Kirish. Virtual lan texnologiyasi Virtual tarmoq bu tarmoq tugunlari guruhi bo'lib, ularning trafigi, jumladan, translyatsiya trafigi boshqa tarmoq tugunlaridan havola darajasida to'liq ajratilgan 39-rasm)


Virtual lokal tarmoqlarni tashkil etish


Download 292.11 Kb.
bet2/2
Sana21.04.2023
Hajmi292.11 Kb.
#1367679
1   2
Bog'liq
VTT mustaqil ish

Virtual lokal tarmoqlarni tashkil etish
Virtual tarmoqlar kalitlarda tarmoq segmentatsiyasini amalga oshirish uchun yaratilgan . Shunday qilib, tarmoq stantsiyalari guruhlarining mantiqiy birlashmasi bo'lgan virtual mahalliy tarmoqlarni yaratish ( Virtual Local Area Networks - VLAN ) kalitlarda tarmoqlarda axborotni himoya qilishning asosiy usullaridan biri hisoblanadi .

16.1. VLANlar


Odatda, VLAN-lar foydalanuvchilarning jismoniy joylashuvidan qat'i nazar, ishlashning funktsional xususiyatlari bo'yicha guruhlanadi. Ma'lumotlar almashinuvi faqat bir xil VLAN'da joylashgan qurilmalar o'rtasida sodir bo'ladi . Turli VLAN-lar o'rtasida ma'lumotlar almashinuvi faqat marshrutizatorlar orqali amalga oshiriladi.
Virtual tarmoqdagi ish stantsiyasi, masalan, VLAN1-dagi Xost-1 bir xil VLAN1-dagi server bilan aloqa qilish bilan cheklangan. Virtual tarmoqlar mantiqiy ravishda butun tarmoqni translyatsiya domenlariga ajratadi, shunda paketlar faqat bir xil VLANga ( bir xil VLANga tayinlangan ) tayinlangan portlar orasiga o'tkaziladi. Har bir VLAN virtual tarmoqqa tayinlangan o'tish portlari tomonidan tashkil etilgan bitta translyatsiya domenida birlashtirilgan tugunlardan iborat .
Har bir virtual tarmoq translyatsiya domenini ifodalaganligi sababli, VLAN topologiyasidagi marshrutizatorlar translyatsiyani filtrlash, xavfsizlik, trafikni boshqarish va VLANlararo aloqani ta'minlaydi . Kalitlar VLAN'lar orasidagi trafikni ta'minlamaydi, chunki bu VLAN translyatsiya domenining yaxlitligini buzadi . VLAN-lar orasidagi trafik marshrutlash orqali ta'minlanadi, ya'ni turli virtual tarmoqlarning tugunlari o'rtasidagi aloqa faqat router orqali amalga oshiriladi .
Virtual tarmoqlarning normal ishlashi uchun kommutatordagi barcha virtual mahalliy tarmoqlarni sozlash va kommutator portlarini mos keladigan VLAN ga belgilash kerak . Agar ramka kalitdan o'tishi kerak bo'lsa va maqsad MAC manzili ma'lum bo'lsa, u holda kalit faqat ramkani tegishli chiqish portiga yo'naltiradi. Agar MAC manzili noma'lum bo'lsa, u holda translyatsiya translyatsiya domenining barcha portlarida, ya'ni VLAN ichida sodir bo'ladi, ramka olingan manba portidan tashqari. Translyatsiyalar axborot xavfsizligini pasaytiradi .
VLAN boshqaruvi birinchi VLAN1 orqali amalga oshiriladi va port boshqaruviga qisqartiriladi . VLAN1 tarmog'i standart tarmoq deb ataladi ( standart VLAN ). Kalitni boshqarish uchun kamida bitta port VLAN 1 da bo'lishi kerak . Kalitdagi barcha boshqa portlar boshqa VLAN'larga tayinlanishi mumkin . Ushbu ma'lumot hammaga ma'lum bo'lganligi sababli, xakerlar birinchi navbatda ushbu tarmoqqa hujum qilishga harakat qilishadi. Shuning uchun amalda ma'murlar standart tarmoq raqamini, masalan, VLAN 101 ga o'zgartiradilar.
Virtual tarmoqlar bir-biri bilan aloqa o'rnatishi uchun har bir virtual tarmoq tegishli niqobga ega tarmoq yoki quyi tarmoq IP manzili bilan sozlanishi kerak . Masalan, VLAN1 192.168.10.0/24, VLAN2 - 192.168.20.0/24, VLAN3 - 192.168.30.0/24 manziliga ega bo'lishi mumkin. Har bir xostga mos keladigan virtual tarmoq manzillari oralig'idan IP-manzil tayinlanishi kerak, masalan, xost-1 - manzil 192.168.10.1, xost-2 - manzil 192.168.20.1, xost-3 - manzil 192.168.20.2, xost -7 - manzil 192.168.20.3, xost-10 - manzil 192.168.30.4.
VLAN identifikatorlari (VLAN1, VLAN2, VLAN3 va boshqalar) 1-1005 oddiy diapazondan tayinlanishi mumkin, bunda 1002-1005 raqamlari Token Ring va FDDI virtual tarmoqlari uchun ajratilgan . 1006-4094 kengaytirilgan ID diapazoni ham mavjud. Biroq, boshqarish qulayligi uchun VLAN-larni 255 tagacha cheklash tavsiya etiladi va tarmoqlar 2-qavat kalitidan tashqariga chiqmaydi .
Shunday qilib, VLAN bir yoki bir nechta kalitlar tomonidan yaratilgan eshittirish domenidir. Shaklda uchta VLAN bitta router va uchta kalit yordamida yaratilgan . Uchta alohida translyatsiya domenlari mavjud ( VLAN 1, VLAN 2, VLAN 3). Router 3-qatlam marshrutlash yordamida VLANlar orasidagi trafikni boshqaradi .

