Асимметричные vlan: НОУ ИНТУИТ | Лекция | Виртуальные локальные сети (VLAN)

Содержание

НОУ ИНТУИТ | Лекция | Виртуальные локальные сети (VLAN)

Аннотация: Большинство современных коммутаторов, независимо от производителя, поддерживают множество дополнительных возможностей, отвечающих общепринятым стандартам. В лекции дается подробное описание данных дополнительных возможностей.

Поскольку коммутатор Ethernet является устройством канального уровня, то в соответствии с логикой работы он будет рассылать широковещательные кадры через все порты. Хотя трафик с конкретными адресами (соединения «точка — точка») изолирован парой портов, широковещательные кадры передаются во всю сеть (на каждый порт). Широковещательные кадры — это кадры, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP. С их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети. Так же рассылка широковещательных кадров может возникать из-за некорректно работающего сетевого адаптера. Широковещательные кадры могут привести к нерациональному использованию полосы пропускания, особенно в крупных сетях. Для того чтобы этого не происходило, важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом

) — организовать небольшие широковещательные домены, или виртуальные локальные сети (Virtual LAN, VLAN).

Виртуальной локальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна независимо от типа адреса — уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Таким образом с помощью виртуальных сетей решается проблема распространения широковещательных кадров и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети.

VLAN обладают следующими преимуществами:

  • гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети;
  • VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя;
  • VLAN позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.

Рассмотрим пример, показывающий эффективность использования логической сегментации сетей с помощью технологии VLAN при решении типовой задачи организации доступа в Интернет сотрудникам офиса. При этом трафик каждого отдела должен быть изолирован.

Предположим, что в офисе имеется несколько комнат, в каждой из которых располагается небольшое количество сотрудников. Каждая комната представляет собой отдельную рабочую группу.

При стандартном подходе к решению задачи с помощью физической сегментации трафика каждого отдела потребовалось бы в каждую комнату устанавливать отдельный коммутатор, который бы подключался к маршрутизатору, предоставляющему доступ в Интернет. При этом маршрутизатор должен обладать достаточным количеством портов, обеспечивающим возможность подключения всех физических сегментов (комнат) сети. Данное решение плохо масштабируемо и является дорогостоящим, т.к. при увеличении количества отделов увеличивается количество необходимых коммутаторов, интерфейсов маршрутизатора и магистральных кабелей.


Рис. 6.1. Физическая сегментация сети

При использовании виртуальных локальных сетей уже не требуется подключать пользователей одного отдела к отдельному коммутатору, что позволяет сократить количество используемых устройств и магистральных кабелей. Коммутатор, программное обеспечение которого поддерживает функцию виртуальных локальных сетей, позволяет выполнять логическую сегментацию сети путем соответствующей программной настройки. Это дает возможность подключать пользователей, находящихся в разных сегментах, к одному коммутатору, а также сокращает количество необходимых физических интерфейсов на маршрутизаторе.


Рис. 6.2. Логическая группировка сетевых пользователей в VLAN

НОУ ИНТУИТ | Лекция | Команды настройки асимметричных VLAN и сегментации трафика

Аннотация: Цель: Изучить настройку асимметричных VLAN и сегментации трафика.

Применение асимметричных VLAN (Asymmetric VLAN)

Для обеспечения возможности использования разделяемых ресурсов (серверов, Интернет-шлюзов и т.д.) пользователями из разных сетей VLAN в программном обеспечении коммутаторов

2-го уровня D-Link реализована поддержка функции Asymmetric VLAN (ассиметричные VLAN). Эта функция позволяет клиентам из разных VLAN взаимодействовать с разделяемыми устройствами (например, серверами), не поддерживающим тегирование 802.1Q, через один физический канал связи с коммутатором, не требуя использования внешнего маршрутизатора. Активизация функции Asymmetric VLAN на коммутаторе 2-го уровня позволяет сделать его немаркированные порты членами нескольких виртуальных локальных сетей. При этом рабочие станции остаются полностью изолированными друг от друга.

При активизации асимметричных VLAN каждому порту коммутатора назначается уникальный PVID в соответствии с идентификатором VLAN, членом которой он является. При этом каждый порт может получать кадры от VLAN по умолчанию.

Применение сегментации трафика (Traffic Segmentation)

Функция Traffic Segmentation служит для разграничения доменов на канальном уровне. Она позволяет настраивать порты или группы портов коммутатора таким образом, чтобы они были полностью изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения серверов или магистрали сети. Функция сегментации трафика может использоваться с целью сокращения трафика внутри сетей VLAN 802.1Q, позволяя разбивать их на более мелкие группы. При этом правила VLAN имеют более высокий приоритет при передаче трафика. Правила Traffic Segmentation применяются после них.

Цель: Изучить настройку асимметричных VLAN и сегментации трафика.

Оборудование:

DES-3200-28
2 шт.
Рабочая станция 4 шт.
Кабель Ethernet 5 шт.
Консольный кабель 2 шт.

Перед выполнением задания необходимо сбросить настройки коммутатора к заводским настройкам по умолчанию командой

Настройка асимметричных VLAN (Пример 1)


Рис. 9.1. Схема 1
Настройка DES- 3200-28
Внимание! Коммутаторы уровня 3 (например, DGS-3612G) не поддерживают функцию асимметричных VLAN! Аналогичные функции выполняются с помощью маршрутизации и ACL (списков управления доступом).

Включите функцию асимметричных VLAN

Проверьте, все ли порты назначены в VLAN по умолчанию?

Создайте VLAN v2 и v3

create vlan v2 tag 2
create vlan v3 tag 3

Добавьте в созданные VLAN немаркированные порты

config vlan v2 add untagged 1-16
config vlan v3 add untagged 1-8, 17-24

Назначьте PVID немаркированным портам, созданных VLAN

config gvrp 1-8 pvid 1
config gvrp 9-16 pvid 2
config gvrp 17-24 pvid 3
Упражнения

Проверьте доступность соединения командой ping:

  • от ПК1 к серверу
  • от ПК2 к серверу
  • от ПК1 к ПК2
  • от ПК2 к ПК1

Проверьте состояние PVID на всех портах коммутатора

Подключение роутера в асимметричный VLAN с доступом только к серверу

По этой ссылке была схема подключения с симметричным VLAN. Какое отличие при подключении с асимметричным?

Основное различие между базовым стандартом 802.1q VLAN или симметричными VLAN и асимметричными VLAN заключается в том, как выполняется отображение адресов.


Симметричные VLAN используют отдельные адресные таблицы, и таким образом не существует пересечения адресов между VLAN-ами. Асимметричные VLAN могут использовать одну, общую таблицу адресов. Асимметричные VLAN по умолчанию отключены. На использование асимметричных VLAN существуют следующие ограничения:

— Каждый порт в схеме асимметричного VLAN должен быть немаркированным (untagged). 

— IGMP Snooping не поддерживаются.

При активизации асимметричных VLAN, уникальный PVID (Port VLAN Identifier) назначается всем портам схемы, определяющий принадлежность порта к конкретной виртуальной сети внутри коммутатора (по умолчанию все порты коммутатора имеют одинаковый идентификатор PVID=1). Кадр типа
untagged
преобразуется к типу tagged, для чего дополняется меткой PVID, таким образом уходящий в tagged — порт трафик будет маркироваться номером который мы задаем в PVID.  У каждого порта может быть только один PVID, но в то же время этот порт может принадлежать нескольким VLAN (таким образом расшаривается общий ресурс для разных VLAN). Возвращаемся к нашей задаче.


Дано: управляемый свич 2-го уровня D-Link (свич придуман для примера на 21 порт), роутер D-Link DSR-1000, сервер Ubuntu с одной сетевой картой.
Нужно: через удаленный доступ, организованный роутером D-Link, попадать только на сервер Ubuntu (остальная сеть не доступна), при этом из локальной сети сервер должен оставаться доступным.
Решение с асимметричным VLAN без дополнительного сетевого интерфейса

: В асимметричном VLAN PVID=1 по-умолчанию для всех интерфейсов.
Схема для D-Link взята отсюда.
Порты 1-19 — LAN,   20 — router 192.168.0.5,   21 — server 192.168.0.10
Таким образом у нас адресация локальной сети

Ports 1-19 20 21
PVID 1 21
VLAN 1 U U
VLAN 2 U U

На свиче производим настройку.
enable asymmetric_vlan
# default vlan is created by default
create vlan v2 tag 2
config vlan default delete 20
config vlan v2 add untagged 1-19,21
config gvrp 1-19,21 pvid 1
config gvrp 20 pvid 2
save

Но изначально задача ставилась для свича HP, а для него подобной схемы не нашел. То есть gvrp есть, но по такой схеме как для D-Link не работает. Как задать PVID я не нашел.

Но для HP Procurve 2530 есть другие способы разделить порты. А именно:
1) ссылка
[no] protected-ports <port-list>
Prevents the selected ports from communicating with each other. You must configure two or more ports.

no protected-ports all
Clears the protection from all ports; all ports can now communicate with each other.

2)

filter source-port
Я использовал этот вариант.


# show filter source-port
Traffic/Security Filters
 Filter Name            | Port List              | Action
 ———————— + ——————— + —————————
 no-incoming-web |    20                     | drop 1-19,22-48        
Как я для себя расшифровываю эту таблицу. В фильтре no-incoming-web все что уходит с портов из списка Port Lists дропается на портах из списка Action. Отсюда в таблице видно что все что уходит с порта к которому подключен роутер дропается по всей сети кроме сервера 21 порт. Проверяем, с 21 порта роутер пингуется, с других портов нет. Устанавливается так:

HP-2530-48G(config)# filter source-port named-filter no-incoming-web drop 1-19,22-48

HP-2530-48G(config)# filter source-port 20 named-filter no-incoming-web

HP-2530-48G(config)# write memory

Удаляется как обычно через no

Лекции по коммутаторам_v4.12 — Стр 7

Коммутаторы локальных сетей D-Link

Рисунок 57 Маркированный входящий кадр

Рисунок 58 Немаркированный кадр, выходящий через маркированный и немаркированный порты

61

Коммутаторы локальных сетей D-Link

Рисунок 59 Маркированный пакет, выходящий через маркированный и немаркированный порты

Фильтрация входящего трафика

Порт коммутатора, на который поступают кадры из сети и который должен принять решение о принадлежности кадра конкретной VLAN, называется ingress port (входным портом). При включении на порту функции фильтрации входящего трафика коммутатор проверяет кадр на наличие информации о VLAN и на ее основании принимает решение о продвижении кадра.

Если кадр содержит информацию о VLAN, коммутатор сначала определяет, является ли входной порт членом данной VLAN. Если нет, то кадр отбрасывается. Если да, то определяется, является ли порт назначения членом данной VLAN. Если нет, то кадр отбрасывается. Если же порт назначения входит в данную VLAN, то он передает кадр в подключенный к нему сегмент сети.

Если кадр не содержит в заголовке информацию о VLAN, то входной порт добавляет в заголовок кадра тег с идентификатором VID, равным собственному PVID (если порт является маркированным — tagged). Затем коммутатор определяет, принадлежат ли входной порт и порт назначения одной VLAN (имеют одинаковые VID). Если нет, кадр отбрасывается. В противном случае порт назначения передает кадр в подключенный к нему сегмент сети.

Этот процесс называется ingress filtering (входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора путем отбрасывания на стадии приема кадров, не входящих в ту же VLAN, что и входной порт.

62

Коммутаторы локальных сетей D-Link

Создание VLAN с помощью команд CLI

Изначально коммутатор настраивает одну VLAN с VID = 1, называемую DEFAULT_VLAN. Заводские установки по умолчанию назначают все порты коммутатора в DEFAULT_VLAN. Перед созданием новой VLAN удалите из

любых других уже созданных VLAN (в том числе DEFAULT_VLAN) все порты, которые требуется сделать членами новой VLAN.

Ниже приведены команды CLI и их синтаксис, используемые при создании, удалении и управлении виртуальными локальными сетями (см.

Таблица 1).

