3.Vlan tarmog’ini qurish
Nomlari bo'lgan ikkita virtual Wi-Fi nuqtasi yaratilgan HotSpot va Idora... TO HotSpot Mehmon noutbuklari Internetga kirish uchun Wi-Fi orqali ulanadi Idora- korxona noutbuklari. Xavfsizlik nuqtai nazaridan, mehmon noutbuklari korporativ tarmoqqa kira olmasligi shart. Buning uchun korporativ kompyuterlar va virtual Wi-Fi ulanish nuqtasi Idora virtual lokal tarmoqqa birlashtirilgan VLAN 1 va mehmon noutbuklari virtual tarmoqda bo'ladi VLAN 2... Mehmon noutbuklari tarmoqdan VLAN 2 korxona tarmog'iga kira olmaydi VLAN 1. VLAN -dan foydalanishning afzalliklari Qurilmalarni guruhlarga moslashuvchan taqsimlash Odatda bitta VLAN bitta ichki tarmoqqa to'g'ri keladi. Turli VLAN -lardagi kompyuterlar bir -biridan ajratiladi. Shuningdek, siz turli xil kalitlarga ulangan kompyuterlarni bitta virtual tarmoqqa birlashtira olasiz. Tarmoqda translyatsiya trafigini kamaytirish Har bir VLAN alohida translyatsiya domenini ifodalaydi. Turli VLANlar o'rtasida translyatsiya trafigi o'tkazilmaydi. Agar siz bir xil VLAN -ni turli xil kalitlarga sozlasangiz, har xil kalitlarning portlari bitta translyatsiya domenini tashkil qiladi.
Tarmoq xavfsizligi va boshqarishni kuchaytirish Virtual tarmoqlarga bo'lingan tarmoqda har bir VLAN uchun siyosat va xavfsizlik qoidalarini qo'llash qulay. Siyosat alohida qurilmaga emas, balki butun ichki tarmoqqa nisbatan qo'llaniladi. Uskunalar miqdorini kamaytirish va tarmoq kabeli Yangi virtual yaratish uchun mahalliy tarmoq kalit sotib olish va tarmoq kabelini yotqizishning hojati yo'q. Biroq, siz VLAN-ni yoqadigan qimmatroq boshqaruv kalitlarini ishlatishingiz kerak. Belgilangan va belgilanmagan portlar Agar port turli VLANlardan trafikni qabul qila oladigan yoki yuboradigan bo'lsa, u etiketlangan yoki magistral holatda bo'lishi kerak. Magistral port va etiketli port tushunchalari bir xil. Magistral yoki tegli port, agar alohida ko'rsatilmagan bo'lsa, alohida ko'rsatiladigan VLANlarni yoki barcha standart VLANlarni olib yurishi mumkin. Agar port belgilanmagan bo'lsa, u faqat bitta VLANni o'tkazishi mumkin.
Agar portda VLAN nima ekanligini ko'rsatmasa, u birinchi VLANda (VID 1) teglanmagan holatda deb taxmin qilinadi. Bu holda, turli xil uskunalar boshqacha tarzda tuzilgan. Bir uskuna uchun siz jismoniy interfeysda ushbu interfeys qanday holatda ekanligini ko'rsatishingiz kerak, ikkinchisida esa, ma'lum bir VLAN -da, qaysi port tegli yoki tegsiz joylashtirilganligini ko'rsatish kerak. Va agar bu port bir nechta VLANni o'zi orqali o'tishi kerak bo'lsa, bu VLANlarning har birida siz ushbu portni teg bilan ro'yxatdan o'tkazishingiz kerak. Masalan, kalitlarda Enterasys tarmoqlari biz ma'lum bir port qaysi VLANda joylashganligini ko'rsatishimiz va bu portni ushbu VLAN chiqish ro'yxatiga qo'shishimiz kerak, shunda trafik bu port orqali o'tishi mumkin. Agar biz boshqa VLAN trafigi portimiz orqali o'tishini istasak, biz ushbu portni ushbu VLAN chiqish ro'yxatiga qo'shamiz. Uskunalar ustida HP(masalan, kalitlar ProCurve) VLAN -ning o'zida biz qaysi portlar ushbu VLAN trafikini o'tkazishi va port holatini qo'shib qo'yishi mumkinligini ko'rsatamiz - teglangan yoki teglanmagan. Uskuna bo'yicha eng oson Cisco tizimlari... Bunday kalitlarda biz faqat qaysi portlar belgilanmaganligini ko'rsatamiz, ular VLAN -larda kirish) va qaysi portlar belgilangan holatda ( magistral). Portlarni sozlash uchun magistral maxsus protokollar tuzilgan. Ulardan biri IEEE 802.1Q standartiga ega. Bu barcha ishlab chiqaruvchilar tomonidan qo'llab -quvvatlanadigan xalqaro standart bo'lib, ko'pincha virtual tarmoqlarni sozlashda ishlatiladi. Bundan tashqari, turli ishlab chiqaruvchilar o'zlarining ma'lumot uzatish protokollariga ega bo'lishlari mumkin.