. 16.2. Uchta VLAN


Agar VLAN 1 dagi ish stantsiyasi kadrni bir xil VLAN 1 dagi ish stantsiyasiga yubormoqchi bo'lsa , freymning maqsadli manzili belgilangan ish stantsiyasining MAC manzili hisoblanadi. Agar VLAN 1 -dagi ish stantsiyasi VLAN 2 -dagi ish stantsiyasiga freymni yo'naltirmoqchi bo'lsa , ramkalar routerning F0/0 interfeysining MAC manziliga yo'naltiriladi. Ya'ni, marshrutlash VLAN 1 virtual tarmoq routerining F0/0 interfeysi IP manzili orqali amalga oshiriladi.
Virtual tarmoqlarda o'z funktsiyalarini bajarish uchun kalit har bir VLAN uchun kommutatsiya (yo'naltirish) jadvallarini saqlab turishi kerak . Kadrlarni yo'naltirish uchun jadvalda faqat berilgan VLAN manzili qidiriladi . Agar manba manzili ilgari ma'lum bo'lmasa, ramka qabul qilinganda, kalit ushbu manzilni jadvalga qo'shadi.
Bir nechta kalitlarda tarmoqni qurishda bir xil nomdagi virtual tarmoqlarga tayinlangan turli xil kalitlarning portlarini birlashtirish uchun qo'shimcha portlarni ajratish kerak. VLAN yaratilganidek , ikkita kalitda qo'shimcha port juftlari bo'lishi kerak .

. 16.3. Ikki kalitning virtual tarmoqlarini birlashtirish


Ma'lumotlar ramkalari har qanday virtual tarmoqqa ulangan har qanday qurilmadan kommutator tomonidan qabul qilinishi mumkinligi sababli , kalitlar o'rtasida ma'lumotlar almashinuvi amalga oshirilganda, ramka sarlavhasiga noyob ramka identifikatori qo'shiladi - virtual tarmoq yorlig'i ( teg ) , bu har birining VLAN- ni aniqlaydi. paket. IEEE 802.1Q standarti ikki baytdan iborat ramka sarlavhasida yorliq maydonini kiritishni nazarda tutadi.