 

 

Таблица 1 Команды для настройки VLAN

 

 

 

 

 

 

Команда

Параметры

 

Описание

 

 

create vlan

<vlan_name 32>

 

Создать VLAN

 

 

 

tag <vlanid 1-4094>

 

 

 

 

 

advertisement

 

 

 

 

delete vlan

<vlan_name 32>

 

Удалить VLAN

 

 

config vlan

<vlan_name 32>

 

Настроить параметры VLAN

 

 

add [tagged|untagged|forbidden]

 

 

 

 

advertisement [enable|disable]

 

 

 

config vlan

<vlan_name 32>

 

Исключить заданные порты

 

 

delete <portlist>

 

из VLAN

 

 

config gvrp

<portlist> | all

 

Настроить параметры GVRP

 

 

state [enable | disable]

ingress_checking

 

 

 

 

[enable | disable]

acceptable_frame

 

 

 

 

[tagged_only | admit_all]

 

 

 

 

 

pvid <vlanid 1-4094>}

 

 

 

 

enable gvrp

 

 

Активизировать GVRP

 

 

disable gvrp

 

 

Отключить GVRP

 

 

show vlan

<vlan_name 32>

 

Показать созданные

VLAN

 

 

 

 

и их настройки

 

 

show gvrp

<portlist>

 

Показать настройки GVRP

 

enable

 

 

Активизировать QinQ VLAN

 

double_vlan

 

 

 

 

 

disable

 

 

Отключить QinQ VLAN

 

 

double_vlan

 

 

 

 

 

create

<vlan_name 32>

 

Создать QinQ VLAN

 

 

double_vlan

spvid <vlanid 1-4094>

 

 

 

 

 

tpid <hex 0x0-0xffff>

 

 

 

 

config

<vlan_name>

 

Настроить QinQ VLAN

 

 

double_vlan

add [uplink | access]

 

 

 

 

 

delete <portlist>

 

 

 

 

 

tpid <hex 0x0-0xffff>

 

 

 

 

show

<vlan_name>

 

Показать созданные

QinQ

 

double_vlan

 

 

VLAN и их настройки

 

 

delete

<vlan_name>

 

Удалить QinQ VLAN

 

 

double_vlan

 

 

 

 

 

Шаг 1. Удаление портов 1-5 из DEFAULT_VLAN командой “config vlan default delete 1-5”

Рисунок 60 Удаление портов из VLAN

63

Коммутаторы локальных сетей D-Link

Шаг 2.Создание новой VLAN на коммутаторе.

Создать VLAN с именем v1 на коммутаторе и идентификатором VID

равным 2 командой “create vlan v1 tag 2”

Рисунок 61 Создание VLAN

Шаг 3. Добавить дополнительные порты в ранее сконфигурированную VLAN. Добавить порты коммутатора с 1 по 5 в VLAN v1 сделать порты

маркированными командой “config vlan v1 add tagged 1-5”

Рисунок 62 Добавление портов в VLAN

Шаг 4. Проверка правильности настройки VLAN на коммутаторе.

Рисунок 63 Просмотр информации о VLAN

Следует обратить внимание, что порты 1-5 являются членами созданной виртуальной сети, что видно по полю «Member ports», при этом они являются маркированными, поскольку указаны в списке «Current Tagged ports».

64

Коммутаторы локальных сетей D-Link

Асимметричные VLAN

С целью более эффективного использования разделяемых ресурсов, таких как серверы или Интернет-шлюзы, в программном обеспечении некоторых коммутаторов D-Link 2-го уровня реализована поддержка Asymmetric VLAN. Асимметричные виртуальные локальные сети позволяют клиентам, принадлежащих разным VLAN и не поддерживающим тегирование 802.1Q взаимодействовать с сервером (или нескольким серверам) с через один физический канал связи с коммутатором, не требуя использования внешнего маршрутизатора. Активизация функции «Асимметричные VLAN» на коммутаторе 2-го уровня позволяет сделать его немаркированные порты членами нескольких виртуальных локальных сетей. При этом рабочие станции останутся полностью изолированными друг от друга. Например, асимметричные VLAN могут быть настроены таким образом, чтобы обеспечить доступ к почтовому серверу всем почтовым клиентам (см.

Рисунок 64). Клиенты смогут отправлять и получать данные через порт коммутатора, подключенный к почтовому серверу, но прием и передача данных через остальные порты будет для них запрещена.

65

Коммутаторы локальных сетей D-Link

Рисунок 64 Пример использования асимметричных VLAN

Основное различие между базовым стандартом IEEE 802.1Q VLAN(или симметричными VLAN) и асимметричными VLAN заключается в том, как выполняется отображение адресов. Симметричные VLAN используют отдельные адресные таблицы, и таким образом не существует пересечения адресов между VLAN-ами. Асимметричные VLAN могут использовать одну, общую таблицу адресов. Однако, использование одних и тех же адресов (пересечение по адресам) происходит только в одном направлении. В примере, рассмотренном выше, VLAN, созданная для порта, подключенного к почтовому серверу, имела в своем распоряжении полную таблицу адресов, таким образом, любой адрес мог быть отображен на ее порт (PVID).

При использование асимметричных VLAN существует ограничение — протокол IGMP Snooping не поддерживается.

При активизации асимметричных VLAN, уникальный PVID назначается всем портам, создавая отдельную VLAN для каждого порта. Каждый порт при этом, может получать кадры от VLAN по умолчанию. Асимметричные VLAN по умолчанию отключены.

Ниже приведены команды для конфигурирования асимметричных VLAN на коммутаторе с помощью CLI (см. Таблица 2).

Таблица 2 Команды для настройки Asymmetric VLAN

Команда

Параметры

Описание

 

enable asymmetric_vlan

 

Глобально

активизировать асимметричные

 

 

VLAN. Уникальный PVID назначается

всем

 

 

портам, создавая отдельную VLAN для

 

 

каждого порта.

 

disable asymmetric_vlan

 

Глобально

отключить асимметричные

VLAN.

 

 

Asymmetric VLAN отключены по умолчанию

show asymmetric_vlan

 

Просмотр статуса Asymmetric VLAN

 

66

Коммутаторы локальных сетей D-Link

Пример 1. Конфигурирование асимметричных VLAN в пределах одного коммутатора

Рисунок 65 Асимметричные VLAN в пределах одного коммутатора

VLAN V1: порты 1-8, untagged

Разделяемые серверы или Интернет-шлюз

VLAN V2: порты 9-16, untagged

Пользователи VLAN2 (рабочие станции или коммутатор)

VLAN V3: порты 17-24, untagged

Пользователи VLAN3 (рабочие станции или коммутатор)

Требуется реализовать следующую схему:

1.Пользователи VLAN V2 и V3 могут иметь доступ к разделяемому серверу в VLAN V1;

2.Пользователи VLAN V2 и V3 могут иметь доступ к Интернет-шлюзу для доступа к Интернет;

3.Виртуальные локальные сети V2 и V3 изолированы друг от друга.

Шаг 1. Активизировать асимметричные VLAN на коммутаторе командой

“enable asymmetric_vlan”

67

Коммутаторы локальных сетей D-Link

Рисунок 66 Включение Asymmetric VLAN

Шаг 2. Просмотр статуса асимметричных VLAN на коммутаторе командой

“show asymmetric_vlan”

Рисунок 67 Просмотр статуса Asymmetric VLAN

Шаг 3. Создание новых VLAN V2 и V3 на коммутаторе.

DES-3226S#create vlan v2 tag 2

Command: create vlan v2 tag 2

Success.

DES-3226S#create vlan v3 tag 3

Command: create vlan v3 tag 3

Success.

Шаг 4. Добавить порты в созданные VLAN.

Добавить порты коммутатора с 1 по 16 в VLAN V2, добавить порты с 1-8 и 1724 в VLAN V3. Сделать порты немаркированными.

DES-3226S#config vlan v2 add untagged 1-16

Command: config vlan v2 add untagged 1-16

Success.

DES-3226S#config vlan v3 add untagged 1-8,17-24

Command: config vlan v3 add untagged 1-8,17-24

Success.

Шаг 5. Настроить протокол GVRP (Group VLAN Registration Protocol) на коммутаторе и включить входную фильтрацию на портах каждой VLAN.

DES-3226S# config gvrp 1-8 pvid 1

Command: config gvrp 1-8 pvid 1

Success.

DES-3226S# config gvrp 9-16 pvid 2

Command: disable asymmetric_vlan

Success.

DES-3226S# config gvrp 17-24 pvid 3

Command: config gvrp 17-24 pvid 3

Success.

68

Коммутаторы локальных сетей D-Link

Пример 2. Конфигурирование асимметричных VLAN на двух автономных коммутаторах

Рисунок 68 Асимметричные VLAN в пределах двух коммутаторов

VLAN V1: коммутатор 1 порты 1-4, коммутатор 2 порты 1-4, untagged Разделяемые серверы или Интернет-шлюз

Коммутатор 1 порты 5-8, коммутатор 2 порты 5-8, tagged

Порты используются в качестве восходящих и нисходящих каналов связи с другими коммутаторами

VLAN V2: коммутатор 1 порты 9-16, коммутатор 2 порты 9-16, untagged Пользователи VLAN2 (рабочие станции или коммутатор)

VLAN V3: коммутатор 1 порты 17-24, коммутатор 2 порты 17-24, untagged

Пользователи VLAN3 (рабочие станции или коммутатор)

Требуется реализовать следующую схему:

1.Пользователи VLAN V2 и V3 могут иметь доступ к разделяемому серверу или Интернет-шлюзу в VLAN V1;

2.Виртуальные локальные сети V2 и V3 изолированы друг от друга.

69

Коммутаторы локальных сетей D-Link

Настройки для коммутаторов (поскольку наша схема симметрична,настройки будут идентичны на обоих коммутаторах).

Шаг 1. Активизировать асимметричные VLAN на коммутаторе.

DES-3226S#enable asymmetric_vlan

Command: enable asymmetric_vlan

Success.

Шаг 2. Просмотр статуса асимметричных VLAN на коммутаторе.

DES-3226S# show asymmetric_vlan

Command: show asymmetric_vlan

Asymmetric Vlan : Enabled

Шаг 3. Создание VLAN V2 и V3 на коммутаторе.

DES-3226S#create vlan v2 tag 2

Command: create vlan v2 tag 2

Success.

DES-3226S#create vlan v3 tag 3

Command: create vlan v3 tag 3

Success.

Шаг 4. Сделать порты 5-8 маркированными в DEFAULT_VLAN.

DES-3226S#config vlan default add tagged 5-8

Command: config vlan default add tagged 5-8

Success.

Шаг 5. Добавить порты в VLAN V2 и V3 на коммутаторе.

Добавить порты коммутатора 1-4 и 9-16 в VLAN V2, добавить порты 1-4 и 17-24 в VLAN V3. Сделать порты немаркированными.

DES-3226S# config vlan v2 add untagged 1-4,9-16

Command: config vlan v2 add untagged 1-4,9-16

Success.

DES-3226S#config vlan v3 add untagged 1-4,17-24

Command: config vlan v3 add untagged 1-4,17-24

Success.

Шаг 6. Добавить порты 5-8 в VLAN V2 и V3. Сделать порты маркированными.

DES-3226S#config vlan v2 add tagged 5-8

Command: config vlan v2 add tagged 5-8

Success.

DES-3226S#config vlan v3 add tagged 5-8

Command: config vlan v3 add tagged 5-8

Success.

70

Краткая инструкция по настройке Vlan-ов / Хабр

Для начала определимся что такое 802.1q vlan

, дабы не изобретать велосипед маленькая вырезка из википедии:


VLAN (аббр. от англ. Virtual Local Area Network) — виртуальная локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.
На устройствах Cisco, протокол VTP (VLAN Trunking Protocol) предусматривает VLAN-домены для упрощения администрирования. VTP также выполняет «чистку» трафика, направляя VLAN трафик только на те коммутаторы, которые имеют целевые VLAN-порты. Коммутаторы Cisco в основном используют протокол ISL (Inter-Switch Link) для обеспечения совместимости информации.
По умолчанию на каждом порту коммутатора имеется сеть VLAN1 или VLAN управления. Сеть управления не может быть удалена, однако могут быть созданы дополнительные сети VLAN и этим альтернативным VLAN могут быть дополнительно назначены порты.
Native VLAN — это параметр каждого порта, который определяет номер VLAN, который получают все непомеченные (untagged) пакеты.

Для чего это надо?
Есть несколько ситуаций:
1. Банально представим ситуацию есть большая сеть, в районе покрытия этой сети у нас расположено два офиса, их необходимо объединить в одну физическую сеть, при этом общегородская сеть не должна видеть/иметь доступ к офисным тачкам. Данную ситуацию конешно можно разрулить VPN-ами, но на шифрованый трафик порядка 100 мегабит нужно не кислое железо, поэтому рулим vlan-aми.
2. Есть масса подсетей, территориально поделенных по городу, необходимо на каждую подсеть настроить интерфейс, по началу можно конечно обойтись сетевыми картами, но сети имеют свойства разростаться, и что прикажете делать, например в такой ситуации?:
serv:~# ifconfig | grep eth | wc -l
152
serv:~#

3. Клиенту необходимо выдать блок из 4,8,16 и т.д. и т.п. адресов.
4. Уменьшение количества широковещательного трафика в сети
Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе, где нет VLANов, находятся в одном широковещательном домене. Создание VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN есть на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.
И множество других причин/ситуаций в которых это может понадобиться.
5. Увеличение безопасности и управляемости сети
Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN.

Как мне это все сделать?
Легко!

