Poți să faci vlăbirea pe degete

  • HP
  • Administrarea rețelei

Încep să transfere o rețea convențională plat pe un VLAN
Scopul - de exemplu, că utilizatorii nu își împărtășesc dosarele. Da, o mulțime de lucruri, mai ales pe securitate.

Există:
1. Întrerupătorul de testare HP 2610 poate să ajungă până la 256 vlan'ov.
2. câteva calculatoare pe care le puteți experimenta
3. Gratar de lucru și de lucru

Dar în cap - terci.

Puteți sugera materialul sau explica pe degete?
1. Vlan sunt trunchiul și nu. Care este diferența, de ce? Poate, ce mai sunt?
2. Zhelezka atârnă o etichetă vlan pe pachete, nu? E un tip și toate astea. O altă bucată de fier ia acest ajutor și o compară cu propria lui, nu-i așa? Deci, vlan `s pe două bucăți de fier ar trebui să aibă aceeași aidishniki?
3. Uneori văd că trebuie să personalizați PC-ul. De ce? Ca toate glandele ar trebui să facă.

Ei bine, iată un exemplu.
Există PC 1,2,3. 1 este administratorul. Există o înregistrare de fișiere 4.
Luăm și facem vlan `s cu porturile:
vlan1 - 1,2,3,4 - aceasta este pentru admin pentru a putea administra
vlan2 - 2,4 - acesta este un computer 2 pentru a utiliza faylopomoykoy
. dar în acest caz, aceleași 3 vor vedea totul? De asemenea, vine în vlan1.

1. Vlan sunt trunchiul și nu. Care este diferența, de ce? Poate, ce mai sunt?
Trunking Whelan (mai precis, un port trunchi) adăugat la fiecare ieșire și citește din tag-ul de intrare, care este format din 2 octeți, numărul maxim de Wilanow acolo - 4096. Conform acestui echipament tag determină pachetul aparține unui anumit VLAN. Același port poate fi configurat astfel încât să pachete „out“, aparținând unui anumit Wilanow, dar lăsați-le fără tag-ul, și comutatorul doar știe că acest pachet de port va aparține unei astfel și o astfel de Wilanow. Aceasta se numește "fără etichetă, dar în Vilan". )

2. Zhelezka atârnă o etichetă vlan pe pachete, nu? E un tip și toate astea. O altă bucată de fier ia acest ajutor și o compară cu propria lui, nu-i așa? Deci, vlan `s pe două bucăți de fier ar trebui să aibă aceeași aidishniki?
O altă situație este că există o legătură între comutatoare și este necesar ca același vilon să fie vizibil pe ambele comutatoare - apoi închidem etichetele de pe pachete și le trimitem acolo. Prin etichete, din nou, calitatea de membru al traficului va fi determinată și va fi împărțită corespunzător. Desigur, în acest caz, ID-ul aceluiași maistru trebuie să fie același pe ambele comutatoare, altfel pachetele vor fi pur și simplu pierdute (fără a intra în detalii). Ei bine, în acest fel, orice număr de mături poate fi transmis printr-o singură legătură, în 4096 și capacitatea echipamentului.

3. Uneori văd că trebuie să personalizați PC-ul. De ce? Ca toate glandele ar trebui să facă.
Așa e. Dacă setați că „portul aparține al 3-lea Wilanow neetichetate“ - PC-ul vede acest pachet fara tag-uri și nici măcar nu suspect, fără cârje și dans cu o tamburina, dar în interiorul comutatorul va fi evidențiat în Vila în mod clar. Dacă aveți nevoie pentru a trimite la PC-ul, de exemplu, mai multe Wilanow o carte de rețea (dacă restricții mici), puteți trimite un Whelan fără o etichetă (deși nu este necesar), iar restul - în tag-ul. În acest caz, aveți nevoie de lemn pentru o placă de rețea care acceptă Vila, și interfețe virtuale sunt create cu ajutorul lor, câte unul pentru fiecare Vila etichetat. Numărul lor este determinat de setarea dvs. (adăugând un vilan -> apare o interfață).

