Для чего служит идентификатор кадра tag где он размещается
Виртуальные локальные сети
16.3. Маршрутизация между виртуальными локальными сетями
Для соединения с маршрутизатором в схеме дополнительно задействованы три интерфейса коммутатора Sw_А: F0/11, F0/12, Ff0/13. При этом порт F0/11 приписан к сети VLAN 10, порт F0/12 – к VLAN 20, порт F0/13 – к VLAN 30.
На маршрутизаторе используются три интерфейса – F0/1, F0/2, F0/3 ( по числу виртуальных сетей), которые сконфигурированы следующим образом:
По команде sh ip route можно посмотреть таблицу маршрутизации :
Из таблицы маршрутизации следует, что все три сети (10.1.10.0, 172.16.20.0, 192.168.30.0) являются непосредственно присоединенными и, следовательно, могут обеспечивать маршрутизацию между сетями. «Прозвонка» с узла 10.1.10.11 узлов сетей 172.16.20.0 и 192.168.30.0 дает положительный результат.
Защита межсетевых соединений через маршрутизатор может быть реализована с помощью сетевых фильтров (списков доступа), которые рассмотрены в лекции 14.
Недостатком такого метода организации межсетевых соединений является необходимость использования дополнительных интерфейсов коммутатора и маршрутизатора, число которых равно количеству виртуальных сетей. От этого недостатка свободно транковое соединение, когда совокупность физических каналов между двумя устройствами может быть заменена одним агрегированным каналом.
Конфигурирование транковых соединений
При транковом соединении коммутатора и маршрутизатора три физических канала между ними заменяются одним агрегированным каналом ( рис. 16.7).
Для создания транкового соединения на коммутаторе задействован интерфейс F0/10, а на маршрутизаторе – F0/0.
Конфигурирование коммутатора будет следующим:
По команде sh int f0/10 switchport можно посмотреть состояние интерфейса:
Из распечатки следует, что порт F0/10 находится в режиме Trunk.
Результат конфигурирования проверяется по команде sh ip route :
Из таблицы маршрутизации следует, что сети 10.1.10.0, 172.16.20.0 и 192.168.30.0 являются непосредственно присоединенными. Поэтому маршрутизатор способен обеспечить маршрутизацию между сетями.
Краткие итоги
Вопросы
Упражнения
Заключение
Существующая в настоящее время система защиты информации при передаче по сети не в полной мере удовлетворяет требованиям по предотвращению несанкционированного доступа. Поэтому происходит постоянный поиск путей и способов создания конкретных аппаратно-программных средств и комплексов в рамках системы обеспечения информационной безопасности. Знание и учет особенностей построения и функционирования сети, конкретных стандартов и протоколов является основой успешного решения этой задачи.
Автор надеется, что материал настоящего учебного пособия представлен в доступной форме, что облегчит читателям задачу овладения технологиями современных сетей. Слушатели курсов и студенты, освоившие технологии виртуальных локальных сетей и конфигурирование сетевых фильтров (списков доступа), смогут эффективно создавать защищенные сети, как локальные, так и распределенные.
Предоставляемые слушателям локальной академии Cisco учебные материалы и программные имитаторы функционирования сети даются на английском языке, что затрудняет их изучение и не позволяет применять их для обучения студентов в государственных вузах. Изучение сетевых технологий с использованием данного учебного пособия поможет студентам, слушателям курсов повышения квалификации и слушателям локальной академии Cisco легче адаптироваться к учебному процессу и полноценно освоить конфигурирование аппаратуры Cisco.
Введение в сети VLAN и тегирование
Введение в сети VLAN и тегирование
Типичные сценарии использования
Другие статьи по этой теме
Введение в сети VLAN и тегирование
Виртуальные сети VLAN позволяют администраторам сетей разделить всю физическую сеть на отдельные логические широковещательные домены.
В стандартной сети Уровня 2 все хосты, присоединенные к коммутатору принадлежат одному и тому же широковещательному домену. Широковещательные домены могут быть физически разделены между разными коммутаторами только маршрутизаторами.
По мере роста сети появляется необходимость в организации множества широковещательных доменов для сегментирования трафика. Это позволяет обеспечить требуемую логистику, повысить производительность и безопасность работы сети. Без использования VLAN, в типичном случае потребовалось бы, чтобы каждый сегмент сети имел свой собственный отдельный коммутатор и соответствующую инфраструктуру. Для связи между такими сегментами коммутации потребовалось бы не менее одного маршрутизатора.