Тегирование трафика VLAN
Компьютер при отправке трафика в сеть даже не догадывается, в каком VLAN’е он размещён. Об этом думает коммутатор. Коммутатор знает, что компьютер, который подключен к определённому порту, находится в соответствующем VLAN’e. Трафик, приходящий на порт определённого VLAN’а, ничем особенным не отличается от трафика другого VLAN’а. Другими словами, никакой информации о принадлежности трафика определённому VLAN’у в нём нет.
Однако, если через порт может прийти трафик разных VLAN’ов, коммутатор должен его как-то различать. Для этого каждый кадр (frame) трафика должен быть помечен каким-то особым образом. Пометка должна говорить о том, какому VLAN’у трафик принадлежит.
Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q. Существуют проприетарные протоколы, решающие похожие задачи, например, протокол ISL от Cisco Systems, но их популярность значительно ниже (и снижается).

Настройка обычно происходит на серверах и на свитчах.
По умолчанию все сетевые устройства находятся в первом (1, default) vlan-e.
Поэтому подними 2-й vlan, с сетью 1
В зависимости от ОСи на сервере vlan-ы конфигурятся по разному.
В данной статье я попробую максимально коротко и четко описать различные способы настройки vlan-ов, на разных ОС.

И так поехали, попробуем на разных ОС сделать одну и ту же задачу — настроить 2-й vlan, с адресным пространством из 64-х адресов, 10.10.10.0/26
Для начала нам необходимо рассчитать маску, бродкастовый адрес и шлюз, в помощь прийдет ipcalc 🙂
Address: 10.10.10.0 00001010.00001010.00001010.00 000000
Netmask: 255.255.255.192 = 26 11111111.11111111.11111111.11 000000
Wildcard: 0.0.0.63 00000000.00000000.00000000.00 111111
=>
Network: 10.10.10.0/26 00001010.00001010.00001010.00 000000 (Class A)
Broadcast: 10.10.10.63 00001010.00001010.00001010.00 111111
HostMin: 10.10.10.1 00001010.00001010.00001010.00 000001
HostMax: 10.10.10.62 00001010.00001010.00001010.00 111110
Hosts/Net: 62 (Private Internet)

Шлюзом сделаем 10.10.10.1
Маска 255.255.255.192 или 26
Broadcast 10.10.10.63
Итого мы получаем на клиентов 61 адрес, 10.10.10.2 — 10.10.10.62

Debian-like:
Нам необходимо поставить пакет vlan
# apt-get install vlan
Далее переходим в /etc/network/
и правим файл с интерфейсами.
# nano interfaces
auto eth0.2 # автоматически поднимаем интерфейс после ребута. eth0 транковый интерфейс в которы подаем vlan
iface eth0.2 inet static
address 10.10.10.1
netmask 255.255.255.192
broadcast 10.10.10.63

поднимаем интерфес:
# ifup eth0.2

Red-Hat-like:
Для ред-хата необходима утилита настройки vlan’ов, ставим утилиту vconfig
[[email protected] ~]# yum search vconfig
vconfig.i686 : Linux 802.1q VLAN configuration utility
[[email protected] ~]# yum install -y vconfig

Добавим второй vlan в eth0.
[[email protected] ~]# vconfig add eth0 2
переходим в /etc/sysconfig/network-scripts, создадим файл интерфейса, редактируем его
[[email protected] ~]# cd /etc/sysconfig/network-scripts
[[email protected] ~]# touch ifcfg-eth0.2
[[email protected] ~]# nano ifcfg-eth0.2
DEVICE=eth0.2
VLAN_TRUNK_IF=eth0
BOOTPROTO=static
IPADDR=10.10.10.1
NETMASK=255.255.255.192
BROADCAST=10.10.10.63
ONBOOT=yes

поднимаем интерфейс
[[email protected] ~]# ifup eth0.2

В BSD-like:
ifconfig vlan_device vlan vlan_id vlandev parent_device
ifconfig vlan0 vlan 2 vlandev xl0
ifconfig vlan0 inet 10.10.10.1 netmask 255.255.255.192

Для того чтобы интерфейс автоматически загружался, правим /etc/rc.conf.
cloned_interfaces="vlan0" #You need a recent STABLE for this else use:
#network_interfaces="lo0 vlan0"
ifconfig_vlan0="inet 10.10.10.1 netmask 255.255.255.192 vlan 24 vlandev xl0"
#Note: If you do not assign an IP Adress to your parent device, you need to
#start it explicitly:
ifconfig_xl0="up"

Теперь перейдем к более интересному пункту, настройка сетевых коммутаторов.
т.к. коммутаторы 2-го уровня бывают разные я приведу несколько примеров по настройке, на разных коммутаторах разное меню соответственно по разному настраивается, обычно ничего сложного нет, и принцип настройки одинаковый. ситуация серв включен в 1-й порт, необходимо подать 2-й влан в 4,5,6 порты, и во втором порту подать его тегированным.

На D-Link-е:
config vlan default delete 1-26
config vlan default add untagged 1,3,7-24
create vlan Offices tag 2
config vlan Offices add tagged 1,2
config vlan Offices add untagged 4,5,6
save

Пробуем воткнуться в 4 дырочку сетевым устройством и прописать адрес из диапазона 10.10.10.0/26 и банально пингами проверить.

На Asotel-ях
set 1qvlan create 2 Offices #создадим 2-й влан
set 1qvlan modify -4-5-6 1 0 #уберем первый с 4,5,6-го портов
set 1qvlan modify +1+2 2 1 #подадим тегированный 2-й влан в 1,2 порты
set 1qvlan modify +4+5+6 2 0 #подадим нетегированный 2-й влан в 4,5,6 порты
set 1qvlan pvid 4 2 # скажем свитчу что 4 дырка пренадлежит 2-му влану, аналогично делаем с 5,6
set 1qvlan pvid 5 2
set 1qvlan pvid 6 2

На EdgeCore/LinkSys
Vty-0#configure
Vty-0(config)#vlan database
Vty-0(config-vlan)#
Vty-0(config-vlan)#vlan 2 name Offices media ethernet state active
Vty-0(config-vlan)#exit
Vty-0(config)#interface ethernet 1/1
Vty-0(config-if)#switchport mode trunk
Vty-0(config-if)#switchport allowed vlan add 2 tagged
Vty-0(config-if)#exit
Vty-0(config)#interface ethernet 1/2
Vty-0(config-if)#switchport mode trunk
Vty-0(config-if)#switchport allowed vlan add 2 tagged
Vty-0(config-if)#exit
Vty-0(config)#interface ethernet 1/4
Vty-0(config-if)#switchport mode access
Vty-0(config-if)#switchport allowed vlan add 2 untagged
Vty-0(config-if)#switchport native vlan 2
Vty-0(config-if)#exit
Vty-0(config)#interface ethernet 1/5
Vty-0(config-if)#switchport mode access
Vty-0(config-if)#switchport allowed vlan add 2 untagged
Vty-0(config-if)#switchport native vlan 2
Vty-0(config-if)#exit
Vty-0(config)#interface ethernet 1/6
Vty-0(config-if)#switchport mode access
Vty-0(config-if)#switchport allowed vlan add 2 untagged
Vty-0(config-if)#switchport native vlan 2
Vty-0(config-if)#exit
Vty-0(config)#exit
Vty-0#copy running-config startup-config
; Для проверки запустим
Vty-0#show running-config

p.s. Старался максимально коротко и ясно показать на примерах принцип настройки оборудования.

24-портовый коммутатор Web Smart 10/100 Мбит/с

Стандарты
  • IEEE 802.1d
  • IEEE 802.1p
  • IEEE 802.1Q
  • IEEE 802.1s
  • IEEE 802.1w
  • IEEE 802.1X
  • IEEE 802.1ab
  • IEEE 802.3
  • IEEE 802.3u
  • IEEE 802.3x
  • IEEE 802.3z
  • IEEE 802.3ab
  • IEEE 802.3ad
  • IEEE 802.3az
Интерфейс устройства
  • 24 порта 10/100 Мбит/с (порты 1 — 24)
  • 4 гигабитных порта (25 — 28)
  • 2 общих слота SFP (общие с портами 27 — 28)
  • Светодиодные индикаторы
Скорость передачи данных
  • Для обычного Ethernet: 10 Мбит/с (полудуплекс), 20 Мбит/с (полный дуплекс)
  • Для высокоскоростного Ethernet: 100 Мбит/с (полудуплекс), 200 Мбит/с (полный дуплекс)
  • Для гигабитного Ethernet: 2000 Мбит/с (полный дуплекс)
Рабочие характеристики
  • Коммутационная матрица: 12,8 Гбит/с
  • Буфер ОЗУ: 512 КБ
  • Таблица MAC-адресов 8К записей
  • Jumbo-кадры: 10 КБ
  • Предотвращение блокировки начала строки
  • Скорость обслуживания пакетов: 9,5 млн пакетов в секунду (размер пакета 64 байта)
Управление
  • Графический веб-интерфейс пользователя (GUI) HTTP/HTTPS (SSL v2/3 TLS)
  • SNMP v1, v2c, v3
  • RMON v1
  • Статический одноадресный MAC-адрес
  • Включить/выключить стандарт энергосбережения 802.3az
  • LLDP
  • Виртуальная проверка кабеля
  • IPv6: Обнаружения смежных IPv6-сетей, статический IP-адрес IPv6
  • DHCPv6, автоконфигурирование
MIB
  • MIB II RFC 1213
  • Мост MIB RFC 1493
  • Расширение моста MIB RFC 2674
  • SNMPv2 MIB RFC 1907
  • Ethernet-интерфейс MIB RFC 1643
  • Ethernet-подобный MIB RFC 2863
  • Группа интерфейсов MIB RFC 2233
  • Протокол прерываний MIB RFC 1215
  • RMON MIB RFC 1757, RFC 2819
  • 802.1p MIB RFC 2674
  • Аутентификация клиента RADIUS MIB RFC 2618
  • LLDP-MIB IEEE 802.1ab
  • Функция Ping MIB RFC 2925, RFC 4560
Протокол связующего дерева
  • IEEE 802.1D STP (протокол связующего дерева)
  • IEEE 802.1w RSTP (протокол быстрого связующего дерева)
  • IEEE 802.1s MSTP (протокол множественного связующего дерева)
Агрегирование каналов
  • Статическое агрегирование каналов
  • Динамический протокол LACP 802.3ad
Качество обслуживания (QoS)
  • Класс обслуживания 802.1p (CoS)
  • DSCP (поле кода дифференцирования трафика)
  • Управление пропускной способностью на порт
  • Планирование последовательности: Строгий приоритет, циклический взвешенный алгоритм (WRR)
VLAN
  • Множественные управляемые назначения VLAN
  • Ассиметричная VLAN
  • Маркированная VLAN 802.1Q
  • Динамический GVRP
  • До 256 VLAN групп, диапазон ID 1-4094
  • Частная VLAN (защищенные порты)
  • Голосовая VLAN (10 уникальных идентификаторов организации, задаваемых пользователем)
Многоадресная передача
  • Отслеживание IGMP v1, v2, v3 (для VLAN)
  • Статический групповой адрес
  • До 256 многоадресных значений
Зеркало порта
  • RX, TX или оба
  • Один в один
Контроль доступа
  • Управление доступом в сеть через порт 802.1X, RADIUS, TACACS+
  • Локальная аутентификации пользователя по телефонной сети
  • Отслеживание DHCP (на VLAN)
  • Кольцевое обнаружение
  • Определение дублирования адресов
  • Доверенный хост
  • Отказ в обслуживании (DoS)
ACL IPv4 L2-L4 и IPv6
  • MAC-адрес
  • VLAN ID
  • Тип среды (только IPv4)
  • IP-протокол 0-255
  • TCP/UDP порт 1-65535
  • 802.1p
  • DSCP (только IPv4)
  • IPv6 адрес (только IPv6)
Совместимость
  • Опциональная сервисная программа: Windows® 8.1, 8, 7, Vista, XP, Windows® 2003/2008 Server
Особенности
  • Конструкция без кулеров
  • IPv6
  • Стандарт энергосбережения 802.3az
  • Монтаж в стойке
Питание
  • Входная мощность: 100-240 В переменного тока, 50/60 Гц, внутренний источник питания
  • Потребляемая мощность: 11,56 Вт (макс.)
Кулер/Шум
  • Конструкция без кулеров
MTBF
Рабочая температура
  • 0 – 45°C (32 — 113°F)
Рабочая влажность
  • Макс. 90% (без конденсата)
Размеры
  • 440 x 210 x 44,45 мм (17,3 x 8,27 x 1,75 дюйма)
  • Для монтажа в стойку высотой 1U
Вес
  • 1,78 кг (3,92 фунта)
Сертификаты
Гарантия
  • 3 летняя ограниченная

Внедрение технологии vlan для разграничения доступа к ресурсам локальной сети Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.732

ВНЕДРЕНИЕ ТЕХНОЛОГИИ VLAN ДЛЯ РАЗГРАНИЧЕНИЯ ДОСТУПА К РЕСУРСАМ ЛОКАЛЬНОЙ СЕТИ М. В. Соснин

В статье рассматривается локальная сеть как базовая составляющая информационной системы. Рассмотрены варианты реализации разграничения доступа к ресурсам сети, приведена таблица для сравнения двух различных способов, рассмотрена технология VLAN и её ответвление — Asymmetric VLAN, которая позволяет наиболее эффективно в экономическом и временном плане организовывать независимые подсети в одной физической локальной сети.

