port based vlan что это

Уязвимость и безопасность вычислительных сетей

Технологии коммутации

1. Технологии коммутации

Мостовые соединения (bridging) являются фундаментальной частью стандартов для локальных сетей IEEE. Мост был разработан с целью уменьшения количества коллизий в локальных сетях, которые изначально использовали разделяемую среду передачи, увеличения диаметра сети, а также поддержки различных протоколов сетевого уровня. Мост делил локальную сеть на два (или более) сегмента и выполнял фильтрацию кадров на основе их МАС-адресов назначения. Прежде чем переслать кадры из одного сегмента в другой, он анализировал их и передавал только в том случае, если такая передача действительно была необходима, то есть МАС-адрес рабочей станции назначения принадлежал другому сегменту.

Стандарты IEEE определяют мостовые соединения для всех технологий локальных сетей. Например, в сетях Token Ring используется алгоритм мостовой передачи с маршрутизацией от источника (source route bridging), определенный в Секции 9 стандарта IEEE 802.2, в сетях Ethernet используется алгоритм прозрачного моста (transparent bridge), который определен стандартом IEEE 802.1D.

В настоящее время основным строительным блоком для создания локальных сетей являются коммутаторы (коммутаторы Ethernet, т.к. Ethernet является основной технологией локальных сетей). Коммутатор представляет собой многопортовый мост и также функционирует на канальном уровне модели OSI. Основное отличие коммутатора от моста заключается в том, что он производительнее, может устанавливать одновременно несколько соединений между разными парами портов и поддерживает множество дополнительных возможностей, отвечающих общепринятым стандартам. Наиболее распространенными и широко используемыми в настоящее время функциями коммутаторов являются:

Помимо перечисленных функций коммутаторы могут поддерживать протоколы маршрутизации и играть роль маршрутизаторов локальной сети. В этом случае их называют коммутаторами 3-го уровня.

Источник

VLAN – логическая («виртуальная») локальная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

Данная технология позволяет выполнять две задачи:

1) группировать устройства на канальном уровне (т.е. устройства, находящиеся в одном VLAN’е), хотя физически при этом они могут быть подключены к разным сетевым коммутаторам (расположенным, к примеру, географически отдаленно);

2) разграничивать устройства (находящиеся в разных VLAN’ах), подключенные к одному коммутатору.

Иначе говоря, VLAN ‘ы позволяют создавать отдельные широковещательные домены, снижая, тем самым, процент широковещательного трафика в сети.

Port—BaseVLAN

Port-Base VLAN – представляет собой группу портов или порт в коммутаторе, входящий в один VLAN. Порты в таком VLAN называются не помеченными (не тегированными), это связанно с тем, что кадры приходящие и уходящие с порта не имеют метки или идентификатора. Данную технологию можно описать кратко – VLAN ’ы только в коммутаторе. Эту технологию мы будем рассматривать на управляемом коммутаторе D-link DGS-1100-24.

IEEE 802.1Q

IEEE 802.1Q — открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Для этого в тело фрейма помещается тег, содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN’ы, пропускают трафик прозрачно, то есть без учета его привязки к VLAN’у.

Размер тега — 4 байта. Он состоит из таких полей:

Порты могут быть в одном из следующих режимов:

Пример. Имеется офисное помещение, в котором отдел кадров разделен на два этажа, нужно, чтобы сотрудники были отделены от общей сети. Имеется два коммутатора. Создадим VLAN 3 на одном и втором, порты, которые будут в одном из VLAN укажем как Untagget Port. Для того, чтобы коммутаторы понимали в какой VLAN адресуется кадр, нужен порт, через который будет пересылаться трафик в этот же VLAN другого коммутатора. Выделим, к примеру, один порт и укажем его как Tagget. Если у нас, помимо VLAN 3, есть еще и другие, и ПК-1 расположенный в VLAN 3 будет искать ПК-2, то широковещательный трафик не будет «ходить» по всей сети, а только в VLAN 3. Прибежавший кадр будет пропускаться через MAC-таблицу, если же адрес получателя не будет найдет, такой кадр будет отправлен через все порты такого VLAN откуда он прибежал и порт Tagget с меткой VLAN, чтобы другой коммутатор воспроизвел широковещание на ту группу портов, которые указаны в поле VID. Данный пример описывает VLAN – один порт может быть только в одном VLAN.