VLAN представляет собой широковещательный домен. Идентификация сетей VLAN осуществляется по их идентификаторам VLAN ID (целые числа в пределах от 0 до 4095). По умолчанию в любой сети уже создана одна VLAN, имеющая идентификатор VLAN 1. Каждый порт на коммутаторе или маршрутизаторе можно назначить сети VLAN (то есть, разрешить на этом порту отправку и прием трафика по данной VLAN).
Пример. На коммутаторе, трафик, который посылается в порт, принадлежащий VLAN 100, может быть передан любому порту VLAN 100; этот трафик может также транспортироваться через магистральный порт (соединение между коммутаторами) на другой коммутатор и передаваться на все порты VLAN 100 этого коммутатора. Однако трафик не может быть передан на порты с другим идентификатором VLAN ID.
Это позволяет администратору сети эффективно логически разделить коммутатор и при этом обеспечить: одновременную работу множества широковещательных доменов на одной и той же аппаратуре; изоляцию доменов; повышенную производительность сети за счет использования полностью отделенных коммутаторов.
Вследствие того, что виртуальные сети VLAN являются протоколом Уровня 2, требуется маршрутизация Уровня 3, обеспечивающая связь между различными VLAN. Таким же образом работает маршрутизатор между сегментами, управляя трафиком между двумя подсетями на разных коммутаторах. В дополнение к этому, некоторые коммутаторы Уровня 3 поддерживают маршрутизацию между сетями VLAN и обеспечивают обмен трафиком на коммутаторах ядра, увеличивая производительность за счет устранения отправки трафика через маршрутизатор.
Для того, чтобы сети VLAN можно было реализовать, необходима их поддержка на коммутаторах и маршрутизаторах. Для конфигурации сетей VLAN наиболее часто используется стандартный протокол IEEE 802.1Q., хотя существует и несколько протоколов, являющихся собственными разработками компаний. Коммутаторы, поддерживающие VLAN, часто называют «управляемыми», однако этот термин не всегда правильно используется специалистами по маркетингу и не гарантирует поддержку VLAN.
Все маршрутизаторы, коммутаторы и беспроводные решения компании Ubiquiti поддерживают протокол VLAN 802.1Q и могут работать с аппаратурой других изготовителей, в которой используется этот протокол.
Типичные сценарии использования
Несколько примеров применений, в которых обычно используются виртуальные сети VLAN:
Отделение трафика сети управления от трафика сервера или трафика конечного пользователя.
Изоляция чувствительной инфраструктуры, сервисов и хостов, например, изоляция корпоративных пользователей от гостевых пользователей.
Приоритезация трафика, реализация правил качества обслуживания QOS (Quality of Service) для конкретных сервисов, например, сервиса IP-телефонии (VoIP).
Обеспечение сетевых сервисов для различных клиентов поставщика услуг интернета (ISP), центров обработки данных и офисных зданий, использующих одну и ту же инфраструктуру коммутации и маршрутизации.
Логическое отделение групп хостов, безотносительно к их физическому положению, например, создание возможности использования сотрудниками отдела кадров одной и той же подсети и доступа к одним и тем же ресурсам сети, безотносительно к местонахождению этих сотрудников в здании.
Определение и использование термина «тегирование VLAN» сильно отличается в зависимости от изготовителя оборудования. Для того, чтобы поддерживающее стандарт 802.1Q оборудование идентифицировало принадлежность пакета данных той или иной VLAN, в кадр Ethernet добавляется заголовок, специфицирующий VLAN ID.
VLAN без тега: такие VLAN часто называют «родными VLAN». Любой трафик, отправленный хостом в порт коммутатора, не имеющий специфицированого VLAN ID, будет назначен VLAN без тега.
Этот вариант чаще всего используется при соединении хостов, являющихся рабочими станциями или для IP-камер, не имеющих тега их собственного трафика; тег необходим лишь для связи с одной, конкретной VLAN. В это время порт может иметь только одну сконфигурированную VLAN без тега.
VLAN с тегом: При назначении порту VLAN с тегом происходит добавление порта в VLAN, однако, чтобы весь входящий и исходящий трафик мог быть передан, он должен иметь тег с VLAN ID. Хост, подключенный к порту коммутатора, должен быть способен тегировать свой собственный трафик и сконфигурирован с тем же самым VLAN ID.
VLAN с тегом (в отличие от VLAN без тега) на порту в типичном случае используются для подключения к хосту, которому необходим одновременный доступ к нескольким сетям по одному и тому же интерфейсу, например, к серверу, обслуживающему несколько отделений офиса. VLAN с тегом может также использоваться при соединении двух коммутаторов для ограничения доступа к VLAN от хостов за коммутатором (по соображениям безопасности).