Ключевые слова: сервер, ресурсы, локальная сеть, управление, оптимизация.

Key words: server, resources, local area network, LAN, controlling, optimization.

При развитии локальной сети очень часто возникает проблема разграничения доступа к её ресурсам пользователей различных категорий, а также объединения работников разных отделов в изолированные группы для решения определенных задач. При уже построенной и функционирующей сети становится довольно проблематичной организация новых точек подключения к компьютерам. В связи с этим рационально использовать технологию виртуальной локальной сети (Virtual Local Area Network — VLAN), разработанную Институтом инженеров электротехники и электроники (IEEE).

Внедрение технологии VLAN позволяет эффективно разделять трафик, лучше использовать полосу канала, гарантировать успешную совместную работу сетевого оборудования различных производителей и обеспечить высокую степень безопасности. При этом пакеты следуют между портами в пределах локальной сети. При внедрении технологии нет необходимости менять кабельную структуру сети и клиентские устройства доступа, следует заменить только активное оборудование, коммутирующее трафик.

VLAN обладают следующими преимуществами.

• Гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети.

• VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя.

• VLAN позволяют усилить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.

В таблице представлено сравнение плюсов и минусов реализации раздельного доступа на физическом уровне и с помощью виртуальных локальных сетей VLAN.

Таблица

Сравнение реализации разделения ресурсов

Физическая VLAN

Плюсы Минусы Плюсы Минусы

Надежность — при физическом отключении одного сегмента сети, остальные продолжают работать Необходимость прокладки новых кабелей Необходимо заменить только активное коммутирующее оборудование Зависимость от физической среды передачи информации

Необходимость закупки дополнительного оборудования Возможность оперативно изменить топологию сети, не прибегая к затратам

Сложности при необходимости изменения топологии сети Простота управления

Увеличение потребления физических ресурсов Масштабируемость

Приоритезация

Из таблицы можно сделать вывод, что применение виртуального разделения сети экономически целесообразно.

На рис. 1 представлена типовая схема реализации разделения пользователей с помощью технологии VLAN.

і

1

І

Матрица переключателя

t * t Г

*91*4

Рис. 1. Пример реализации VLAN на базе одного коммутатора

На коммутаторе запрограммирована возможность пересылки пакетов между портами 1,. 3 и 6, 2и5,а также между портами 4, 7 и 8. Пакет из порта 1 никогда не попадет в порт 2, а из порта 8 в порт 6 и т.д. Таким образом, переключатель разделяется на три независимых виртуальных переключателя, принадлежащих различным виртуальным сетям. Управление

матрицей переключения возможно через подключаемый извне терминал или удаленным образом с использованием протокола SNMP или WEB.

Однако при этом возникает проблема доступа к одному какому-либо общему для всех пользователей физической сети ресурсу, например, шлюзу доступа в глобальную сеть интернет. Если следовать рассмотренной концепции, то для обеспечения работы во всех сегментах сети серверу необходимо иметь столько сетевых интерфейсов и задействовать столько портов коммутатора, сколько в сети запрограммировано виртуальных подсетей. Это нецелесообразно ни в экономическом, ни в ресурсном отношении при реализации системы.

Такая задача может быть решена с помощью асимметричных VLAN, построенных на основе меток в дополнительном поле пакета — стандарт IEEE 802. lq 111. Для определения разрешения проходимости пакета в тот или иной VLAN коммутатор зарание составляет таблицу маршрутизации пакетов на основе ARP и IP.

На рис. 2 представлена схема реализации асимметричной виртуальной локальной сети, где VLAN1 — общие локальные ресурсы, VLAN2 — группа пользователей 1, VLAN3 — группа пользователей 2. VLAN2 и VLAN3 могут обмениваться данными с VLAN1, но не могут между собой. При этом пользователи и сервера с ресурсами находятся в одной подсети, но в разных широковещательных доменах.

VLAN1

VLAN2 VLAN3

Рис. 2. Пример реализации Asymmetric VLAN в пределах одного коммутатора

На рис. 3 компьютеры от А до U не могут обмениваться друг с другом информацией и находятся в разных VLAN, а серверы принадлежат ко всем VLAN одновременно, при этом обмен между коммутаторами происходит через тегированные (tagged) порты.

Серверы, SRYlf2,3

Коммутатор A (top)

Коммутатор В

Интернет

Коммутатор С

L М N О Р

Коммутатор Е

Рис. 3. Пример реализации Asymmetric VLAN в пределах небольшой локальной сети

Основное различие между базовым стандартом 802. lq VLAN или симметричными VLAN и асимметричными VLAN заключается в том, как выполняется отображение адресов. Симметричные VLAN используют отдельные адресные таблицы, т.е. не существует пересечения адресов между VLAN-ами. Асимметричные VLAN могут использовать одну, общую таблицу адресов. Однако использование одних и тех же адресов (пересечение по адресам) происходит только в одном направлении.

В примере, рассмотренном выше, VLAN1, созданная для порта, имела в своем распоряжении полную таблицу адресов, т.е. любой адрес мог быть отображен на ее порт (PVID).

Основными достоинствами рассмотренного варианта построения JIBC являются следующие.

• Обеспечение высокой степени защищенности информации от несанкционированного доступа за счет создания для каждого подразделения предприятия (или отдельного пользователя) виртуальных локальных сетей (VLAN), ограничивающих трафик в пределах отдельной VLAN.

• Возможность размещения всех основных вычислительных ресурсов (серверов) в одной аппаратной (серверной) позволяет обеспечить требуемый уровень их защищенности от внешних воздействий и удобство обслуживания.

• Возможность предоставления доступа к любым из имеющихся сетевых ресурсов (серверов, систем хранения информации Internet и т.п.) на каждом коммутаторе уровня распределения без проведения работ по прокладке дополнительных кабельных линий.

• Структурная гибкость сети, позволяющая быстро менять строение сети, наращивая или подстраивая ее под изменяющуюся структуру предприятия без проведения работ по прокладке дополнительных кабельных линий.

• Масштабируемость сети, что дает возможность легко наращивать вычислительные ресурсы сети простым подключением дополнительных серверов и других сетевых элементов к стеку коммутаторов «ядра».

• Возможность подключения локальных средств архивизации в любой удобной точке сети, что позволяет расположить устройства архивизации как с учетом минимизации нагрузки на сеть, так и в месте, наиболее защищенном от пожара, затопления и т.п.

• Невысокая стоимость решения и оптимальное соотношение показателя цена/качество, позволяет при малом бюджете развертывать гибкую, высокозащищенную информационную инфраструктуру.

Дальнейшее развитие рассмотренной архитектуры и методологии должно предусматривать наращивание защищенности информационной инфраструктуры. Вполне очевидно, что для этого требуется наличие дублирующих маршрутов в сети, т.е. сеть рассматривается как граф, причем его связность не должна нарушаться при недоступности какого-либо ребра (при отказе информационного канала) или узла.

Библиографический список

1. Стандарт 802.1(3 / Библиотека стандартов института ШЕЕ. — Режим доступа: http://standards.ieee.org/getieee802/download/802.lQ-2005.pdf, свободный. — Заглавие с экрана. — Яз. англ.

асимметричных вланов | Зло TTL

Категория: Системы Cisco -> Маршрутизация и коммутация

Введение в асимметричные VLAN

Один из моих коллег недавно получил задание настроить транк между коммутатором Allied Telesis серии 950 и Cisco Catalyst 3560. Я наблюдал за процессом от начала до конца и заметил, что у него были некоторые трудности с асимметричными VLAN. в Allied Telesis. В этой статье я дам базовое описание принципов конфигурации асимметричной VLAN и приведу фактический пример конфигурации магистрали между коммутаторами Allied Telesis и Cisco.

Традиционно коммутаторы L2 не имели возможности переключаться между VLAN. Для передачи трафика между двумя разными VLAN вам нужно было направить его через устройство L3, такое как коммутатор L3 или маршрутизатор. Однако современные коммутаторы Cisco «L2» могут выполнять маршрутизацию между VLAN с некоторыми ограничениями. Ключевое слово «маршрут» . Асимметричные VLAN могут помочь вам «переключаться» между VLAN и между разными широковещательными доменами соответственно. Основным логическим элементом для понимания асимметричных VLAN является то, что любой порт коммутатора может обмениваться трафиком между любым количеством VLAN и может быть ограничен по желанию.

Приведу пример. Представьте переключатель. Коммутатор имеет 5 портов. Вы подключаете ПК к портам 1-2 и 4-5. Сервер подключен к порту 3. Цель состоит в том, чтобы ограничить трафик между портами 1-2 и 4-5 и разрешить трафик между портом 3 и любым другим портом на коммутаторе. Для выполнения задачи необходимо назначить порты 1-2 и 3 для VLAN1, порты 4-5 и 3 для VLAN2, порты 1-5 для VLAN3. Следующий шаг — убедиться, что кадры с сетевых устройств попадут в соответствующие VLAN. Вы должны использовать Port VLAN Identifiers для этого или PVID для краткости.Назначьте PVID1 портам 1–2, PVID3 — порту 3 и PVID2 — портам 4–5.

Обратитесь к следующей диаграмме для лучшего понимания того, о чем я только что говорил.

Логика следующая: все кадры, полученные на порты 1-2, будут помечены цифрой 1 и будут находиться в одном широковещательном домене с портами 1-2 и 3. Все кадры, полученные на порты 4-5, будут помечены цифрой 2. и будут находиться в одном широковещательном домене с портами 4–5 и 3. Все кадры, полученные на порт 3, будут помечены цифрой 3 и будут находиться в одном широковещательном домене с портами 1–2 и 4–5.

VLAN между Cisco 3560 и Allied Telesys AT-GS950

Теперь давайте перейдем к реальному примеру. Лабораторная среда была организована следующим образом:

Allied Telesis не поддерживает интерфейс командной строки, поэтому настройки в первую очередь должны выполняться в веб-интерфейсе. Если вы сохраните конфигурацию на жесткий диск, вы сможете легко отредактировать ее и повторно загрузить обратно. На нашем Allied Telesis веб-интерфейс оказался глючным — некоторые пункты меню вообще не открывались, какая бы прошивка не использовалась.Я думаю, это было из-за неисправного оборудования или загрузчика или чего-то еще.

Конфигурация Allied Telesis 950 VLAN:

В файле конфигурации это будет выглядеть так:

!
интерфейс vlan50
член 1-2,47-48
имя VLAN50
нетегированный 1-2
!

Проверить состояние VLAN 50:

Чтобы настроить PVID, перейдите к Мост — VLAN — Порт по умолчанию VLAN и CoS :

Веб-страница конфигурации PVID не открылась, поэтому конфигурация была сохранена, отредактирована и перезалита со следующими изменениями:

!
интерфейс GigabitEthernet1/1
PVID 50
!
интерфейс GigabitEthernet1/2
PVID 50
!

VLAN 1 остался нетронутым:

Конфигурация VLAN Cisco:

!
интерфейс FastEthernet0/1
доступ к порту коммутатора vlan 50
доступ к режиму порта коммутатора
!

!
интерфейс

Vlan50
ip адрес 192.168.50.1 255.255.255.0
!

LACP между Cisco 3560 и Allied Telesys AT-GS950

1. Конфигурация Cisco.

Виртуальный интерфейс:

interface Port-channel1
switchport транк инкапсуляция dot1q
switchport режим транк

Физический интерфейс:

интерфейс GigabitEthernet0/1
инкапсуляция соединительной линии порта коммутатора dot1q
режим соединительной линии коммутатора
режим группы каналов 1 активен
!
interface GigabitEthernet0/2
switchport магистральная инкапсуляция dot1q
switchport mode trunk
channel-group 1 mode active

2.Конфигурация Allied Telesis.