Pentru cei care sunt în diferite Wilanow, am văzut unul pe altul, este necesar ca ambele Wilanow atârnate pe o singură interfață a router-ului (în cazul cel mai simplu - același router) ca o poarta de acces, iar router-ul va trebui să transmită trafic între subrețele și Wilanow. Ei bine și mai departe pe un router este posibil și de a vânt o siguranță, deoarece. singurul punct de "tranziție" al traficului între Vilanas - va fi acest router. Fără acest router, PC-urile din diferite vilani nu se vor vedea reciproc.

11. Da, prefixul "un" este ceva de genul "nu". Fără o etichetă, nu poate exista decât un singur vilan, deoarece altfel nu va fi clar ce fel de trafic
12. Pentru ca PC-ul să înțeleagă traficul cu eticheta, trebuie să poată manipula etichetele la nivelul șoferului. Dacă nu știe cum - nu va vedea traficul marcat. Dar puteți specifica faptul că Vilan 1 și 2 №1 portul neetichetate și porturile 3 și 4 - Whelan №2 fără o etichetă, iar componentele introduse în portul 1 și 2 va fi văzut unul pe altul, dar nu am văzut pe nimeni care inserate în porturile 3 și 4. Ei bine și dimpotrivă. Eticheta însăși este necesară NUMAI atunci când unul sau mai multe porturi trebuie să trimită 2 sau mai multe exemplare. Doar ca să nu fii confuz.
13. Tehnologia Vilan este standardizată (802.1q) și orice echipament care poate face Vilanas este compatibil cu alte echipamente care știe și cum. Nu contează producătorul, principalul lucru fiind că biroul 2 vilana are o anumită identitate care a fost identică pe ambele comutatoare. Ei bine, cu șeful același cântec.
14. Însuți întrebați ce va ieși și cum vor fi vizibile în port. Dacă ați arătat că doar al 15-lea Vilan părăsește portul, atunci atacatorul conectat la acest port nu va avea acces nici la vilanul 3, nici la cel de-al 500-lea, nici la cel de-al 15-lea. Dacă, desigur, atacatorul cunoaște login-ul / parola de la comutator, el poate vedea ce fel de vilani trebuie să-l aducă în port și numai atunci să aibă acces la ele. Dar aceasta este deja o problemă de izolare a interfeței de management.
15. Nr. Dacă în vilani diferiți există aceeași subrețea, computerele acestor vilani nu se vor vedea niciodată între Vilanas. Diferitele subrețele sunt folosite numai pentru a vă putea "obține" reciproc prin rutare, deoarece cu rețele diferite nu vor exista conflicte. În general, aceleași rețele creează o mulțime de probleme :)

cu p.15 va fi necesar să gândim și să ne dăm seama, dar sper că pot să o fac singură.
Pe scurt - trebuie să mai împărțiți (până când înțelegeți de ce, pentru a fi cinstit).

Nu este clar încă că "nu se vor vedea niciodată între Vilana, dacă se află în aceeași subrețea". Despre ideea lor și împărțirea pe care nu le-au văzut. Nu? În ce cazuri poate fi necesară această rutare? Și cum va funcționa dacă vilanii sunt diferiți? Aveți nevoie de un router pentru a intra în aceste vilane diferite?

Vă rugăm să vopsea peste ceea ce trebuie să fie, să zicem, 3 Vilan - porturile 11 + 12, 21 + 22 și 31 + 32, dar a fost un port de 40, care este un administrator de calculator, care va avea vozmozhnst "mers pe jos" peste tot.
Vreau să înțeleg - va trebui să fie inclus în toate vilanii? Sau creați un grup separat?

