki tüm bilgisayarlara değil, yalnızca üyeleri arasında iletilir. Sunucular tarafından oluşturulan yayın trafiğinin önceden tanımlanmış bir etki alanı ile sınırlı olduğu, yani bu ağdaki tüm istasyonlara yayınlanmadığı ortaya çıktı. Bu şekilde, tahsis edilmiş bilgisayar grupları arasında ağ bant genişliğinin optimum dağılımını sağlamak mümkündür: farklı VLAN'lardan gelen sunucular ve iş istasyonları basitçe birbirini görmez.
Tüm süreçler nasıl ilerliyor?
Böyle bir ağda bilgi, belirli bir bilgisayar grubu içinde gerçekleştirilen veri alışverişinden oldukça iyi korunur, yani başka benzer bir yapıda üretilen trafiği alamazlar.
VLAN'ların ne olduğu hakkında konuşursak, basitleştirilmiş ağ oluşturma, ağa yeni öğeler ekleme, bunları taşıma ve bunları silme gibi görevleri etkilediğinden, bu organizasyon yönteminin böyle bir avantajına dikkat etmek uygundur. Örneğin, bir VLAN kullanıcısı farklı bir konuma taşınırsa ağ yöneticisinin kabloları yeniden bağlamasına gerek yoktur. Sadece ağ ekipmanını işyerinden yapılandırması gerekiyor. Bu tür ağların bazı uygulamalarında, yönetici müdahalesine gerek kalmadan bile grup üyelerinin hareketi otomatik modda kontrol edilebilir. Gerekli tüm işlemleri gerçekleştirmek için yalnızca VLAN'ı nasıl yapılandıracağını bilmesi gerekir. Oturduğu yerden kalkmadan yeni mantıksal kullanıcı grupları oluşturabilir. Bütün bunlar, daha az önemli olmayan sorunları çözmek için yararlı olabilecek çalışma süresinden büyük ölçüde tasarruf sağlar.
VLAN organizasyon yöntemleri
Üç farklı seçenek vardır: bağlantı noktası tabanlı, L3 tabanlı veya MAC tabanlı. Her yöntem, OSI modelinin üç alt katmanından birine karşılık gelir: sırasıyla fiziksel, ağ ve kanal. VLAN'ların ne olduğu hakkında konuşursak, kurallara dayalı dördüncü bir organizasyon yönteminin varlığına dikkat çekmeye değer. Çok fazla esneklik sağlamasına rağmen artık nadiren kullanılmaktadır. Hangi özelliklere sahip olduklarını anlamak için listelenen yöntemlerin her birini daha ayrıntılı olarak düşünebilirsiniz.
Bağlantı noktası tabanlı VLAN
Bu, iletişim için seçilen belirli fiziksel anahtar bağlantı noktalarının mantıksal bir gruplamasını varsayar. Örneğin, belirli bağlantı noktalarının, örneğin 1, 2 ve 5'in VLAN1'i oluşturduğunu ve 3, 4 ve 6 numaralarının VLAN2 için kullanıldığını vb. belirleyebilir. Anahtarın bir portu, örneğin bir hub'ın kullanıldığı birkaç bilgisayarı bağlamak için kullanılabilir. Hepsi, anahtarın hizmet portunun kayıtlı olduğu bir sanal ağın üyeleri olarak tanımlanacaktır. Sanal ağ üyeliğinin bu sıkı bağlanması, bu organizasyonun ana dezavantajıdır.
MAC adreslerine dayalı VLAN
Bu yöntem, ağdaki her sunucu veya iş istasyonu için mevcut benzersiz onaltılık bağlantı katmanı adreslerinin kullanımına dayanır. VLAN'ların ne olduğu hakkında konuşursak, farklı sanal ağlara ait bilgisayarları tek bir anahtar bağlantı noktasına bağlamak oldukça mümkün olduğundan, bu yöntemin öncekine kıyasla daha esnek olduğu düşünülmeye değer. Ayrıca, bilgisayarların bir bağlantı noktasından diğerine hareketini otomatik olarak izleyerek, istemciyi yönetici müdahalesi olmadan belirli bir ağa ait tutmanıza olanak tanır.
Buradaki çalışma prensibi çok basittir: anahtar, iş istasyonlarının MAC adreslerinin sanal ağlara yazışma tablosunu tutar. Bilgisayar başka bir bağlantı noktasına geçer geçmez, MAC adresi alanı tablo verileriyle karşılaştırılır ve ardından bilgisayarın belirli bir ağa ait olduğu hakkında doğru sonuca varılır. Bu yöntemin dezavantajı, başlangıçta hatalara neden olabilen VLAN yapılandırmasının karmaşıklığıdır. Anahtarın kendi adres tablolarını oluşturmasına rağmen, ağ yöneticisi hangi adreslerin hangi sanal gruplara karşılık geldiğini belirlemek için hepsini gözden geçirmeli ve ardından bunları ilgili VLAN'lara atamalıdır. Ve burada, bazen yapılandırması oldukça basit olan Cisco VLAN'larda meydana gelen hatalar için bir yer var, ancak sonraki yeniden dağıtım, bağlantı noktalarının kullanılması durumundan daha zor olacak.
Katman 3 protokollerine dayalı VLAN
Bu yöntem, çalışma grubu veya departman anahtarlarında nadiren kullanılır. Ana LAN protokolleri - IP, IPX ve AppleTalk için yerleşik yönlendirme olanaklarıyla donatılmış omurgalar için tipiktir. Bu yöntem, belirli bir VLAN'a ait bir grup anahtar bağlantı noktasının bazı IP veya IPX alt ağlarıyla ilişkilendirileceğini varsayar. Bu durumda esneklik, bir kullanıcının aynı sanal ağa ait başka bir bağlantı noktasına hareketinin anahtar tarafından izlenmesi ve yeniden yapılandırılmasına gerek olmaması ile sağlanır. Bu durumda VLAN yönlendirmesi oldukça basittir, çünkü bu durumda anahtar, her bir ağ için tanımlanan bilgisayarların ağ adreslerini analiz eder. Bu yöntem, ek araçlar kullanmadan farklı VLAN'lar arasındaki etkileşimi de destekler. Bu yöntemin bir dezavantajı da vardır - uygulandığı anahtarların yüksek maliyeti. VLAN Rostelecom desteği bu düzeyde çalışır.
sonuçlar
Zaten anladığınız gibi, sanal ağlar, veri iletiminin güvenliği, yönetimi, erişim kontrolü ve kullanım verimliliğinin artırılması ile ilgili sorunları çözebilecek oldukça güçlü bir araçtır.
Taramalı Atomik Kuvvet Mikroskobu Laboratuvar raporu şunları içermelidir:
Havai iletişim ağı için destek seçimi
AC katener tasarımı ve hesaplanması
Mikroişlemci sistemlerinin geliştirilmesi Mikroişlemci sistemlerinin tasarım aşamaları
mcs51 ailesinin mikrodenetleyicileri