Перейти к Bridge — Trunk Config — Trunking (страница не открылась)

Или соответствующим образом измените файл конфигурации:

IP-адрес 192.168.50.100 255.255.255.0
IP-шлюз по умолчанию 192.168.50.1
!
!
!
lacp 1 47-48 пассивный

Проверьте агрегированные порты на Allied Telesis:

Проверьте EtherChannel на Cisco:

C3560 # SH EtherChannel Summary
Флаги: D - Down P - в комплекте в портальный канал
I - автономный S - подвески
H - Hot-Standby (только LACP)
R - STYER3 S - STEAL2
U - в использовании - Не удалось выделить агрегатор

M

- не используется, минимальные ссылки не встречаются
U - не подходит для объединения
Вт - Ожидание, чтобы быть агрегированным
D - Порт по умолчанию
Количество каналов в использовании: 1
Количество агрегаторов: 1
Группа  Порт-канал  Протокол    Порты
------+-------------+-----------+--------- ---------------------------------------
1      Po1(SU)         LACP      Gi0/1( P)    Gi0/2(P)

Так выглядит файл конфигурации на коммутаторе Allied Telesis 950:

! -- начало файла конфигурации -- 
! -- Версия программного обеспечения : AT-S106 V1.2.0 [1.0.4.06] / 11 июля 2011 10:55:00 -- 
!
включить
настроить
!
!
!
IP-адрес 192.168.50.100 255.255.255.0
ip шлюз по умолчанию 192.168.50.1
!
!
!
lacp 1 47-48 Пассивный
!
!
!
!
!
!
!
!
!
!
!
интерфейс vlan1
член 1-48
имя "VLAN по умолчанию"
без тегов 1-48
!
интерфейс vlan50
член 1-2,47-48
имя VLAN50
нетегированный 1-2
!
выход
!
!
интерфейс GigabitEthernet1/1
PVID 50
!
интерфейс GigabitEthernet1/2
PVID 50
! Интерфейс
 GigabitEthernet1/3
! Интерфейс
 GigabitEthernet1/4
! Интерфейс
 GigabitEthernet1/5
! Интерфейс
 GigabitEthernet1/6
! Интерфейс
 GigabitEthernet1/7
! Интерфейс
 GigabitEthernet1/8
! Интерфейс
 GigabitEthernet1/9
! Интерфейс
 GigabitEthernet1/10
! Интерфейс
 GigabitEthernet1/11
! Интерфейс
 GigabitEthernet1/12
! Интерфейс
 GigabitEthernet1/13
! Интерфейс
 GigabitEthernet1/14
! Интерфейс
 GigabitEthernet1/15
! Интерфейс
 GigabitEthernet1/16
! Интерфейс
 GigabitEthernet1/17
! Интерфейс
GigabitEthernet1/18
! Интерфейс
 GigabitEthernet1/19
! Интерфейс
 GigabitEthernet1/20
! Интерфейс
 GigabitEthernet1/21
! Интерфейс
 GigabitEthernet1/22
! Интерфейс
 GigabitEthernet1/23
! Интерфейс
 GigabitEthernet1/24
! Интерфейс
 GigabitEthernet1/25
! Интерфейс
 GigabitEthernet1/26
! Интерфейс
 GigabitEthernet1/27
! Интерфейс
 GigabitEthernet1/28
! Интерфейс
 GigabitEthernet1/29
! Интерфейс
 GigabitEthernet1/30
! Интерфейс
 GigabitEthernet1/31
! Интерфейс
 GigabitEthernet1/32
! Интерфейс
 GigabitEthernet1/33
! Интерфейс
 GigabitEthernet1/34
! Интерфейс
 GigabitEthernet1/35
! Интерфейс
 GigabitEthernet1/36
! Интерфейс
 GigabitEthernet1/37
! Интерфейс
 GigabitEthernet1/38
! Интерфейс
 GigabitEthernet1/39
! Интерфейс
 GigabitEthernet1/40
! Интерфейс
 GigabitEthernet1/41
! Интерфейс
 GigabitEthernet1/42
! Интерфейс
 GigabitEthernet1/43
! Интерфейс
 GigabitEthernet1/44
! Интерфейс
 GigabitEthernet1/45
! Интерфейс
 GigabitEthernet1/46
! Интерфейс
 GigabitEthernet1/47
! Интерфейс
 GigabitEthernet1/48
!
! -- конец конфигурации --

По привилегии15

[РЕШЕНО] Vlan на коммутаторе DGS-1210?

вы хотите узнать о вланах, но в предлагаемом вами решении вам понадобятся вланы, маршрутизация и брандмауэры.

Было бы лучше начать с одного за раз. Все виртуальные локальные сети позволяют создавать несколько «практически отдельных» локальных сетей. представьте себе вашу установку с двумя разными коммутаторами LAN. один коммутатор — это vlan 1, а другой — vlan 2. vlan 1 и 2 по-прежнему нуждаются в правильном подключении к сети.

Судя по скриншоту коммутатора/брандмауэра, вы создали vlan 254, и к нему подключено только брандмауэр. другие вланы являются отдельными и похожими на отдельные коммутаторы. вам сначала нужно понять базовую сетевую маршрутизацию, а затем брандмауэр.

Сейчас рассмотрим брандмауэр как две вещи в одном: маршрутизатор и фильтр безопасности. Простой ситуацией могут быть две сети (1 и 2), соединенные межсетевым экраном. Брандмауэр будет иметь физическое соединение с сетью 1 и сетью 2. ему будет назначен IP-адрес из сети 1 и сети 2. Устройства в сети должны будут использовать IP-адрес брандмауэра в качестве шлюза по умолчанию. Затем необходимо правило фильтрации брандмауэра, чтобы разрешить трафик из сети 1 в сеть 2. Это приводит к тому, что сеть 1 получает доступ к сети 2.

Для виртуализации на одном сетевом коммутаторе вланы 1 и 2 могут использоваться для представления двух сетевых коммутаторов. Тогда брандмауэр может использовать только один физический порт — с включенными 2 вланами. Сначала вы создаете switchport в vlan 1 без тегов и подключаете сеть 1 PC. затем нетегированный коммутатор в vlan 2 и добавить в сеть 2 ПК. Наконец, вы настраиваете порт для брандмауэра — без тегов в vlan 1 и с тегами для vlan 2. в брандмауэре настройте IP-адрес для сети 1 на главном порту и включите vlan 2 на порту и настройте IP-адрес сети 2.Объяснение. В сетях Ethernet соединения VLAN могут быть «немаркированными», и подключающееся устройство не знает о vlan. или они могут быть «[помечены», когда метка vlan ставится на каждый отправленный кадр — подключенное устройство также должно понимать vlan и быть правильно настроено. Основное использование «тегированных» вланов заключается в добавлении дополнительных вланов к существующему порту, чтобы более одного можно было использовать на одном и том же порту.

Попробуйте применить это к предлагаемой вами настройке, и она должна начать работать.

1 нашел это полезным палец вверх thumb_down

асимметричных VLAN с Linux » Гроза Кельвина

Асимметричные VLAN

могут быть полезны при определенных обстоятельствах, например, для изоляции некоторых классов портов друг от друга, позволяя им взаимодействовать с центральным сервером.Одним из примеров этого может быть гостиничная сеть, где сетевые конечные точки в гостиничном номере каждого клиента не должны иметь возможности взаимодействовать друг с другом, но все номера должны взаимодействовать с центральным гостиничным сервером.

Под асимметричной VLAN мы подразумеваем, что для каждого направления трафика используется отдельный идентификатор VLAN, например. Идентификатор VLAN 2001 используется для передачи на все изолированные хосты (например, гостиничные номера), тогда как VLAN ID 2002 используется для всего обратного трафика от изолированных хостов (гостиничных номеров).

Обычно конечным точкам в сети VLAN не требуется понимать теги VLAN, но при определенных обстоятельствах (особенно в коммутационном оборудовании) вы можете обнаружить, что у вас есть хост Linux, которому необходимо обмениваться данными в этих двух VLAN и рассматривать их как единую сеть. .Поэтому Linux должен быть настроен на отправку пакетов с одним идентификатором VLAN (например, 2001) и получение пакетов с другим идентификатором VLAN (например, 2002), но рассматривать их как одну и ту же физическую сеть. Этого можно достичь в Linux, используя 802.1Q/VLAN и поддержку связывания со стороны ядра.

В Linux мы создаем два виртуальных интерфейса, по одному для каждого направления VLAN/VID (например, eth0.2001 и eth0.2002 ). Затем мы связываем их вместе, чтобы создать новое виртуальное устройство (например, vlanb0 ).Все пакеты передаются по одному VID, а принимаются по другому. Отдельные интерфейсы VLAN (например, eth0.2002 ) видят, что пакеты идут только в одном направлении, но они связаны вместе в vlanb0 , который является основным интерфейсом, на котором мы устанавливаем наш IP-адрес.

Мы используем режим соединения active-backup с основным интерфейсом, чтобы указать VLAN, используемую для передачи. Мы также включаем all_slaves_active , чтобы пакеты могли проходить через принимающий интерфейс (обычно по умолчанию это отключено, и мы можем получать пакеты только через активный/основной интерфейс).

Примечание : все инструкции выполняются от имени пользователя root.

Убедитесь, что модули соединения и 802.1Q VLAN загружены:

 # соединение модзонда
# модпрове 8021q 

Создать интерфейсы VLAN:

 # vconfig добавить eth0 2001
# vconfig добавить eth0 2002 

Создайте наш виртуальный связанный интерфейс:

 # эхо + vlanb0 > /sys/class/net/bonding_masters 

Перевод в режим active-backup , который делает один интерфейс (наш VID направления передачи) используемым для передачи:

 # ifconfig vlanb0 не работает
# echo activebackup > /sys/class/net/vlanb0/bonding/mode
# ifconfig vlanb0 до 

Свяжите наши два однонаправленных интерфейса VLAN с виртуальным интерфейсом vlanb0 :

 # ifconfig eth0.2001 вниз
# ifconfig eth0.2002 не работает
# echo +eth0.2001 > /sys/class/net/vlanb0/bonding/slaves
# эхо +eth0.2002 > /sys/class/net/vlanb0/bonding/slaves 

Укажите, какой из двух VID следует использовать для отправки на этом конце (может быть 2001 или 2002):

 # эхо eth0.2001 > /sys/class/net/vlanb0/bonding/primary 

Убедитесь, что другому интерфейсу VLAN (VID направления только для приема) разрешено получать  пакетов:

 # эхо 1 > /sys/class/net/vlanb0/bonding/all_slaves_active 

Установите IP-адрес для сети на связанном интерфейсе:

 # ifconfig vlanb0 192.168.188.1 сетевая маска 255.255.255.0 

Теперь у вас должен быть работающий интерфейс vlanb0 , который отправляет пакеты через eth0.2001 и получает пакеты через eth0.2002.

Добавить в закладки и поделиться этой статьей

Решено: Конфигурация VLAN — сообщества NETGEAR

Верно, но поскольку Netgear его не поддерживает, я не собираюсь посылать его в эту кроличью нору.

 

Он МОЖЕТ продублировать функциональность — отчасти — с помощью переключателя, который у него есть.Или он мог бы купить Catalyst у Cisco и запустить настоящие PVLAN RFC5517.

 

Я уже сталкивался с подобными вещами при больших развертываниях DSL. Это НЕ просто. Устранение неполадок — это настоящий зуд, поскольку простые вещи, такие как отправка пинга, вы не знаете, блокируется ли он фильтром или устройство просто не отвечает. Это оправдано сценарием, изложенным Cisco в RFC5517, где вы имеете дело с чрезвычайно скудной нумерацией общедоступных IP-адресов и должны использовать каждый последний IP-адрес.Это НЕ оправдано коллекцией устройств за 50 долларов в доме, чтобы удовлетворить чей-то особенно параноидальный сценарий шляпника из фольги, где все пронумеровано в частном порядке, и поскольку это пронумеровано в частном порядке, вам не нужно спускаться в кроличью нору «асимметричной VLAN», потому что вы можете потратить огромные количество частных IP-адресов и сделать это правильно.

 

Все, что ему нужно, это удобный компьютер с Linux — черт возьми, он мог бы использовать Raspberri Pi — для создания НАСТОЯЩЕГО маршрутизатора, и он может определить столько «традиционных» частных подсетей, сколько он хочет, в любом количестве «традиционных» VLAN хочет, и маршрутизировать между ними должным образом, как нормальные люди, не создавая сценария «вырви на себе волосы».

 

Существуют решения, принадлежащие оператору, такие как PVLANS, также известные как «асимметричные VLAN», которые должны ОСТАВАТЬСЯ у оператора. Вот почему Netgear не заинтересован в поддержке такого рода вещей, потому что никто из 4000 клиентов DSL, нуждающихся в изоляции, не будет тратить 1000 долларов на коммутатор Netgear, они будут тратить 20 000 долларов на продукт операторского класса от Juniper или Cisco. . К сожалению, то, что так часто случается в сетях, это то, что люди читают об эзотерических вещах, происходящих на уровне оператора, и думают: «Это так круто, я просто должен получить это с моего сетевого устройства за 50 долларов, которое я купил в Costco», они не останавливаются, чтобы подумать, ПОЧЕМУ так дела обстоят у перевозчика, и насколько они PIA для администраторов, работающих на перевозчике.