Împărțirea rețelei în "vylans" se face nu numai pentru a nu "vedea" reciproc. De fapt, această "invizibilitate" este doar unul din efecte. De fapt, 2 vlan funcționează exact ca 2 întrerupătoare diferite, care nu sunt conectate printr-un cablu de alimentare, în care sunt conectate diferite computere. Într-o singură subrețea, există o subrețea, de exemplu 192.168.0.0/24, în altă - 192.168.1.0/24. Ce este necesar pentru a fi simultan în 2 rețele? Există două opțiuni:

2. Plasați routerul, conectați-l la 2 patch cord de la cele de switch-uri într-o rețea să-i dea IP-uri, de exemplu, 192.168.0.1, în celălalt - 192.168.1.1, apoi - pe toate computerele pentru a înregistra router-ul gateway-ului (curs IP-uri, ceea ce corespunde unei rețele de calculatoare), cât și prin router subrețea 2 va comunica cu succes și a vedea reciproc. Și apoi puteți fi pervertit: adăugați rețeaua 192.168.3.0 și săriți acolo la computerul de administrare și din nou fiți fericiți :)

Deci, descriind situația Wilanow, mai degrabă decât pe un comutator - prima opțiune - este etichetat Vila pe un singur administrator de placă de rețea (sau 2 patch-uri de port neetichetate cu un singur Svicha 2 setevuhi administrator), iar a doua opțiune - doar 1 legătură neetichetate cu o separat (. 3.0) subrețea, atunci când un comutator configurat cu interfețele IP în fiecare din Wilanow. Dar există un avertisment: un comutator în sine ar trebui să fie în măsură să L3, în plus față de L2, pentru a fi capabil de a crea un interfețe rutate din cadrul Wilanow, în caz contrar acesta va fi doar în măsură să Vila fără interfețe și integrarea acestora au un router extern!
De fapt, în exemplul cu swiches la fel, numai fizic de punere în aplicare este diferit :)

A doua opțiune este de câteva ori mai bună, dar forțează necesitatea de a configura paravanul de protecție pe acest router. Calculatoarele din cadrul curs Svicha vor vedea mereu unul pe altul, dar dacă nu aveți nevoie de rețea 192.168.0.0/24 192.168.1.0/24 nu văd - pe router creează o regulă de forma „neagă 192.168.0.0/24 192.168.1.0/24“ și de cealaltă parte a închis pe una sau ambele interfețe, și de rețea cu altele pentru a vedea oprire, dar administratorul de pe 192.168.3.0 rețea le vede perfect, și ei văd administratorul.
În prima variantă, desigur, puteți face un efect similar, dar acesta ar trebui să fie configurat pe ruterul de funcții al administratorului de computer, iar acesta este chiar o altă junglă.

> "Vă rog, desenați ceea ce aveți nevoie"
Aici, în principiu, toate acestea sunt legate de interfețele de router și de configurația gateway-ului, iar în mod implicit orice trafic va fi permis. Ramane doar sa gandesti, cine nu ar trebui sa faca ceea ce, si regulile firewall-ului (numite de obicei lista de acces in switch-uri) pentru a interzice tot ceea ce nu este necesar.

> 3 vilana - porturi 11 + 12, 21 + 22 si 31 + 32, dar exista un port 40 unde va exista un calculator al administratorului care va putea "merge" peste tot
Bine, o voi semna :)
portul 11,12 - vlan 100 fără etichetă
port 21,22 - vlan 101 fără etichetă
port 31,32 - vlan 102 fără etichetă
portul 40 - vlan 103 fără etichetă

Pe Vilanas în interiorul comutatorului (dacă L3 poate):
vlan 100 - interfața 192.168.0.1/24
vlan 101 - interfața 192.168.1.1/24
vlan 102 - interfața 192.168.2.1/24
vlan 103 - interfața 192.168.3.1/24