802.1ad — это открытый стандарт (аналогично 802.1q), описывающий двойной тег. Также известен как Q-in-Q, или Stacked VLANs. Основное отличие от предыдущего стандарта — это наличие двух VLAN’ов — внешнего и внутреннего, что позволяет разбивать сеть не на 4095 VLAN’ов, а на 4095х4095.

Сценарии могут быть различны – провайдеру надо “пробросить” транк клиента, не затрагивая схему нумерации VLAN’ов, надо балансировать нагрузку между субинтерфейсами внутри сети провайдера, либо просто – маловато номеров. Самое простое – сделать ещё одну такую же метку (tag).

В терминологиях D-Link, а также в настройках VLAN, есть понятие асимметричный VLAN – это такой VLAN, в котором один порт может быть в нескольких VLAN.

Состояние портов меняется

Таким образом, мы получаем то, что внутри устройства один порт может принадлежать сразу нескольким VLAN, но при этом, уходящий в tagged (TRUNK) порт, трафик будет маркироваться номером, который мы задаем в PVID.

Ограничение: Функция IGMP Snooping не работает при использовании асимметричных VLAN.

Что имеется. Два коммутатора, один из них D-link DGS-1100-24, к нему подключен коммутатор №2. В коммутатор №2 подключены машины пользователей – абсолютно всех, а также сервера, шлюз по умолчанию и сетевое хранилище.

Задача. Ограничить отдел кадров от общей среды, так, чтобы при этом были доступны сервера, шлюз и сетевое хранилище.

Ко всему прочему, коммутатор D-link DGS-1100-24 только что вынули из коробки. По умолчанию большинство управляемых коммутаторов компании D-Link имеют адрес 10.90.90.90/8. Нас не интересует физическое нахождение у коммутатора или смена адреса. Существует специальная утилита D-Link SmartConsole Utility, которая помогает найти наше устройство по сети. После установки запускаем утилиту.

Прежде чем переходить к настройке, переключим порты должным образом:

1) Переключим порт отдела кадров с коммутатора №2 в коммутатор №1

2) Переключим сервера, шлюз и сетевое хранилище с коммутатора №2 в коммутатор №1

3) Подключим коммутатор №2 в коммутатор №1

После такого переключения видим следующую картину: сервера, шлюз, сетевое хранилище и отдел кадров подключены в коммутатор №1, а все остальные пользователи в коммутатор №2.

Жмем кнопку «Discovery»

Ставим галочку и жмем значок шестеренки, открывается окно настройки коммутатора. После задания адреса, маски и шлюза, пишем пароль, который по умолчанию admin.

Далее логинимся на Web-интерфейсе устройства и переходим в ветку VLAN – Port-Based VLAN. На картинки виден уже созданный VLAN, но в качестве демонстрации создадим еще один.

Жмем «Add VLAN» и указываем имя VLAN и порты

После создания нужных VLAN, сохраним настройку, для этого нажмем «Save», «Save configuration»

Итак, мы видим, что VLAN 3 не имеет доступа к портам 01-08, 15-24 – следовательно, не имеет доступ к серверам, шлюзу, сетевому хранилищу, к VLAN2 и остальным клиентам – которые подключены к коммутатору №2. Тем не менее VLAN 2 имеет доступ к серверам, шлюзу, сетевому хранилищу, но не имеет к остальным машинам. И наконец, все остальные машины видят сервера, шлюз, сетевое хранилище, но не видят порты 05,06.]

Таким образом, при наличии определенных знананий об особенностях оборудования и навыков ИТ-аутсорсинга, можно удовлетворить потребности клиента даже на таком бюджетном оборудовании как коммутатор D-Link DGS1100-24.