Магистраль: В типичном случае магистральный порт считается принадлежащим всем сетям VLAN; он будет принимать и передавать трафик по любому VLAN ID и обычно сконфигурирован для портов как до коммутаторов и маршрутизаторов, так и портов за ними.
Хотя в каждом семействе продуктов Ubiquiti (EdgeMAX, UniFi, airMAX) используются свои способы конфигурации сетей VLAN, все продукты поддерживают один и тот же способ тегирования, работы без тегов, создания магистралей, управления трафиком и обеспечивают совместную работу.
Дальнейшую информацию по конфигурации сетей VLAN конкретного продукта см. в других статьях по этой теме в разделе ниже.
Другие статьи по этой теме
Виртуальные локальные сети
16.3. Маршрутизация между виртуальными локальными сетями
Для соединения с маршрутизатором в схеме дополнительно задействованы три интерфейса коммутатора Sw_А: F0/11, F0/12, Ff0/13. При этом порт F0/11 приписан к сети VLAN 10, порт F0/12 – к VLAN 20, порт F0/13 – к VLAN 30.
На маршрутизаторе используются три интерфейса – F0/1, F0/2, F0/3 ( по числу виртуальных сетей), которые сконфигурированы следующим образом:
По команде sh ip route можно посмотреть таблицу маршрутизации :
Из таблицы маршрутизации следует, что все три сети (10.1.10.0, 172.16.20.0, 192.168.30.0) являются непосредственно присоединенными и, следовательно, могут обеспечивать маршрутизацию между сетями. «Прозвонка» с узла 10.1.10.11 узлов сетей 172.16.20.0 и 192.168.30.0 дает положительный результат.
Защита межсетевых соединений через маршрутизатор может быть реализована с помощью сетевых фильтров (списков доступа), которые рассмотрены в лекции 14.
Недостатком такого метода организации межсетевых соединений является необходимость использования дополнительных интерфейсов коммутатора и маршрутизатора, число которых равно количеству виртуальных сетей. От этого недостатка свободно транковое соединение, когда совокупность физических каналов между двумя устройствами может быть заменена одним агрегированным каналом.
Конфигурирование транковых соединений
При транковом соединении коммутатора и маршрутизатора три физических канала между ними заменяются одним агрегированным каналом ( рис. 16.7).
Для создания транкового соединения на коммутаторе задействован интерфейс F0/10, а на маршрутизаторе – F0/0.
Конфигурирование коммутатора будет следующим:
По команде sh int f0/10 switchport можно посмотреть состояние интерфейса:
Из распечатки следует, что порт F0/10 находится в режиме Trunk.
Результат конфигурирования проверяется по команде sh ip route :
Из таблицы маршрутизации следует, что сети 10.1.10.0, 172.16.20.0 и 192.168.30.0 являются непосредственно присоединенными. Поэтому маршрутизатор способен обеспечить маршрутизацию между сетями.
Краткие итоги
Вопросы
Упражнения
Заключение
Существующая в настоящее время система защиты информации при передаче по сети не в полной мере удовлетворяет требованиям по предотвращению несанкционированного доступа. Поэтому происходит постоянный поиск путей и способов создания конкретных аппаратно-программных средств и комплексов в рамках системы обеспечения информационной безопасности. Знание и учет особенностей построения и функционирования сети, конкретных стандартов и протоколов является основой успешного решения этой задачи.
Автор надеется, что материал настоящего учебного пособия представлен в доступной форме, что облегчит читателям задачу овладения технологиями современных сетей. Слушатели курсов и студенты, освоившие технологии виртуальных локальных сетей и конфигурирование сетевых фильтров (списков доступа), смогут эффективно создавать защищенные сети, как локальные, так и распределенные.
Предоставляемые слушателям локальной академии Cisco учебные материалы и программные имитаторы функционирования сети даются на английском языке, что затрудняет их изучение и не позволяет применять их для обучения студентов в государственных вузах. Изучение сетевых технологий с использованием данного учебного пособия поможет студентам, слушателям курсов повышения квалификации и слушателям локальной академии Cisco легче адаптироваться к учебному процессу и полноценно освоить конфигурирование аппаратуры Cisco.
Виртуальные локальные сети
7.1. Общие сведения о виртуальных локальных сетях
Виртуальные сети логически сегментируют всю сеть на широковещательные домены так, чтобы пакеты пересылались только между портами, которые назначены на ту же самую VLAN (приписаны к одной VLAN ). Каждая сеть VLAN состоит из узлов, объединенных единственным широковещательным доменом, образованным приписанными к виртуальной сети портами коммутатора.