ACL:
deni ip 192.168.0.0/24 192.168.1.0/24
deni ip 192.168.0.0/24 192.168.2.0/24
deni ip 192.168.0.0/24 192.168.3.0/24
respinge ip 192.168.1.0/24 192.168.0.0/24
respinge ip 192.168.1.0/24 192.168.2.0/24
respinge ip 192.168.1.0/24 192.168.3.0/24
respinge ip 192.168.2.0/24 192.168.0.0/24
respinge ip 192.168.2.0/24 192.168.1.0/24
respinge ip 192.168.2.0/24 192.168.3.0/24
deni ip 192.168.3.0/24 192.168.0.0/24
respinge ip 192.168.3.0/24 192.168.1.0/24
respinge ip 192.168.3.0/24 192.168.2.0/24

Aceste reglementări interzic circulația tuturor traficului între Wilanow 100, 101 și 102 (notă, regulile sunt specificate nu este Vila și subrețea care se află deja în proces sunt calculate Vila!), Dar nu interzic toate văd reciproc administratorul în al 4-lea subrețea, adică. a. nu există reguli care să interzică acest lucru.
P.S. Numerele de Vilanov și de rețea sunt luate de la chel, dar în general pot fi oricare din limitele disponibile.

Dar puteți începe un administrator de port din toate netegirovanye Vila și doar da setevuhi de IP-uri pe toate subrețele, nu?
Eu cu încăpățânare gândesc la o modalitate de a ieși din situația fără tăiere rețeaua în subrețele - și va trebui să se gândească la serviciul poștal, documentul, backup, faylopomoyki și așa mai departe. Desigur, ele pot fi alocate diferitelor subrețele și permit traficul.

Apropo, am înțeles corect că dacă nu întrebi aypshniki pe Vilanas, atunci nimeni nu se poate vedea unul pe altul?

Asta nu dă odihnă.
Și dacă este așa:
port 11,12,40 - vlan 100 fără tag
port 21,22,40 - vlan 101 fără etichetă
. și nu va exista nicio subrețea. atunci portul 40 va vedea atât pe acelea cât și pe cele, iar restul - doar vecinul și cel de-al 40-lea, nu?
Schimbați în acest timp va ști cine este, dacă totul este pe aceeași subrețea?

Și iată o altă neponyatka.
Așa că am făcut un port pentru 2 porturi. Restul porturilor nu sunt în Vilan. În acest caz, eu (pentru simplitate) încă mai am același tip de schimbare (Vilan și orice altceva)?

> deschideți portul de administrare în toate vilanele nedivizate
Vilanul neautorizat din port poate fi doar unul, restul trebuie să fie cu eticheta. În caz contrar, cum este traficul care intră în port împărțit în vilani? Aveți nevoie fie de mai multe noduri de rețea (pentru cele neetichetate), fie una cu suport pentru mlaștini (pentru taguri).

> Mă gândesc în mod persistent la o modalitate de a ieși din situație fără a tăia rețeaua pe subrețea
O varianta simpla a acestui lucru nu este atinsa. Sau împărțit în subrețele, sau trafic filtru pe echipamente care este capabil, dar este necesar ca toate computerele și serverele au fost introduse într-o singură bucată de metal, și să vină cu o grămadă de reguli, care mai târziu va fi ușor pentru a obține confuz

> Dacă vilanii nu întreabă aypishniki - atunci nimeni nu se poate vedea unul pe celălalt
Vilan - acesta este considerat un spațiu separat izolat de alte Vilanas. Într-o vilană prost creată 2-3-4 companii pot lucra, dar dacă aveți nevoie pentru a merge între Vilanas sau într-un Internet, va trebui să facă un gateway

> Și dacă este așa:
Din nou, acest lucru nu funcționează, comutatorul nu dă sau nu funcționează corect cu această setare

> Restul porturilor nu sunt în Vilan
În cazul în care porturile nu sunt specificate un vilan - acestea nu vor funcționa, pachetele de intrare pe port vor pur și simplu poticni peste un gol în loc de prelucrare ulterioară. Este necesar ca cel puțin să fie ceva. La comutatorul implicit de resetare, toate porturile se află în prima rețea WLAN, astfel încât acestea să funcționeze din cutie

Articole similare