Автор ag | Метки: VLAN, D-Link, IT Просмотров 192082

Источник

Mikrotik: VLAN с использованием чипа коммутации

Вступление

Итак, вокруг множество статей, где с VLAN работаю на CPU (объявляют VLAN на интерфейсе и помещают его в Bridge). Такая связка имеет право на жизнь, но в её работе мы расходуем ресурс CPU, который может быть очень ценным. Два разных устройства представляют различные механизмы настройки для чипа коммутации, так как они сильно разные в техническом плане.

Реализовывать будем некоторые примеры из официальной Wiki:

Port Based VLAN

Поясним картинку: На порт ether2 приходят тегированные пакеты (порт транковый), а с портов ether6-ether8 уходят растегированные пакеты (порты доступа — клиентские порты).
Я буду брать конфигурацию с реально работающего устройства, поэтому полного соответствия с картинкой не будет.

RB951Ui-2HnD

Конфигурация: На ether1 приходят тегированные пакеты (VID: 4,5,6,10, 603), с портов ether2-ether4 уходят раздетые VID:10, с ether5 уходит раздетый VID:5, VID:603 сейчас не используется, а особый порт switch1-cpu принимает любые пакеты.

Вначале, создадим группу коммутации, для этого, во всех интерфейсах выставим мастер порт (по умолчанию ether2-master), тем самым мы отдадим эти порты в управление коммутатору.

Аналогично для всех остальных. Не затягивая, на мастер порт (так мы получим доступ к этому VLAN из CPU, по сути мы связываем его с switch1-cpu) подвесим нужные нам VLAN:

Далее зададим политику обработки пакетов на портах (номер VLAN по умолчанию), что отбросить, что раздеть, а где и шарфик повязать:

О параметрах можно почитать в Wiki в разделе Vlan-таблица.

Далее, мы создадим таблицу VLAN, по которой чип будет работать с тегами:

Вот и все, теперь VLAN обслуживаются на чипе коммутации, к сожалению, у RB951Ui-2HnD его возможности не очень большие, к примеру он не сможет сделать гибридный порт, тут придется строить лес из костылей на bridge.

CRS125-24G-1S-2HnD

Тут чип коммутации совсем другой, и умеет больше, приступим:

Конфигурация: На ether24 приходят тегированные пакеты (VID: 4,5,6,7,16), с портов ether1-ether23 уходят раздетые VID:16 и одетые VLAN:7 (будет для второго примера), а особый порт switch1-cpu принимает любые пакеты.

Вначале, создадим группу коммутации, для этого, во всех интерфейсах выставим мастер порт (по умолчанию ether2-master), тем самым мы отдадим эти порты в управление коммутатору.

Аналогично для всех остальных. На мастер порт подвесим нужные нам VLAN:

Далее, мы создадим таблицу VLAN, по которой чип будет работать с тегами:

Далее зададим политику обработки пакетов на портах, тут уже все побогаче, политика задается раздельно.

Зададим порты, на которых соответсвующий VLAN будет одетым при выходе:

Теперь, на каких портах, выходящий VLAN надо раздеть:

Дословно это описывается так: если VID: 16, порт с 1 по 23, установить новый VID:0 (раздеть).

Теперь, на каких портах, входящий пакет надо одеть в VLAN:

Дословно это описывается так: если VID: 0 (пакет раздетый), порт с 1 по 23, установить новый VID:16 (одеть).

Example 2 (Trunk and Hybrid ports)

Тут мы рассмотрим только CRS125-24G-1S-2HnD, к сожалению, RB951Ui-2HnD такое на чипе коммутации уже не умеет.

Итак, возьмем полностью конфу из предыдущего примера, и добавим такое правило:

Источник

Виртуальные локальные сети VLAN

Виртуальная сеть представляет собой коммутируемую сеть, в которой выполнено логическое сегментирование по исполняемым функциям, используемым приложениям или по принадлежности пользователей к определенному отделу, вне зависимости от физического расположения их компьютеров. Каждый порт коммутатора может быть включен в виртуальную сеть. Все порты, включенные в одну виртуальную сеть, принимают широковещательные сообщения в ее пределах, в то время как порты, в нее не включенные, этих сообщений не принимают. Различаются три способа реализации виртуальных сетей, которые могут быть использованы для включения портов коммутаторов в виртуальную сеть: с центральным портом, статический и динамический.

Статическая виртуальная сеть (static VLAN) представляет собой совокупность портов коммутатора, статически объединенных в виртуальную сеть. Эти порты поддерживают назначенную конфигурацию до тех пор, пока она не будет изменена администратором. Хотя для внесения изменений статические виртуальные сети требуют вмешательства администратора, к их достоинствам можно отнести высокий уровень безопасности, легкость конфигурирования и возможность непосредственного наблюдения за работой сети.

Виртуальные сети c группировкой портов (port-based VLAN)

В этом случае администратор назначает каждый порт коммутатора принадлежащим VLAN. Например, порты 1-3 могут быть назначены для VLAN отдела продаж, порты 4-6 для VLAN разработчиков и порты 7-9 для VLAN сетевого администрирования. Коммутатор определяет, к какому VLAN принадлежит каждый пакет, учитывая порт, в который он прибыл.

Когда компьютер пользователя подключается к другому порту коммутатора, администратор сети может просто переназначать новый порт для старого VLAN, к которому принадлежал пользователь. В этом случае сетевые изменения полностью прозрачны для пользователя и администратору не нужно изменять топологию сети. Однако, этот метод имеет один существенный недостаток, если концентратор подключен к порту коммутатора, все пользователи, подключенные к нему должны принадлежать тому же VLAN.

Следовательно, такое решение малоприемлемо при использовании концентраторов или в сетях c мощными серверами, к которым обращается много пользователей (сервер не удастся включить в разные VLAN). Кроме того, виртуальные сети на основе портов не позволяют вносить в сеть изменения достаточно простым путем, поскольку при каждом изменении требуется физическое переключение устройств.

В виртуальных сетях с группировкой портов все узлы виртуальной сети подключены к одному и тому же интерфейсу маршрутизатора. На рисунке показано семейство пользователей виртуальной сети, подключенных к порту маршрутизатора. Такое подключение облегчает работу администратора и повышает эффективность работы сети, поскольку:

1) в виртуальной сети легко выполняются административные действия;
2) повышается безопасность при обмене информацией между виртуальными сетями; пакеты не «просачиваются» в другие домены.

В простейшем случае устройство, имеющее только один сетевой интерфейс, может быть включено только в один VLAN. Для включения сетевого устройства в несколько VLAN оно должно иметь несколько сетевых адаптеров.

IEEE 802.1Q стандарт в рамках спецификации port-based VLAN предусматривает взаимодействие с устройствами, не поддерживающими инкапсуляцию 802.1q. Согласно этой спецификации, каждый тип фрэймов назначается разным VLAN. Первоначально все порты коммутатора принадлежат VLAN c идентификатором сети port VLAN ID (PVID).

PVID имеет численное значение, по умолчанию 1. Все фреймы, не имеющие метки VLAN, которые генерируются не поддерживающими VLAN устройствами, идентифицируются как принадлежащие VLAN c PVID. Если фрейм генерируется устройством с поддержкой VLAN, то он содержит соответствующий тег VLAN, в котором прописан VLAN ID (VID). Каждый порт коммутатора может иметь один или несколько VID. Когда фрейм поступает на порт коммутатора, он идентифицируется по его VID. Коммутатор просматривает таблицу VLAN и пересылает фрейм на порты, имеющие тот же VID.

В примере на рисунке фрейм без тега, поступающий от устройства на порту 0, идентифицируется как принадлежащий VLAN c PVID=1 и пересылается на порт 1, имеющий тот же PVID. Если от устройства на порту 1 поступит фрейм с VID=2, он будет передан на порты 0 и 3.

Виртуальные сети на основе MAC адреса (MAC address-based VLAN)

Как правило, для создания таковой сети производитель оборудования предусматривает наличие управляющего программного обеспечения для управления сетью.

Взаимодействие между VLAN может осуществляться 2-мя способами. В первом в устройство должен быть установлен дополнительный сетевой адаптер и ассоциирован с другой сетью. Данный способ неприемлем при большом количестве устройств, включаемых в несколько VLAN. Во втором случае для объединения сетей используется маршрутизатор. Однако в этом случае имеются ограничения. Маршрутизатор должен иметь отдельный порт для каждой VLAN. При этом нельзя объединить сети в одном сегменте, так как маршрутизатор работает на 3-м уровне модели OSI.

Виртуальные сети сетевого уровня

Однако, использование сетевого протокола для построения виртуальных сетей ограничивает область их применения только коммутаторами 3-го уровня и узлами, поддерживающими сетевой протокол. Обычные коммутаторы не смогут поддерживать такие виртуальные сети и это является большим недостатком. За бортом также остаются сети на основе не маршрутизируемых протоколов, в первую очередь сети NetBIOS.

В рамках данных VLAN различают сети на базе подсетей, на базе протоколов, и на базе правил.

Виртуальные сети на базе подсетей

В качестве примера такой организации VLAN можно привести сеть, где одна подсеть, скажем класса C с адресацией 198.78.55.0/24 соответствует одной VLAN, вторая подсеть класса C 198.78.42.0/24 соответствует второй VLAN.

Недостаток данного способа состоит в том, что если коммутатор не поддерживает несколько IP подсетей на одном порту, для перемещения в другую VLAN требуется физическое переключение рабочей станции.

Виртуальные сети на базе сетевого протокола

Виртуальные ЛВС сетевого уровня позволяют администратору связать трафик для того или иного протокола в соответствующей виртуальной сети. Точно таким же способом создаются широковещательные домены в сетях на основе маршрутизаторов. Протокол может быть задан в форме IP-подсети или сетевого номера IPX. Можно, к примеру, объединить в виртуальную ЛВС всех пользователей подсети, которая была организована до использования коммутаторов.

Виртуальные сети на базе правил

Для включения устройств в виртуальные ЛВС можно использовать все перечисленные выше способы при условии их поддержки коммутаторами. После того, как правила загружены во все коммутаторы, они обеспечивают организацию VLAN на основе заданных администратором критериев. Поскольку в таких сетях кадры постоянно просматриваются на предмет соответствия заданным критериям, принадлежность пользователей к виртуальным сетям может меняться в зависимости от текущей деятельности пользователей.

Виртуальные ЛВС на основе правил используют широкий набор критериев принадлежности к сети, включая все перечисленные выше варианты: MAC-адреса, адреса сетевого уровня, тип протокола и т.д. Возможно также использовать любые комбинации критериев для создания правил, наиболее точно соответствующих вашим задачам.

Если Вам понравилась статья, проголосуйте за нее

Голосов: 10 Голосовать

Источник

Команды VLAN на основе портов и стандарта IEEE 802.1Q

Существуют два метода назначения порта в определенную VLAN:

Основные определения IEEE 802.1Q:

Цель: Понять технологию VLAN и ее настройку на коммутаторах D-Link.

Перед выполнением задания необходимо сбросить настройки коммутаторов к заводским настройкам по умолчанию командой

Настройка VLAN на основе портов

Настройка DES-3200-28_A

Удалите порты из VLAN по умолчанию для использования в других VLAN

Создайте VLAN v2 и v3, добавьте в соответствующие VLAN порты, которые необходимо настроить немаркированными

Настройка DES-3200-28_B

Удалите порты из VLAN по умолчанию для использования в других VLAN

Создайте VLAN v2 и v3, добавьте в соответствующие VLAN порты, которые необходимо настроить немаркированными

Упражнения

Проверьте настройки VLAN на обоих коммутаторах

Проверьте доступность соединения командой ping

Источник