На практике используются несколько типов виртуальных локальных сетей:
Для передачи трафика разных VLAN между устройствами создают магистральные транковые каналы (Trunk). Такие каналы формируют между коммутаторами, между коммутаторами и маршрутизаторами, а также между коммутаторами и серверами, поддерживающими протокол 802.1Q. На рис. 7.3 представлен транковый канал между коммутаторами Sw-A и Sw-B.
Функционирование виртуальных локальных сетей определяется протоколом 802.1Q. Согласно этому протоколу порты коммутатора подразделяются на:
Роль сети native VLAN рассмотрена на примере сети рис. 7.5, где компьютер Узел 1 через концентратор Hub подключен к транковому каналу между коммутаторами Sw-A и Sw-B. Сетью native VLAN является сеть по умолчанию Vlan 1. Узел 1 передает в транковый канал нетегированный трафик, который коммутаторы отправляют в сеть Vlan 1, узлы которой подключены как к коммутатору Sw-A, так и к Sw-B. Тегированный трафик транкового канала компьютером Узел 1 отбрасывается.
Сеть рис. 7.5 плохо спроектирована, поскольку в транковом канале установлен концентратор, через который возможен доступ к транковому соединению, что снижает безопасность сети.
Виртуальные локальные сети
16.3. Маршрутизация между виртуальными локальными сетями
Для соединения с маршрутизатором в схеме дополнительно задействованы три интерфейса коммутатора Sw_А: F0/11, F0/12, Ff0/13. При этом порт F0/11 приписан к сети VLAN 10, порт F0/12 – к VLAN 20, порт F0/13 – к VLAN 30.
На маршрутизаторе используются три интерфейса – F0/1, F0/2, F0/3 ( по числу виртуальных сетей), которые сконфигурированы следующим образом:
По команде sh ip route можно посмотреть таблицу маршрутизации :
Из таблицы маршрутизации следует, что все три сети (10.1.10.0, 172.16.20.0, 192.168.30.0) являются непосредственно присоединенными и, следовательно, могут обеспечивать маршрутизацию между сетями. «Прозвонка» с узла 10.1.10.11 узлов сетей 172.16.20.0 и 192.168.30.0 дает положительный результат.
Защита межсетевых соединений через маршрутизатор может быть реализована с помощью сетевых фильтров (списков доступа), которые рассмотрены в лекции 14.
Недостатком такого метода организации межсетевых соединений является необходимость использования дополнительных интерфейсов коммутатора и маршрутизатора, число которых равно количеству виртуальных сетей. От этого недостатка свободно транковое соединение, когда совокупность физических каналов между двумя устройствами может быть заменена одним агрегированным каналом.
Конфигурирование транковых соединений
При транковом соединении коммутатора и маршрутизатора три физических канала между ними заменяются одним агрегированным каналом ( рис. 16.7).
Для создания транкового соединения на коммутаторе задействован интерфейс F0/10, а на маршрутизаторе – F0/0.
Конфигурирование коммутатора будет следующим:
По команде sh int f0/10 switchport можно посмотреть состояние интерфейса:
Из распечатки следует, что порт F0/10 находится в режиме Trunk.
Результат конфигурирования проверяется по команде sh ip route :
Из таблицы маршрутизации следует, что сети 10.1.10.0, 172.16.20.0 и 192.168.30.0 являются непосредственно присоединенными. Поэтому маршрутизатор способен обеспечить маршрутизацию между сетями.
Краткие итоги
Вопросы
Упражнения
Заключение
Существующая в настоящее время система защиты информации при передаче по сети не в полной мере удовлетворяет требованиям по предотвращению несанкционированного доступа. Поэтому происходит постоянный поиск путей и способов создания конкретных аппаратно-программных средств и комплексов в рамках системы обеспечения информационной безопасности. Знание и учет особенностей построения и функционирования сети, конкретных стандартов и протоколов является основой успешного решения этой задачи.
Автор надеется, что материал настоящего учебного пособия представлен в доступной форме, что облегчит читателям задачу овладения технологиями современных сетей. Слушатели курсов и студенты, освоившие технологии виртуальных локальных сетей и конфигурирование сетевых фильтров (списков доступа), смогут эффективно создавать защищенные сети, как локальные, так и распределенные.
Предоставляемые слушателям локальной академии Cisco учебные материалы и программные имитаторы функционирования сети даются на английском языке, что затрудняет их изучение и не позволяет применять их для обучения студентов в государственных вузах. Изучение сетевых технологий с использованием данного учебного пособия поможет студентам, слушателям курсов повышения квалификации и слушателям локальной академии Cisco легче адаптироваться к учебному процессу и полноценно освоить конфигурирование аппаратуры Cisco.