16.1-jadval. Virtual tarmoq teg formati

3 bit

1 bit

12 bit

Ustuvorlik

CFI

VLAN ID

Ulardan 12 bit adreslash uchun ishlatiladi, bu 4096 tagacha VLAN-ni belgilashga imkon beradi va VLAN identifikatorlarining normal va kengaytirilgan diapazoniga mos keladi . Ushbu maydonning yana uchta biti uzatiladigan xabarlar uchun 8 ta ustuvor darajani belgilash imkonini beradi, ya'ni ular uzatilgan ma'lumotlarning sifatini ( QoS ) ta'minlashga imkon beradi . 7-daraja tarmoqni boshqarish kadrlari uchun, 6-daraja ovozli trafikni uzatish kadrlari uchun va video uzatish uchun 5-darajada eng yuqori ustuvorlikka ega. Qolgan darajalar turli ustuvorliklar bilan ma'lumotlarni uzatishni ta'minlaydi. CFI maydonidagi bitta qiymat virtual tarmoqning Token Ring ekanligini ko'rsatadi .
Paket VLAN ID va MAC manziliga asoslangan kommutator yoki router tomonidan yuboriladi . Belgilangan tarmoqqa etib borganingizdan so'ng, VLAN identifikatori ( teg ) kalit orqali paketdan chiqariladi va paket ulangan qurilmaga yuboriladi. Paket teglari ma'lumotlar oqimini boshqarish mexanizmini ta'minlaydi .
6.3 Magistral ulanishlar
Shaklda ko'rsatilgan printsipga ko'ra , virtual mahalliy tarmoqlarda bir nechta kalitlarni bir-biriga ulash uchun bir nechta jismoniy portlar ishlatiladi. Ikki qurilma o'rtasidagi jismoniy kanallar to'plami bitta yig'ilgan mantiqiy kanal bilan almashtirilishi mumkin magistral deb ataladigan ( magistral ) .
Routerni kalitga ulash uchun magistral ulanishlar ham ishlatiladi. Shu bilan birga, marshrutizator interfeysida (virtual tarmoqlar soniga ko'ra) bir nechta subinterfeyslar hosil bo'ladi.
Yig'ilgan mantiqiy kanalning o'tkazuvchanligi jismoniy kanallarning o'tkazish qobiliyati yig'indisiga teng. Magistrallar yuqori tezlikdagi serverlarni ulash uchun ham ishlatiladi.

16.4. Trunking- ni almashtirish
Amalda statik va dinamik VLAN-lar qo'llaniladi . Dinamik VLAN-lar tarmoqni boshqarish dasturlari orqali yaratiladi. Biroq, dinamik VLAN-lar keng qo'llanilmaydi.
Statik VLAN'lar eng ko'p ishlatiladi . Tarmoqqa kiradigan qurilmalar avtomatik ravishda ular biriktirilgan VLAN portiga a'zo bo'ladi. Statik konfiguratsiya uchun CLI buyruq qatori interfeysi ishlatiladi .
6.4 Virtual tarmoqlarni sozlash
vlan.dat ma'lumotlar bazasi ko'rinishidagi konfiguratsiya fayli kalitning flesh xotirasida saqlanadi . Har bir VLAN o'ziga xos 3-qavat manziliga yoki unga tayinlangan quyi tarmoq manziliga ega bo'lishi kerak. Bu routerlarga paketlarni VLAN o'rtasida almashish imkonini beradi .
Statik VLAN konfiguratsiyasi har bir VLAN-ga kalit portlarini tayinlash uchun pastga tushadi , bu esa CLI buyruq qatori yordamida kalitda to'g'ridan-to'g'ri konfiguratsiya qilinishi mumkin . Shunday qilib, statik konfiguratsiya bilan har bir port qandaydir virtual tarmoqqa tayinlanadi. Statik konfiguratsiya qilingan portlar qo'lda o'zgartirilgunga qadar o'zlarining tayinlangan konfiguratsiyasini saqlab turadilar. Foydalanuvchilar kirish sathida o'tish portlariga ulangan . _ _ Ramkalarni belgilash _ _ ) kalitlar o'rtasida VLAN ma'lumotlarini almashish uchun ishlatiladi .
Odatiy bo'lib, boshqaruv tarmog'i birinchi VLAN 1 hisoblanadi, lekin unga boshqa raqam berilishi mumkin, bunda VLAN 1 Ethernet tarmog'i bo'ladi va kalitning IP manziliga ega bo'ladi .
Quyida virtual mahalliy tarmoq uchun kalitning konfiguratsiyasi keltirilgan ( 16.5-rasm ).