 

Поверьте мне, если бы мы с самого начала все сделали правильно в Интернете, мы бы все использовали IPv6, и никому бы не было дела до асимметричных VLAN, PVLANS или чего-то подобного. В те дни, когда я был администратором с этими развертываниями DSL, я бы отказался от всей фильтрации уровня 2 в горячую секунду, если бы мог просто выделить v6 и отрезать /48 для своих клиентов, как кусочки сыра. То, что мы тогда сделали, НЕ было чем-то, что кто-то с мозгами захотел бы повторить, это НЕ было ни в коем случае не «кавельским».

Схема динамического контроля доступа для многосетевой асимметричной виртуальной локальной сети на основе услуг

‘) var head = document.getElementsByTagName(«head»)[0] var script = document.createElement(«сценарий») script.type = «текст/javascript» сценарий.src = «https://buy.springer.com/assets/js/buybox-bundle-52d08dec1e.js» script.id = «ecommerce-scripts-» ​​+ метка времени head.appendChild (скрипт) var buybox = document.querySelector(«[data-id=id_»+ метка времени +»]»).parentNode ;[].slice.call(buybox.querySelectorAll(«.вариант-покупки»)).forEach(initCollapsibles) функция initCollapsibles(подписка, индекс) { var toggle = подписка.querySelector(«.Цена-варианта-покупки») подписка.classList.remove(«расширенный») var form = подписка.querySelector(«.форма-варианта-покупки») если (форма) { вар formAction = form.getAttribute(«действие») document.querySelector(«#ecommerce-scripts-» ​​+ timestamp).addEventListener(«load», bindModal(form, formAction, timestamp, index), false) } var priceInfo = подписка.селектор запросов(«.Информация о цене») var PurchaseOption = toggle.parentElement если (переключить && форма && priceInfo) { toggle.setAttribute(«роль», «кнопка») toggle.setAttribute(«tabindex», «0») toggle.addEventListener («щелчок», функция (событие) { var expand = toggle.getAttribute(«aria-expanded») === «true» || ложный переключать.setAttribute(«расширенная ария», !расширенная) form.hidden = расширенный если (! расширено) { покупкаOption.classList.add(«расширенный») } еще { покупкаOption.classList.remove(«расширенный») } priceInfo.hidden = расширенный }, ложный) } } функция bindModal (форма, formAction, метка времени, индекс) { var weHasBrowserSupport = окно.выборка && Array.from функция возврата () { var Buybox = EcommScripts ? EcommScripts.Buybox : ноль var Modal = EcommScripts ? EcommScripts.Modal : ноль if (weHasBrowserSupport && Buybox && Modal) { var modalID = «ecomm-modal_» + метка времени + «_» + индекс var modal = новый модальный (modalID) модальный.domEl.addEventListener(«закрыть», закрыть) функция закрыть () { form.querySelector(«кнопка[тип=отправить]»).фокус() } вар корзинаURL = «/корзина» var cartModalURL = «/cart?messageOnly=1» форма.setAttribute( «действие», formAction.replace(cartURL, cartModalURL) ) var formSubmit = Buybox.перехват формы отправки ( Buybox.fetchFormAction(окно.fetch), Buybox.triggerModalAfterAddToCartSuccess(модальный), функция () { form.removeEventListener («отправить», formSubmit, false) форма.setAttribute( «действие», formAction.replace(cartModalURL, cartURL) ) форма.представить() } ) form.addEventListener («отправить», formSubmit, ложь) document.body.appendChild(modal.domEl) } } } функция initKeyControls() { document.addEventListener («нажатие клавиши», функция (событие) { если (документ.activeElement.classList.contains(«цена-варианта-покупки») && (event.code === «Пробел» || event.code === «Enter»)) { если (document.activeElement) { событие.preventDefault() документ.activeElement.click() } } }, ложный) } функция InitialStateOpen() { var buyboxWidth = buybox.смещениеШирина ;[].slice.call(buybox.querySelectorAll(«.опция покупки»)).forEach(функция (опция, индекс) { var toggle = option.querySelector(«.цена-варианта-покупки») var form = option.querySelector(«.форма-варианта-покупки») var priceInfo = option.querySelector(«.Информация о цене») если (buyboxWidth > 480) { переключить.щелчок() } еще { если (индекс === 0) { переключать.щелчок() } еще { toggle.setAttribute («ария-расширенная», «ложь») form.hidden = «скрытый» priceInfo.hidden = «скрытый» } } }) } начальное состояниеОткрыть() если (window.buyboxInitialized) вернуть window.buyboxInitialized = истина initKeyControls() })()

Группа VLAN и асимметричное развертывание

Группа VLAN — это логический контейнер, включающий две или более отдельных VLAN.Группы VLAN предназначены для балансировки трафика в сети уровня 2, когда вы хотите свести к минимуму реконфигурацию хостов в этой сети.

Группа VLAN гарантирует, что система BIG-IP может обрабатывать трафик между клиентом и сервером, когда два хоста находятся в одном адресном пространстве, но в двух разных VLAN.

Настройка группы VLAN в пользовательском интерфейсе
  1. На вкладке «Основные» нажмите «Сеть» > «VLAN».
  2. Нажмите «Создать».

 

3.Укажите следующие сведения на странице создания VLAN.

  • Имя VLAN
  •  Тег VLAN
  • Сведения об интерфейсе
  • Тип тега — тегированный/нетегированный

 

4.     Аналогичным образом создайте другую VLAN, как указано в шаге 3.

5.     Нажмите на группы VLAN, чтобы создать группу VLAN.

 

6. Выберите интерфейсы VLAN и соответствующий режим в раскрывающемся списке Режим прозрачности.

Примечание. Обязательно создание собственного IP-адреса для непрозрачного режима

Групповые режимы VLAN

Система BIG-IP способна обрабатывать трафик, используя комбинацию переадресации 2-го и 3-го уровней, то есть коммутацию и IP-маршрутизацию.Когда вы устанавливаете режим прозрачности, вы указываете тип переадресации, которую выполняет система BIG-IP при пересылке сообщения на хост в VLAN. Значение по умолчанию полупрозрачное, что означает, что система BIG-IP использует сочетание обработки Уровня 2 и Уровня 3. Допустимые режимы:

1.    Прозрачный

2.    Прозрачный

3.    Непрозрачный

Прозрачный режим :

В прозрачном режиме исходный MAC-адрес удаленной системы сохраняется в сетях VLAN.

Настройка в режиме кли
tmsh изменить сетевой интерфейс 1/1.1 port-fwd-mode l3
tmsh изменить сетевой интерфейс 2/1.2 port-fwd-mode l3
tmsh создать net vlan left_vlan_1 тег 77 интерфейсов добавить {1/1.1 {tagged}}
tmsh создать net vlan тег right_vlan_1 78 интерфейсов добавить {2/1.2 {tagged}}
tmsh create net vlan-group vg_1 bridge-traffic enable mode Transparent Members add {left_vlan_1 right_vlan_1}
 

Пример захвата пакета ICMP на BIGIP

 tcpdump -nne -s0 -i 0.0:nn icmp
22:34:43.858872 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 189: vlan 81, p 0, ethertype IPv4, 10.0. 81.1 > 10.0.81.2: эхо-запрос ICMP, идентификатор 207, последовательность 0, длина 80 в slot4/tmm4 lis= port=1/1.1 trunk=
тип_потока=0 ид_потока=0 идентификатор_пира=0 conflags=0 слот=19 вход=4 хаунит=0 приоритет=3
22:34:43.859194 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 199: vlan 82, p 0, ethertype IPv4, 10.0. 81.1 > 10.0.81.2: эхо-запрос ICMP, идентификатор 207, последовательность 0, длина 80, выход slot4/tmm9 lis=_vlangroup port=2/1.2 багажника=
тип потока=132 поток=560CED5A8500 peerid=560CED5A8400 conflags=100000E26 слот=19 вход=4 haunit=1 приоритет=3
22:34:43.860821 3c:41:0e:9b:1c:6a > 3c:41:0e:9b:36:e4, ethertype 802.1Q (0x8100), длина 189: vlan 82, p 0, ethertype IPv4, 10.0. 81.2 > 10.0.81.1: эхо-ответ ICMP, идентификатор 207, последовательность 0, длина 80 в slot4/tmm4 lis= port=2/1.2 trunk=
тип_потока=0 ид_потока=0 идентификатор_пира=0 conflags=0 слот=19 вход=4 хаунит=0 приоритет=3
22:34:43.860830 3c:41:0e:9b:1c:6a > 3c:41:0e:9b:36:e4, эфирный тип 802.1Q (0x8100), длина 199: vlan 81, p 0, ethertype IPv4, 10.0.81.2 > 10.0.81.1: эхо-ответ ICMP, id 207, seq 0, длина 80 out slot4/tmm9 lis=_vlangroup port=1/1.1 trunk знак равно
 

Из приведенного выше перехвата пакетов видно, что MAC-адрес сохранен.

Полупрозрачный режим:

В полупрозрачном режиме локальный уникальный бит переключается во всех пакетах через VLAN

Настройка в режиме кли
tmsh изменить сетевой интерфейс 1/1.1 порт-вперед-режим l3
tmsh изменить сетевой интерфейс 2/1.2 port-fwd-mode l3
tmsh создать net vlan left_vlan_1 тег 77 интерфейсов добавить {1/1.1 {tagged}}
tmsh создать net vlan тег right_vlan_1 78 интерфейсов добавить {2/1.2 {tagged}}
tmsh create net vlan-group vg_1 режим с включенным мостовым трафиком полупрозрачные члены добавить {left_vlan_1 right_vlan_1}
 

Пример захвата пакета ICMP на BIGIP

tcpdump -nne -s0 -i 0.0:nn icmp
22:46:40.143781 3c:41:0e:9b:36:e4 > 3e:41:0e:9b:1c:6a, эфирный тип 802.1Q (0x8100), длина 189: vlan 81, p 0, ethertype IPv4, 10.0.81.1 > 10.0.81.2: эхо-запрос ICMP, идентификатор 208, последовательность 1, длина 80 в slot4/tmm1 lis= port=1/1.1 trunk=
тип потока = 0 поток ID = 0 peerid = 0 conflags = 0 inslot = 19 inport = 17 haunit = 0 приоритет = 3
22:46:40.143859 3e:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 199: vlan 82, p 0, ethertype IPv4, 10.0. 81.1 > 10.0.81.2: эхо-запрос ICMP, идентификатор 208, последовательность 1, длина 80 из slot4/tmm6 lis=_vlangroup port=2/1.2 trunk=
тип потока=132 поток=56089F3A8300 peerid=56089F3A8200 conflags=100000E26 слот=19 вход=17 haunit=1 приоритет=3
22:46:40.145613 3c:41:0e:9b:1c:6a > 3e:41:0e:9b:36:e4, ethertype 802.1Q (0x8100), длина 189: vlan 82, p 0, ethertype IPv4, 10.0.81.2 > 10.0. 81.1: эхо-ответ ICMP, идентификатор 208, последовательность 1, длина 80 в slot4/tmm1 lis=port=2/1.2 trunk=
тип потока = 0 поток ID = 0 peerid = 0 conflags = 0 inslot = 19 inport = 17 haunit = 0 приоритет = 3
22:46:40.145781 3e:41:0e:9b:1c:6a > 3c:41:0e:9b:36:e4, ethertype 802.1Q (0x8100), длина 199: vlan 81, p 0, ethertype IPv4, 10.0. 81.2 > 10.0.81.1: эхо-ответ ICMP, идентификатор 208, последовательность 1, длина 80, выход slot4/tmm6 lis=_vlangroup port=1/1.1 ствол =
 

Из приведенного выше перехвата пакетов видно, что локально-уникальный бит переключается с 3c :41:0e:9b:36:e4 на 3e :41:0e:9b:36:e4.

Непрозрачный режим:

Непрозрачный режим использует прокси-ARP с пересылкой уровня 3. Прокси-ARP происходит, когда один хост отвечает на запрос ARP от имени другого хоста. В непрозрачном режиме нам нужно настроить собственный IP-адрес в группе VLAN для пересылки трафика.

Настройка в режиме кли
tmsh изменить сетевой интерфейс 1/1.1 порт-вперед-режим l3
tmsh изменить сетевой интерфейс 2/1.2 port-fwd-mode l3
tmsh создать сеть vlan left_vlan_1 tag 81 интерфейс добавить {1/1.1 {tagged}}
tmsh создать net vlan тег right_vlan_1 82 интерфейса добавить {2/1.2 {tagged}}
tmsh create net vlan-group vg_1 bridge-traffic enable mode непрозрачные члены add {left_vlan_1 right_vlan_1}
 

Пример захвата пакета ICMP на BIGIP

tcpdump -nne -s0 -i 0.0:nn icmp
прослушивание 0.0:nn, тип канала EN10MB (Ethernet), размер захвата 65535 байт
22:59:12.866402 3c:41:0e:9b:36:e4 > 02:23:e9:04:98:06, ethertype 802.1Q (0x8100), длина 189: vlan 81, p 0, ethertype IPv4, 10.0.81.1 > 10.0. 81.2: Эхо-запрос ICMP, идентификатор 221, последовательность 0, длина 80 в slot4/tmm2 lis= port=1/1.1 trunk=
тип_потока=0 ид_потока=0 идентификатор_пира=0 conflags=0 слот=19 вход=2 хаунит=0 приоритет=3
22:59:12.866634 02:23:e9:04:98:06 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 199: vlan 82, p 0, ethertype IPv4, 10.0. 81.1 > 10.0.81.2: эхо-запрос ICMP, идентификатор 221, последовательность 0, длина 80, выход slot4/tmm3 lis=_vlangroup port=2/1.2 багажника=
тип потока = 132 поток = 5604511A8100 peerid = 5604511A8000 conflags = E26 inslot = 19 inport = 2 haunit = 1 приоритет = 3
22:59:12.868114 3c:41:0e:9b:1c:6a > 02:23:e9:04:98:06, ethertype 802.1Q (0x8100), длина 189: vlan 82, p 0, ethertype IPv4, 10.0. 81.2 > 10.0.81.1: эхо-ответ ICMP, идентификатор 221, последовательность 0, длина 80 в slot4/tmm2 lis= port=2/1.2 trunk=
тип_потока=0 ид_потока=0 идентификатор_пира=0 conflags=0 слот=19 вход=2 хаунит=0 приоритет=3
22:59:12.868266 02:23:e9:04:98:06 > 3c:41:0e:9b:36:e4, ethertype 802.1Q (0x8100), длина 199: vlan 81, p 0, ethertype IPv4, 10.0.81.2 > 10.0.81.1: эхо-ответ ICMP, идентификатор 221, последовательность 0, длина 80 из slot4/tmm3 lis=_vlangroup port=1/1.1 trunk=
тип потока = 68 поток = 5604511A8000 peerid = 5604511A8100 conflags = 100200000000E26 inslot = 19 inport = 2 haunit = 1 приоритет = 3
 

Из приведенного выше перехвата пакетов видно, что BIG IP использует прокси, отправляя свой BIGIP mac 02:23:e9:04:98:06 соседнему коммутатору.

Магистраль группы VLAN

В групповом развертывании VLAN транк может быть настроен в двух режимах LACP на BIGIP с соседними устройствами.Два режима LACP упомянуты ниже

.

Active : Указывает, что BIGIP периодически отправляет управляющие пакеты независимо от того, отправила ли партнерская система запрос.

Пассивный: Указывает, что BIGIP отправляет управляющие пакеты только после запроса партнерской системой.

Настройка магистрали в активном режиме
tmsh изменить сетевой интерфейс 1.1 port-fwd-mode l3
tmsh изменить сетевой интерфейс 1.2 port-fwd-mode l3
tmsh создать сетевой транк left_trunk_1 interfaces добавить { 1.1 1.2 } qinq-ethertype 0x8100 link-select-policy auto lacp включен lacp-mode активен
tmsh создать net vlan тег left_vlan_1 31 интерфейс добавить {left_trunk_1 {tagged}}
tmsh изменить сетевой интерфейс 1.1 port-fwd-mode l3
tmsh изменить сетевой интерфейс 1.2 port-fwd-mode l3
tmsh создать net vlan тег left_vlan_2 32 интерфейса добавить {left_trunk_1 {tagged}}
tmsh изменить сетевой интерфейс 2.1 port-fwd-mode l3
tmsh изменить сетевой интерфейс 2.2 port-fwd-mode l3
tmsh create net trunk right_trunk_1 interfaces add { 2.1 2.2 } qinq-ethertype 0x8100 link-select-policy auto lacp enable lacp-mode active
tmhs создать сеть vlan right_vlan_1 тег 41 интерфейс добавить {right_trunk_1 {tagged}}
tmsh изменить сетевой интерфейс 2.1 порт-вперед-режим l3
tmsh изменить сетевой интерфейс 2.2 port-fwd-mode l3
tmsh создать net vlan тег right_vlan_2 42 интерфейса добавить {right_trunk_1 {tagged}}
tmsh create net vlan-group vg_1 bridge-traffic enable mode Transparent Members add {left_vlan_1 right_vlan_1}
tmsh создать сетевую vlan-группу vg_2 мост-трафик с включенным режимом прозрачные члены добавить {left_vlan_2 right_vlan_2}
 
Настройка магистрали в пассивном режиме
tmsh изменить сетевой интерфейс 1.1 port-fwd-mode l3
tmsh изменить сетевой интерфейс 1.2 порта-вперед-режим l3
tmsh create net trunk left_trunk_1 interfaces add { 1.1 1.2 } qinq-ethertype 0x8100 link-select-policy auto lacp enable lacp-mode пассивный
tmsh создать net vlan тег left_vlan_1 31 интерфейс добавить {left_trunk_1 {tagged}}
tmsh изменить сетевой интерфейс 1.1 port-fwd-mode l3
tmsh изменить сетевой интерфейс 1.2 port-fwd-mode l3
tmsh создать net vlan тег left_vlan_2 32 интерфейса добавить {left_trunk_1 {tagged}}
tmsh изменить сетевой интерфейс 2.1 port-fwd-mode l3
tmsh изменить сетевой интерфейс 2.2 port-fwd-mode l3
tmsh создать сетевой транк, интерфейсы right_trunk_1 добавить { 2.1 2.2 } qinq-ethertype 0x8100 link-select-policy auto lacp enable lacp-mode пассивный
tmhs создать сеть vlan right_vlan_1 тег 41 интерфейс добавить {right_trunk_1 {tagged}}
tmsh изменить сетевой интерфейс 2.1 port-fwd-mode l3
tmsh изменить сетевой интерфейс 2.2 port-fwd-mode l3
tmsh создать net vlan тег right_vlan_2 42 интерфейса добавить {right_trunk_1 {tagged}}
tmsh create net vlan-group vg_1 bridge-traffic enable mode Transparent Members add {left_vlan_1 right_vlan_1}
tmsh создать сетевую vlan-группу vg_2 мост-трафик с включенным режимом прозрачные члены добавить {left_vlan_2 right_vlan_2}
 

Параметры группы VLAN
Отказоустойчивость на основе VLAN:

Отказоустойчивость VLAN — это функция, которую вы включаете, если хотите, чтобы переключение резервной системы основывалось на событиях, связанных с VLAN.Чтобы настроить отказоустойчивость VLAN, вы указываете значение тайм-аута и действие, которое вы хотите, чтобы система выполняла по истечении периода тайм-аута.

Настройка в интерфейсе командной строки
tmsh create net vlan test1 {failsafe включен failsafe-action reboot failsafe-timeout 90}
 
Настройка в пользовательском интерфейсе

1.    Выполните указанные выше шаги для создания VLAN.

2.    В VLAN нажмите меню «Дополнительно» и включите отказоустойчивость.

3.Также упомяните тайм-аут отказоустойчивости и отказоустойчивое действие.

Если ссылка VLAN с поддержкой отказоустойчивости выходит из строя, BIGIP будет ожидать истечения времени ожидания отказоустойчивости и выполнит перезагрузку или перезапуск BIGIP на основе действия отказоустойчивости в системе высокой доступности. Рекомендуется настроить отказоустойчивость в системе высокой доступности.

Список исключений прокси:

Хост в VLAN не может нормально общаться с хостом в другой VLAN. Это правило относится и к ARP-запросам.Однако, если вы поместите сети VLAN в одну группу VLAN, система BIG-IP сможет выполнять прокси-запрос ARP. Запрос ARP должен быть изучен в членской VLAN, а не в группе VLAN

.

Прокси-запрос ARP — это запрос ARP, который система BIG-IP может отправить от имени хоста в VLAN на хосты в другой VLAN. Прокси-запрос ARP требует, чтобы обе сети VLAN принадлежали к одной и той же группе VLAN.

В некоторых случаях вы можете не захотеть, чтобы хост перенаправлял проксированные ARP-запросы на определенный хост или на другие хосты в конфигурации.Чтобы исключить определенные хосты из получения переадресованных запросов ARP через прокси, укажите IP-адреса в списке исключений прокси.

Настройка в интерфейсе командной строки
tmsh изменить net vlan-group vlt1001 proxy-excludes добавить {10.10.10.2}
 
 Настройка в пользовательском интерфейсе

1.    Выполните шаги, упомянутые выше, как указано в конфигурации группы VLAN.

2.    Нажмите на список исключений прокси.

 

3.Нажмите на кнопку создать.

 

4.     Добавьте IP-адрес, для которого вы хотите заблокировать запрос ARP.

 

5.     Окончательная конфигурация будет выглядеть так, как показано ниже.

 

 

ГРУППА VLAN Асимметричное развертывание

Когда группа VLAN развертывается асимметричным образом, сетевые пакеты входят через VLAN AçèVLAN B и возвращаются через VLAN D и VLANC, в отличие от симметричного пути, при котором пакеты приходят и уходят с использованием VLAN A и VLAN B.Чтобы трафик работал по асимметричному пути, нам нужно отключить переменную db connection.vlankeyed.

Отключение соединений с ключом VLAN

При включенных соединениях с ключом VLAN VLAN для входящего трафика должен соответствовать настроенной VLAN и присутствовать в таблице поиска BIG-IP connflow, в противном случае соединение не будет обрабатываться системой BIG-IP. Это поведение отличается для исходящего трафика, так как исходящий трафик может использовать альтернативную VLAN. Например, когда клиент отправляет пакеты SYN на адрес виртуального сервера, настроенный в VLAN A, и этот адрес виртуального сервера отвечает на запрос подключения с помощью SYN/ACK из VLAN B, ACK от этого клиента будет совпадать при поступлении в VLAN. А или VLAN Б.Система BIG-IP не будет обрабатывать ответ ACK клиента, если ответ поступает в сеть VLAN, которая находится в сети VLAN C или VLAN D.

Отключение соединений с ключом VLAN позволяет системе BIG-IP принимать соединения с асимметричной маршрутизацией через несколько VLAN.

Чтобы отключить ключ VLAN в CLI

tmsh изменить значение sys db connection.vlankeyed отключить
 

Чтобы отключить ключ VLAN в CLI

1.     На вкладке «Основные» нажмите «Конфигурация» > «Локальный трафик».

2.     Снимите флажок с подключения с ключом VLAN, чтобы отключить его.

 

Пример захвата пакета TCP на BIGIP

07:47:00.648140 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 109: vlan 81, p 0, ethertype IPv4, 10.0. 80.2.42568 > 10.0.90.2.80: флаги [S], seq 1701549128, win 64240, параметры [mss 1460,sackOK,TS val 1817130709 ecr 0,nop,wscale 7], длина 0 в slot1/tmm4 lis=port= 1/1.1 ствол=
07:47:00.648216 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 121: vlan 82, p 0, ethertype IPv4, 10.0.80.2.42568 > 10.0.90.2.80: флаги [S], seq 1701549128, win 64240, параметры [mss 1460,sackOK,TS val 1817130709 ecr 0,nop,wscale 7], длина 0 из slot1/tmm4 lis=/Common/test port= 2/1.2 ствол=
07:47:00.648702 3c:41:0e:9b:1c:52 > 3c:41:0e:9b:36:d8, ethertype 802.1Q (0x8100), длина 121: vlan 84, p 0, ethertype IPv4, 10.0. 90.2.80 > 10.0.80.2.42568: флаги [S.], seq 41553624, ack 1701549129, win 65160, параметры [mss 1460,sackOK,TS val 2143595190 ecr 1817130709,nop,wscale 7], длина 0 в слоте 1/tmm4 lis=/Общий/тестовый порт=2/1.1 ствол =
07:47:00.648710 3c:41:0e:9b:1c:52 > 3c:41:0e:9b:36:d8, ethertype 802.1Q (0x8100), длина 121: vlan 83, p 0, ethertype IPv4, 10.0. 90.2.80 > 10.0.80.2.42568: флаги [S.], seq 41553624, ack 1701549129, win 65160, параметры [mss 1460,sackOK,TS val 2143595190 ecr 1817130709,nop,wscale 7], длина 0 из слота 1/tmm4 lis=/общий/тестовый порт=1/1.2 магистраль=
07:47:00.648950 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 113: vlan 81, p 0, ethertype IPv4, 10.0. 80.2.42568 > 10.0.90.2.80: Флаги [.], ack 1, win 502, параметры [nop,nop,TS val 1817130710 ecr 2143595190], длина 0 в slot1/tmm4 lis=/Common/test port=1/1.1 trunk=
07:47:00.648957 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 113: vlan 82, p 0, ethertype IPv4, 10.0. 80.2.42568> 10.0.90.2.80: флаги [.], ack 1, win 502, параметры [nop,nop,TS val 1817130710 ecr 2143595190], длина 0 из слота 1/tmm4 lis=/Common/test port=2/ 1.2 багажник
07:47:00.649193 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, эфирный тип 802.1Q (0x8100), длина 186: vlan 81, p 0, ethertype IPv4, 10.0.80.2.42568 > 10.0.90.2.80: Flags [P.], seq 1:74, ack 1, win 502, options [nop, nop,TS val 1817130710 ecr 2143595190], длина 73: HTTP: GET / HTTP/1.1 в slot1/tmm4 lis=/Common/test port=1/1.1 trunk=
07:47:00.649198 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 186: vlan 82, p 0, ethertype IPv4, 10.0. 80.2.42568 > 10.0.90.2.80: флаги [P.], seq 1:74, ack 1, win 502, параметры [nop,nop,TS val 1817130710 ecr 2143595190], длина 73: HTTP: GET / HTTP/1 .1 выход slot1/tmm4 lis=/Common/test port=2/1.2 trunk=
07:47:00.649495 3c:41:0e:9b:1c:52 > 3c:41:0e:9b:36:d8, ethertype 802.1Q (0x8100), длина 113: vlan 84, p 0, ethertype IPv4, 10.0. 90.2.80> 10.0.80.2.42568: флаги [.], ack 74, win 509, параметры [nop,nop,TS val 2143595190 ecr 1817130710], длина 0 в slot1/tmm4 lis=/Common/test port=2/ 1.1 багажник=
07:47:00.649500 3c:41:0e:9b:1c:52 > 3c:41:0e:9b:36:d8, ethertype 802.1Q (0x8100), длина 113: vlan 83, p 0, ethertype IPv4, 10.0. 90.2.80 > 10.0.80.2.42568: Флаги [.], ack 74, win 509, параметры [nop,nop,TS val 2143595190 ecr 1817130710], длина 0 из slot1/tmm4 lis=/Common/test port=1/1.2 trunk=
07:47:00.653094 3c:41:0e:9b:1c:52 > 3c:41:0e:9b:36:d8, ethertype 802.1Q (0x8100), длина 1561: vlan 84, p 0, ethertype IPv4, 10.0. 90.2.80 > 10.0.80.2.42568: Флаги [.], seq 1:1449, ack 74, win 509, параметры [nop,nop,TS val 2143595192 ecr 1817130710], длина 1448: HTTP: HTTP/1.1 200 OK в slot1/tmm4 lis=/Common/test port=2/1.1 trunk=
07:47:00.653097 3c:41:0e:9b:1c:52 > 3c:41:0e:9b:36:d8, эфирный тип 802.1Q (0x8100), длина 220: vlan 84, p 0, ethertype IPv4, 10.0.90.2.80 > 10.0.80.2.42568: флаги [P.], seq 1449:1556, ack 74, win 509, параметры [nop, nop,TS val 2143595192 ecr 1817130710], длина 107: HTTP в slot1/tmm4 lis=/Common/test port=2/1.1 trunk=
 

Из приведенного выше перехвата пакетов видно, что синхронизирующий пакет поступает из VLAN 81, VLAN 82, а синхронизирующий ACK идет по VLAN 84, VLAN 83. BIG-IP будет обрабатывать пакеты с разными vlan, соответствующими одному и тому же connflow

.

 

Переменные БД

В таблице ниже описано поведение группы VLAN с системными переменными базы данных

 

Поиск и устранение неисправностей

1.Убедитесь, что трафик проходит через виртуальный сервер по умолчанию (_vlangroup)

.
Команда tcpdump: tcpdump -nne -s0 -i 0.0:nnn
22:46:40.143781 3c:41:0e:9b:36:e4 > 3e:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 189: vlan 81, p 0, ethertype IPv4, 10.0. 81.1 > 10.0.81.2: эхо-запрос ICMP, идентификатор 208, последовательность 1, длина 80 в slot4/tmm1 lis= port=1/1.1 trunk=
тип потока = 0 поток ID = 0 peerid = 0 conflags = 0 inslot = 19 inport = 17 haunit = 0 приоритет = 3
22:46:40.143859 3e:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, эфирный тип 802.1Q (0x8100), длина 199: vlan 82, p 0, ethertype IPv4, 10.0.81.1 > 10.0.81.2: эхо-запрос ICMP, id 208, seq 1, длина 80 out slot4/tmm6 lis=_vlangroup port=2/1.2 trunk знак равно
тип потока=132 поток=56089F3A8300 peerid=56089F3A8200 conflags=100000E26 слот=19 вход=17 haunit=1 приоритет=3
тип потока = 0 поток ID = 0 peerid = 0 conflags = 0 inslot = 19 inport = 17 haunit = 0 приоритет = 3
22:46:40.145781 3e:41:0e:9b:1c:6a > 3c:41:0e:9b:36:e4, ethertype 802.1Q (0x8100), длина 199: vlan 81, p 0, ethertype IPv4, 10.0. 81.2 > 10.0.81.1: эхо-ответ ICMP, идентификатор 208, последовательность 1, длина 80 out slot4/tmm6 lis=_vlangroup port=1/1.1 trunk=
 

2.    Теперь создайте виртуальный сервер на основе таких требований, как TCP, UDP и ICMP, с именем VS в качестве теста. Убедитесь, что трафик достигает виртуального сервера

.
Команда tcpdump: tcpdump -nne -s0 -i 0.0:nnn tcp
07:53:33.112175 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 109: vlan 81, p 0, ethertype IPv4, 10.0. 80.2.42570 > 10.0.90.2.80: флаги [S], seq 4156824303, win 64240, параметры [mss 1460,sackOK,TS val 1817523173 ecr 0,nop,wscale 7], длина 0 в slot1/tmm6 lis=port= 1/1.1 ствол =

07:53:33.112251 3c:41:0e:9b:36:e4 > 3c:41:0e:9b:1c:6a, ethertype 802.1Q (0x8100), длина 121: vlan 82, p 0, ethertype IPv4, 10.0. 80.2.42570 > 10.0.90.2.80: флаги [S], seq 4156824303, win 64240, параметры [mss 1460,sackOK,TS val 1817523173 ecr 0,nop,wscale 7], длина 0 из slot1/tmm6 lis=/Common /тестовый порт=2/1.2 транк=

07:53:33.112779 3c:41:0e:9b:1c:6a > 3c:41:0e:9b:36:e4, ethertype 802.1Q (0x8100), длина 121: vlan 82, p 0, ethertype IPv4, 10.0. 90.2.80 > 10.0.80.2.42570: флаги [S.], seq 1696348196, ack 4156824304, win 65160, options [mss 1460,sackOK,TS val 2143987653 ecr 1817523173,nop,wscale 7], длина 0 в slot1/tmm6 lis=/Common/test port=2/1.2 trunk=

07:53:33.112786 3c:41:0e:9b:1c:6a > 3c:41:0e:9b:36:e4, ethertype 802.1Q (0x8100), длина 121: vlan 81, p 0, ethertype IPv4, 10.0. 90.2.80 > 10.0.80.2.42570: флаги [S.], seq 1696348196, ack 4156824304, win 65160, параметры [mss 1460,sackOK,TS val 2143987653 ecr 1817523173,nop,wscale 7], длина 0 из слота 1/tmm lis=/Общий/тестовый порт=1/1.1 ствол =
 

3.    Этапы отладки

а. Получите tcpdump и проверьте, попадает ли трафик в VS или нет

.

б. Если трафик отбрасывается, включите «tmsh modify sys db vlangroup.forwarding.override value enable» с пунктом назначения в качестве перехвата всех и проверьте, попадает ли трафик в _vlangroup и уходит или нет. Если трафик идет без проблем, то есть проблема с созданным VS.

в. Проверьте, что записи ARP изучены на элементе vlan

.

д. Даже после включения vlangroup.forwarding.override db переменная, затем возьмите вывод ниже команд

  • tmctl ifc_stats — отображает статистику интерфейса
  • tmctl ip_stat — отображает статистику IP
  • tmctl ip6_stat — отображает статистику IPV6

 

Заметные эффекты — предостережения
  • Развертывание Active/Active не поддерживается
  • STP должен быть отключен с группами VLAN
  • Асимметричный режим не поддерживается в полупрозрачном режиме

 

Заключение Группа

VLAN развертывается для создания моста между двумя сегментами сети L2 и используется для балансировки нагрузки трафика в сетях уровня 2.

Асимметричная VLAN с DAP — скачать ppt

Презентация на тему: » Асимметричная VLAN с DAP» — Транскрипт:

ins[data-ad-slot=»4502451947″]{display:none !важно;}} @media(max-width:800px){#place_14>ins:not([data-ad-slot=»4502451947″]){display:none !important;}} @media(max-width:800px){#place_14 {ширина: 250px;}} @media(max-width:500px) {#place_14 {ширина: 120px;}} ]]>

1 Асимметричная VLAN с DAP

2 Асимметричная VLAN Определение асимметричной VLAN Общедоступная частная VLAN 20
Конфигурация устройства позволяет определить порт как нетегированный член только в одной VLAN и пометить в нескольких VLAN.При включении асимметричной VLAN на устройстве порт определяется как нетегированный элемент в нескольких VLAN. Северная сеть VLAN 1 Частная сеть VLAN 10 Общедоступная сеть VLAN 20

3 Асимметричная VLAN Приложение уровня 2 асимметричной VLAN. Public Private
Для совместного использования ресурсов сервера (файловый сервер, почтовый сервер…) для нескольких групп (VLAN), но каждая группа не может получить доступ друг к другу. Sever VLAN 1 Private VLAN 10 Public VLAN 20 VLAN 10 и VLAN 20 могут получить доступ к VLAN 1 VLAN 10 и VLAN 20 не могут получить доступ друг к другу

4 Сценарий

5 Асимметричная VLAN с DAP
Приложение асимметричной VLAN.VLAN 10 и VLAN 20 могут получить доступ к VLAN 1 VLAN 10 и VLAN 20 не могут получить доступ друг к другу Private VLAN 10 Public VLAN 20 Sever VLAN 1 ПК 1 ПК 2

6 Конфигурация

7 Асимметричная VLAN с DAP
Использование DGS для создания VLAN 1, VLAN 10 и VLAN 20, а также включена асимметричная VLAN. VLAN 10 и VLAN 20 могут получить доступ к VLAN 1, а собственные VALN VLAN 10 и VLAN 20 не могут получить доступ друг к другу. Private VLAN 10 Public VLAN 20 Sever VLAN 1 Sever подключиться к порту 13 AP подключиться к порту 15

8 Конфигурация коммутатора Конфигурация DGS-1210-48
VLAN 10: порты 1–5 и 11–15, порт 15 с тегом VLAN 20: порты 6–10 и 11–15, порт 15 с тегом VLAN 1: порт 1 ~48, порт 15 с тегом

9 Конфигурация DAP Конфигурация DAP-2360 Первичный SSID dlink 2.4 ГГц
VLAN 10: S-1, порт Ethernet с тегом VLAN 20: S-2, порт Ethernet с тегом VLAN 1: Mgmt, LAN, S-1, S-2, порт Ethernet с тегом Первичный SSID dlink 2,4 ГГц Нет Multi-SSID1 privada-1 Multi-SSID2 publica-1 Index SSID Band Encryption Удалить

10 Проверка

11 Асимметричная VLAN с DAP
Результаты тестирования: ПК 1 может получить доступ к серверной VLAN 1 и компьютерам под VLAN 10, но не к компьютерам под VALN 20. ПК 2 может получить доступ к серверной VLAN 1 и компьютерам под VLAN 20, но не компьютеры под VALN 10 Private VLAN 10 Public VLAN 20 Sever VLAN 1 Сервер подключается к порту 13 AP подключается к порту 15 ПК 1 ПК 2

12 Асимметричная VLAN с DAP
Результаты тестирования, ПК 1 пингуется на сервер и VLAN 10 ПК с тегом VLAN 10, сниффер из локальной сети точки доступа. ПК 2

13 Асимметричная VLAN с DAP
Результаты тестирования, ответ сервера на эхо-запрос на ПК1 с тегом VLAN 1, сниффер из локальной сети точки доступа.

14 Асимметричная VLAN с DAP
Результаты тестирования, VLAN 10 ПК отвечают на эхо-запрос на ПК1 с тегом VLAN 10, сниффер из локальной сети точки доступа. 2

15 Асимметричная VLAN с DAP
Результаты тестирования, ПК 2 пингуется на сервер и VLAN 20 ПК с тегом VLAN 20, сниффер из локальной сети точки доступа.

Добавить комментарий

Ваш адрес email не будет опубликован.