Masalan, Cisco uskunalarim uchun protokol tuzdi ISL (Inter switch lisk). Viloyatlararo yo'nalish Inter-WLAN yo'nalishi nima? Bu oddiy tarmoq osti yo'nalishi. Faqatgina farq shundaki, har bir kichik tarmoq ikkinchi darajadagi VLANga mos keladi. Bu nimani anglatadi. Aytaylik, bizda ikkita VLAN bor: VID = 10 va VID = 20. Ikkinchi darajada, bu VLANlar bitta tarmoqni ikkita kichik tarmoqqa ajratadi. Bu tarmoqlardagi xostlar bir -birini ko'ra olmaydi. Ya'ni, transport butunlay izolyatsiya qilingan. Mezbonlar bir -biri bilan muloqot qila olishlari uchun ushbu VLANlar trafigini yo'naltirish kerak. Buning uchun biz har bir VLANga uchinchi darajali interfeysni tayinlashimiz, ya'ni ularga IP -manzilni biriktirishimiz kerak. Masalan, VID = 10 uchun IP -manzil 10.0.10.1/24, VID = 20 uchun esa IP -manzil 10.0.20.1/24 bo'ladi. Bu manzillar boshqa tarmoqlarga kirish uchun shlyuz vazifasini bajaradi. Shunday qilib, biz xost -trafikni bitta VLAN -dan boshqa VLANga yo'naltirishimiz mumkin. VLAN bo'lmagan marshrutni VLAN bo'lmagan tashrif buyuruvchilar bilan qanday solishtirish mumkin? Mana nima: Mijoz tomonida boshqa tarmoqqa a'zo bo'lish imkoniyati bloklanadi. Ya'ni, agar uy egasi ma'lum bir VLAN tarmog'ida bo'lsa, u hatto manzilni boshqa tarmoqdan o'zgartirsa ham, u avvalgi VLAN -da qoladi. Bu shuni anglatadiki, u boshqa ichki tarmoqqa kira olmaydi. Va bu, o'z navbatida, tarmoqni "yomon" mijozlardan himoya qiladi.
Biz VLANga bir nechta jismoniy o'tish interfeyslarini qo'yishimiz mumkin. Ya'ni, tashqi yo'riqnoma ishlatmasdan, tarmoq mijozlarini unga ulab, uchinchi darajali kommutatorda marshrutni darhol sozlash imkoniyatiga egamiz. Yoki biz VLAN -lar konfiguratsiya qilingan ikkinchi qatlamli kalitga ulangan tashqi yo'riqchidan foydalanishimiz va yo'riqnoma portida qancha VLAN yo'nalishi kerak bo'lsa, shuncha ko'p ichki interfeyslarni yaratishimiz mumkin. Ikkinchi qatlamni VLAN shaklida birinchi va uchinchi darajalar orasida ishlatish juda qulay. Ichki tarmoqlarni maxsus interfeysli VLAN sifatida belgilash qulay. Bitta VLANnni sozlash va unga bir nechta kommutator portlarini qo'yish qulay. Umuman olganda, VLAN mavjud bo'lganda ko'p narsalarni qilish qulay. VLAN texnologiyasi tarmoqni mantiqiy segmentlarga ajratish imkonini beradi. Har bir bunday mantiqiy segmentning o'ziga xos efir maydoni mavjud. Unicast, translyatsiya va multicast trafigi faqat bitta VLANga kiritilgan qurilmalar o'rtasida uzatiladi. VLAN ko'pincha IP -tarmoq segmentlarini ajratish uchun ishlatiladi, keyinchalik marshrutizatorda yoki L3 kalitidagi turli VLANlar orasidagi trafikni keyinchalik yo'naltirish va filtrlash. Cisco routerda VLAN -ni qanday sozlashni Cisco VLAN - Cisco routerda vlanni sozlash maqolasida topish mumkin. Bu erda biz Cisco Catalyst kalitlarida VLAN -ni sozlash haqida gaplashamiz. VLANni kommutatorda sozlashdan oldin, VLAN trunking protokoli (VTP) tarmoqda ishlatiladimi yoki yo'qmi, qaror qabul qilishingiz kerak. VTP -dan foydalanish tarmoqdagi VLAN -larni boshqarishni (yaratish, o'chirish, nomini o'zgartirish) osonlashtiradi. VTP holatida, o'zgarish (VLAN ma'lumoti) markaziy ravishda bitta kalitda amalga oshirilishi mumkin va o'zgarishlar tarmoqdagi boshqa kalitlarga o'tadi. Agar siz VTP -dan foydalanmasangiz, unda har bir kalitga so'ng, konsol VLAN konfiguratsiya rejimida bo'ladi, bu erda siz VLAN uchun yuqoridagi parametrlarni o'rnatishingiz mumkin) Sw1 (config) # sw1 (config) #vlan 200 sw1 (config-vlan) #
Yaratilgan VLAN uchun kerakli parametrlarni o'rnating (masalan, ism) Sw1 (config-vlan) # sw1 (config-vlan) # nomi TESTVLAN sw1 (config-vlan) # Agar VLAN konfiguratsiya rejimida savol belgisini kiritsangiz, ushbu VLAN uchun o'rnatiladigan parametrlar ko'rsatiladi: Sw1 (config-vlan) #? VLAN konfiguratsiya buyruqlari: bu VLAN uchun barcha Route Explorer xoplarining maksimal soni (yoki ko'rsatilmagan bo'lsa nol) backupcrf VLAN ko'prigining zaxira CRF rejimi VLAN chiqishining ko'priklash xususiyatlari O'zgarishlarni qo'llang, o'zgartirish raqami va chiqish rejimini o'zgartiring. ommaviy axborot vositalari VLAN turi mtu VLAN Maksimal uzatish birligining nomi VLANning Ascii nomi yo'q Buyruqni rad eting yoki FDDI yoki Token Ring ota-ona VLANining ota-ona identifikator raqamini o'rnating VLANs private-vlan Xususiy VLAN masofali masofani sozlang. SPAN VLAN ring FDDI yoki Token Ring tipidagi VLANlarning halqali raqami IEEE 802.10 SAID yopilishi VLANni almashtirish holati VLAN stining ishlash holati Ushbu VLAN uchun yoyilgan daraxtlar qidiruvchilarining maksimal soni (yoki ko'rsatilmagan bo'lsa nol) stp. VLAN tb-vlan1 ushbu VLAN uchun birinchi translyatsion VLANning identifikator raqami (yoki nol bo'lsa) tb-vlan2 bu VLAN uchun ikkinchi translyatsion VLANning identifikator raqami (yoki yo'q bo'lsa nol)
Vlan konfiguratsiya rejimidan chiqish (buyruq " Chiqish", Yoki" oxiri"- global konfiguratsiya rejimidan chiqish) Sw1 (config-vlan) # sw1 (config-vlan) # end sw1 # "" Buyrug'i bilan konfiguratsiyani saqlashni unutmang. run-config startup-config nusxasini oling"Imtiyozli rejimda Sw1 # sw1 # copy running-config startup-config Destination fayl nomi? Qurilish konfiguratsiyasi ... Siz VLAN -ni "" buyrug'i bilan o'chirib tashlashingiz mumkin. vlan yo'q id "Global konfiguratsiya rejimida: Sw1 (config) # sw1 (config) # no vlan 200 sw1 (config) # 2. Cisco Catalyst -da portlarni sozlash Cisco kalitidagi port rejimlardan birida bo'lishi mumkin: kirish- port terminal qurilmasini ulash uchun mo'ljallangan.
Faqat bitta VLANga tegishli. Portga ulangan qurilmadan kiruvchi trafik portda ko'rsatilgan VLAN bilan belgilanadi. magistral- port boshqa kalit yoki yo'riqchiga ulanish uchun mo'ljallangan. Port belgilangan trafikni uzatadi. U bitta jismoniy kabel orqali bir yoki bir nechta VLAN -dan trafikni uzatishi mumkin. Cisco Catalyst-da siz port rejimini o'zingiz o'rnatishingiz mumkin (magistral yoki kirish) yoki avtomatik aniqlashni o'rnatishingiz mumkin. Rejim avtomatik aniqlanganda, port qo'shni bilan muzokara qilinadi (bu portga ulangan kalit yoki boshqa qurilma). Port rejimi DTP (dinamik trunking protokoli) freymlarini uzatish orqali kelishiladi. DTP protokoli muvaffaqiyatli ishlashi uchun interfeyslar bir xil VTP domenida bo'lishi kerak (yoki VTP domenlaridan biri nol, noaniq) Port rejimini avtomatik aniqlash "buyrug'i bilan o'rnatiladi. switchport rejimi dinamik avtomatik"Yoki" "interfeys konfiguratsiya rejimida. switchport rejimi dinamik avtomatikmagistral " yoki " dinamik orzu qilingan« Agar interfeys "ga o'rnatilgan bo'lsa switchport rejimi dinamik"- keyin port magistral rejimiga o'tadi, agar qo'shni kalit porti o'rnatilgan bo'lsa" magistral"yoki" dinamik orzu qilingan"yoki" dinamik avtomatik« Hamma qurilmalar ham DTP -ni qo'llab -quvvatlamaydi, yoki ular DTP freymlarini noto'g'ri uzatishi mumkin, bu holda rejimni (kirish yoki magistral) " switchport rejimiga kirish"yoki" magistralni almashtirish rejimi"Interfeys konfiguratsiya rejimida va buyruq yordamida DTP ramkalarini uzatishni o'chirib qo'ying." switchport muzokara qilmaydi«.
Standart port konfiguratsiyasi: Portni avtomatik sezish rejimiga o'rnatish. Amallar: yoqish«) terminalni sozlash«) interfeys interfeysi identifikatori ", qaerda interfeysi identifikatori - interfeys nomi va raqami, masalan "GigabitEthernet0 / 21 interfeysi") - so'rang dinamik rejim port / interfeys (buyruq: " switchport rejimi dinamik avtomatik"yoki" switchport rejimi dinamik«) - (ixtiyoriy), agar port magistral rejimidan kirish rejimiga o'tsa, interfeysda bo'ladigan VLAN -ni o'rnating, sukut bo'yicha VLAN 1 (buyruq: " o'tish portiga kirish vlan vlan-id ", qaerda vlan-id - VLAN raqami) - (ixtiyoriy) IEEE 802.1q magistral uchun Native VLAN -ni sozlash, sukut bo'yicha Native VLAN 1 (buyruq: " switchport magistral mahalliy vlan vlan-id ", qaerda vlan-id - mahalliy VLAN raqami) - magistralga VLAN -ni qo'shish / o'chirish, sukut bo'yicha barcha VLAN raqamlariga ruxsat berilgan (buyruqlar: " switchport trunk ruxsat vlan qo'shish vlan-list "- ko'rsatilgan VLAN-larni qo'shing vlan ro'yxati, « switchport magistral ruxsat vlan olib tashlash vlan-list "- ro'yxatda ko'rsatilgan VLAN-ni magistraldan olib tashlang vlan ro'yxati, v vlan-list vlanlar bo'sh joysiz vergul bilan ajratilgan va diapazonlar defis bilan ajratilgan, masalan 2.20,30-40,50 ). Siz darhol kerakli VLANlar ro'yxatini o'rnatishingiz mumkin (buyruq bilan: " switchport magistral vlan ruxsat vlan-list «) o'chirish yo'q«) Chiqish"yoki" oxiri») Sw1 # configure terminal konfiguratsiya buyruqlarini kiriting, har bir satrda. CNTL / Z bilan tugating. sw1 (config) #interface gigabitEthernet 0/23 sw1 (config-if) #switchport rejimi dinamik kerakli sw1 (config-if) #switchport access vlan 50 sw1 (config-if) #switchport magistral vlan 100 sw1 (config-if) #switchport magistraliga ruxsat berilgan vlan 2,30-35,40 sw1 (config-if) #o'chirish sw1 (config-if) #end sw1 # Bu misolda, agar qo'shni kalitdagi port dinamik avtomatik yoki dinamik o'chirish yoki magistral rejimiga o'rnatilgan bo'lsa, 23 -port magistral rejimiga o'tkaziladi. Magistralda faqat VLAN 2, VLAN 30 dan 35 gacha va VLAN 40 uzatiladi. Port magistral rejimida ishlaganda, teglanmagan (mahalliy) kiruvchi trafik VLAN 100 ga joylashtiriladi. qo'shni kommutator rejimga kirishda ishlaydi, keyin interfeys VLAN 50 ga joylashtiriladi. Kirish portining konfiguratsiyasi. Kirish portidagi VLAN statik yoki avtomatik tarzda o'rnatilishi mumkin
XULOSA
Vertual tarmoqlar bu malumotni uzatish, boshqarish va foydalanish samaradorligini bilan bog’liq har qanday muammolarni samarali hal qila oladigan ishonchli vosita
FOYDALANILGANSAYTLAR:
https://wrldlib.ru/uz/kak-rabotayut-virtualnye-chastnye-seti-vlan-nastroika-vlan-virtual-local-area/
http://fayllar.org
|