. 16.5. Virtual LAN
Konfiguratsiya misollari 2950 seriyali kalitlar va undan keyingi versiyalar uchun berilgan . 1900 seriyali kalitlarda virtual tarmoqlarni sozlash qo'llanmada tasvirlangan [ 8 ].
Sw_A deb nomlangan Cisco Catalyst 2950-24 seriyali kalitidagi virtual tarmoqlar va interfeyslarning holatini quyidagi buyruq yordamida ko'rish mumkin:
Sw_A#sh vlan qisqacha
VLAN nomi holati portlari
-------------------- -------- ---------------------- ---------
1 standart faol Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
1002 fddi - standart faol
1003 token-ring-standart faol
1004 fddinet - standart faol
1005 trnet -sukut bo'yicha faol
Sw_A#sh vlan qisqacha buyrug'ining chop etilishidan ko'rinib turibdiki, barcha 24 Fast Ethernet interfeyslari sukut bo'yicha VLAN 1 ga tayinlangan, boshqa faol virtual tarmoqlar mavjud emas, 1002-1005 bundan mustasno, Token Ring va FDDI uchun ajratilgan. tarmoqlar .
Virtual tarmoqlar ikki usulda yaratilishi mumkin:
global konfiguratsiya rejimida ;
· Imtiyozli konfiguratsiya rejimidan vlan ma'lumotlar bazasi buyrug'i yordamida .
6.5 Xulosa
· VLAN tarmog'i virtual tarmoqqa tayinlangan kommutator portlari tomonidan tashkil etilgan yagona translyatsiya domenida birlashtirilgan tugunlardan iborat . Translyatsiyalar axborot xavfsizligini pasaytiradi .
· VLAN ishlashi uchun siz kommutatordagi barcha VLAN -larni sozlashingiz va kommutator portlarini tegishli tarmoqqa belgilashingiz kerak.
· VLAN-lar orasidagi trafik marshrutlash orqali ta'minlanadi, ya'ni turli virtual tarmoqlarning tugunlari orasidagi aloqa faqat router orqali amalga oshiriladi.
· VLAN boshqaruvi birinchi VLAN 1 orqali amalga oshiriladi va portni boshqarish uchun qisqartiriladi . Administratorlar odatda xavfsizlikni yaxshilash uchun standart tarmoq raqamini o'zgartiradilar.
· Har bir virtual tarmoq tegishli niqob va shlyuzga ega tarmoq yoki quyi tarmoq uchun IP-manzil bilan sozlanishi kerak .
· Tarmoqni bir nechta kommutatorlarda qurishda bir xil nomdagi virtual tarmoqlarga tayinlangan turli xil kalitlarning portlarini birlashtirish uchun qo'shimcha portlarni ajratish kerak .
· Kommutatorlar o'rtasida ma'lumot almashishda sarlavhaga noyob ramka identifikatori qo'shiladi - virtual tarmoqning tegi ( teg ), bu har bir paketning VLAN a'zoligini aniqlaydi.









Download 292.11 Kb.

Do'stlaringiz bilan baham:
1   2




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling