Cum segmentarea VLAN rețea mică de calculator (partea 2), un Snork rău
Crearea unui VLAN
După terminarea timpului de planificare pentru a crea VLAN-uri. Creați VLAN-uri de pe SRW comutator redus la câteva clicuri de mouse: deschide «Create VLAN» meniu, și un număr nominal apel VLAN. Am de gând să se facă distincția între traficul de voce și de date în rețea, așa că voi pentru a crea VLAN 3, că a fost posibil să se numească corect toate VLAN-uri și de a gestiona.
Fig. 8 spectacole cu VLANuri mine (2,3,4). Rețineți că VLAN1 este deja configurat în mod implicit pe comutatorul - este VLAN administrativ pentru a controla accesul la interfața de comutare.
Figura 8. VLAN nou creat, respectiv, sunt denumite
Desemnarea porturilor
Următorul pas este de a adăuga porturi (destinație) la VLAN corespunzătoare. Acesta este un proces cu mai multe căi, și să înțeleagă că este necesar să se cunoască termenii specifici utilizați în comutatorul SRW. Linksys SRW vă permite să atribuiți port un rol: Acces (Access). General (Shared). sau trunchi (trunchi). Alte comutatoare pot fi folosite în alte scopuri decât terminologia, prin urmare, oferă o scurtă descriere a sensurilor acestor termeni.
Linksys definește porturile de acces și Trunk, în conformitate cu ideologia Cisco - care este de înțeles, deoarece Linksys este o divizie a Cisco. port de acces aparține unui singur VLAN. Cadre primite pe un port de acces este configurat ca, nu poate fi schimbat și unele dintre caracteristicile pentru VLAN, cum ar fi filtrarea, nu sunt disponibile.
Portul Trunk Linksys este definit ca aparținând VLANam multiple în care toate porturile sunt „tagged“ ID VLAN (sunt etichetate). Două sau mai multe comutatoare de sprijin VLAN pot fi configurate pentru a fi utilizate, conectate împreună prin trunchiuri și toate cadrele transmise între ele vor fi marcate prin trimiterea Switch, că a fost posibil să se identifice, ulterior, în care le-VLAN de expediere.
Portul general permite dispozitivului să fie un membru al VLAN multiple; are, de asemenea, opțiunea de etichetare (Mark). Voi folosi opțiunea neetichetate (neetichetată) pentru VLAN în acest exemplu.
Ce ați schimba tipul de port de pe comutatorul SRW meniul Port vizită de setare (fig. 9), aici este o simplă listă drop-down pentru fiecare port. Am pus toate porturile în modul -General și a făcut clic pe Salvare (salva).
Figura 9. Port Tip Selecție generală
Când sunt toate VLAN și toate porturile sunt permise pentru a fi membri ai VLAN multiple, puteți atribui porturi. Rezultatul final (tabelul 1) trebuie să fie:
- Porturi 1 și 8 membri de rețea (2), date (3) și VoIP (4) VLANuri.
- Interfața administrativă în rețea VLAN 2
- Porturile 2 și 5 sunt în rețea și date VLAN 3
- Porturile 6-7 sunt în rețea și VoIP VLAN 4
Tabel 1. Porturile atribuindu VLAN
Cel mai rapid mod de a face acest lucru prin intermediul PortstoVLAN meniului. În partea de sus selectați VLAN. Setarea VLAN1 nu pot fi editate, așa că am ales un VLAN etichetat „2, de rețea.» Asociați toate porturile sunt membre ale VLAN2, pentru ca acest lucru să se schimbe comutatorul implicit «Exclus» pe «Neetichetate», așa cum se arată în figura 10.
10. Configurații Risnok portul VLAN2
Apoi, porturile 1-5 și 8 pentru a aloca date VLAN, pentru a stabili poziția ETOG comutator neetichetate pentru VLAN desemnate ca „3, date» așa cum se arată în figura 11.
Figura 11. Configurații portului VLAN3
Ultima acțiune, atribuiți porturi 1, 6-8 membri VoIP VLAN, pentru a pune acest comutator în poziția de VLAN Neetichetate desemnat „4, VoIP» așa cum se arată în figura 12.
Figura 11: Configurarea accesului la VLAN4
Setarea PVID
Următorul pas - pentru a schimba setările PVID (Port implicit VLAN ID) pentru fiecare port. PVID - VLAN ID-ul atribuit fiecărui cadre „nemarcate“ a primit pe portul. După cum sa menționat deja mai devreme, nu am alte dispozitive care acceptă VLAN, astfel încât toate cadrele ajung la comutatorul nemarcat. Prin urmare, cadrul va fi atribuit un PVID mapat la portul corespunzător.
PVID este cheia pentru a rupe domeniul de difuzare în acest exemplu! Amintiți-vă o regulă simplă - pentru fiecare port trebuie să instalați PVID egal cu numărul VLAN la care portul ar trebui să aparțină în mod logic. Acesta este locul unde am ajuns în VLANuri de numire la îndemână.
Deci, serverul meu VoIP și poarta de acces sunt conectate la porturile 6 și 7, așa că am stabilit valoarea PVID egală cu 4, respectiv, la fel cum am sunat VoIP VLAN. În mod similar, toate dispozitivele sunt trădează datele obișnuite sunt incluse în porturile din 2 la 5, astfel încât acestea vor primi PVID 3, care corespunde VLAN de date. Porturi 1 și 8 primesc PVID 2, și anume Rețeaua VLAN.
Schimbarea PVID pe comutatorul este posibil prin PortSetting meniului. Pur și simplu tastați în valorile dorite, așa cum se arată în figura 13.
Figura 13. Atribuirea PVID pe porturile
Faceți clic pe Salvați și ați terminat configurarea. Am făcut-ton în stare de funcționare o rețea de domiciliu; în cazul rețelei de producție recomandat ca toate setările din perioadele de activitate mai scăzută sau de ore de lucru. Dacă aveți un timp special alocat pentru serviciul de rețea, utilizați-l.
Una dintre problemele întâmpinate în timpul configurării VLAN pe acest comutator reușit - m-am închis accesul la interfața web administrativ, care este activată în mod implicit prin VLAN1. Rezultatul final, pe care am planificat pentru a realiza, a fost faptul, că ar face VLAN1 neutilizate. Pentru a face acest lucru, a trebuit să schimbe setările implicite pe VLAN1 fost încă conectat la portul corespunzător, și apoi conectați la portul din VLAN2 și finaliza configurarea.
Am constatat că cel mai simplu mod de a realiza acest lucru este de a schimba PVID pe portul 1, conectarea la RV042 în PVID 2, apoi modificați setările pentru interfața de administrare pe macazului SRW, introducându-l în VLAN2, așa cum se arată în figura 14. Apoi, am trecut prin cablu meu laptop comutatorul portului 8 RV042 și configurația terminat.
Sfat: Unele ieftin controlate / switch-uri „inteligente“ nu sunt capabili de a schimba interfața de administrare VLAN. În acest caz, va trebui să utilizați VLAN implicit (de obicei 0 sau 1), ca un VLAN «rețea» în acest exemplu.
Dacă deconectați-vă de la interfața de management de comutare, se va conecta prin portul consola. La switch-uri fără portul consola va trebui să resetați comutatorul prin reset și începe din nou.
Figura 14. Mutarea interfața administrativă într-un alt VLAN
testarea
Când VLAN pe setările comutatoarelor sunt complete, trebuie să le testați. Scopul acestui exemplu este că, pentru a face schimb de date și fluxurile de trafic de voce, astfel încât începe de la datele de ping în VoIP VLAN și vice-versa.
Desigur, de la datele de ping în VoIP VLAN nu sunt ceea ce ne-am dorit. Cu toate acestea, toate segmentele trebuie să aibă acces la Internet, astfel încât începe browser-ul la server în ambele VLANah sau propinguem gazde de încredere de pe Internet, cum ar fi Google sau Yahoo, care este, de asemenea, un test bun.
Un alt avantaj al VLAN-uri este mai sigur, mai degrabă decât în cazul rețelei cu un singur segment. Orice dispozitiv poate umple traficul de rețea de difuzare, generatoare de atacuri DoS pe alte dispozitive în același VLAN segment. Dar, așa cum Broadcast acum nu pot traversa VLANa de frontieră în dispozitivele de date VLAN nu pot ataca VoIP VLAN.
După ce toate acțiunile întreprinse rețeaua mea este împărțit în două VLANa separate, și a treia, care se suprapun cele două anterioare. Figura 15 prezintă rețeaua mea de a pune în aplicare VLANami. Patru dispozitive stânga pentru a avea acces la ele și conectate la Internet. Două dispozitive VoIP au acces la ele și conectate la Internet. Broadcast în ambele VLANah nu influențează reciproc.
Figura 15. Rețea împărțită în VLANs
Recomandări pentru crearea VLAN
Există unele linii directoare generale pentru a crea VLAN-uri. VLAN-uri stabilite limite între dispozitive, deci trebuie să le planifice, astfel încât aplicarea lor pentru a îmbunătăți funcționalitatea și securitatea rețelei.
Alte tehnologii VLAN
Așa cum am menționat mai devreme nu am folosit VLANTrunking în acest exemplu. Dacă aș fi avut câteva VLAN-uri de sprijin switch-uri, cel mai probabil mi-ar folosi VLAN trunking pentru a sprijini configurația distribuită.
Standard Protocol VLAN tagging - 802.1Q. uneori numit Dot1Q (dot-van tac). Când ridicați echipamentul pentru a construi rețea, asigurați-vă că acesta susține acest protocol pentru a asigura compatibilitatea, mai ales dacă aveți de gând să utilizați „trunchiuri“. Abilitatea de a schimba PVID porturilor, de obicei, vine cu suport pentru 802.1Q.
concluzie
Cu toate acestea, cele mai multe switch-uri controlate și „inteligente“ să sprijine crearea de VLAN-uri statice, ceea ce este suficient pentru a reproduce exemplul din acest articol. Utilizați comparație switch-uri Gigabit tabel pentru a căuta alte dispozitive de sprijin VLAN. Dar, rețineți că TrendNetTEG-160WS nu poate fi utilizat pentru redarea acestui exemplu, deoarece acesta nu acceptă schimbarea PVID portului.
Argumentul final pentru utilizarea VLAN-uri cu construcția de rețele - posibilitatea de segmentare și de grupare, care este de rigoare în planificarea infrastructurii de rețea. Design propriu facilitează extinderea și întreținerea rețelei. Capacitatea de a elimina dispozitivul unul dintre VLAN ca o sursă de probleme potențiale este un efect util și imediat cu privire la utilizarea VLAN-uri în rețea.
Folosind echipament adecvat și punerea în aplicare corespunzătoare a design-VLAN un proces foarte simplu. Ia-o clipă și urmați instrucțiunile mele, veți fi răsplătiți pentru eforturile lor de a crește capacitatea de canal, îmbunătățirea siguranței și proiectarea rețelei îmbunătățite.