CC BY
317
рЕнЕВ1 роман Олегович
виртуальные локальные сети и маршрутизация между ними
В статье говорится о вычислительных сетях, об их значимости в современной работе организаций. Пошагово расписан принцип построения, виртуальных локальных сетей на базе сетевого оборудования. Cisco и процесс настройки маршрутизации между сегментами отдельно-взятой корпоративной сети. Приведено описание основных сетевых устройств, эталонной модели OSI, а также представлены, коды, конкретных команд для. настройки оборудования.
Основные термины и определения
VLAN (от англ. Virtual Local Area Network) — виртуальная локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств. Хост — сетевой интерфейс устройства, подключенного к IP-сети. Фрейм — пакет данных определенного формата.
Маршрутизатор или роутер — (англ. Router — транслятор) — сетевое
устройство, пересылающее пакеты данных между различными сегментами сети и принимающее решения на основании информации о топологии сети и определенных правил, заданных администратором.
Сетевой коммутатор (жарг. свитч от англ. switch. — переключатель) — устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети. В отличие от концентратора, который распространяет трафик от одного подключенного устройства ко всем остальным, коммутатор передает данные только непосредственно получателю, исключение составляет широковещательный трафик (на MAC-адрес) всем узлам сети. Это повышает производительность и безопасность сети, избавляя остальные сегменты сети от необходимости (и возможности) обрабатывать данные, которые им не предназначались.
Сетевая модель OSI (англ. Open Systems Interconnection, basic reference model — базовая эталонная модель взаимодействия открытых систем, сокр. ЭМВОС; 1978 г.) — абстрактная сетевая модель для коммуникаций и разработки сетевых протоколов.
Предлагается взгляд на компьютерную сеть с точки зрения измерений. Каждое измерение обслуживает свою часть процесса взаимодействия. Благодаря такой структуре совместная работа сетевого оборудования и программного обеспечения становится гораздо проще и прозрачнее. В настоящее время особенно значимым применением для компьютеров стало их объединение в сети. Компьютерная сеть или сеть передачи данных представляет собой систему связи компьютеров и компьютерного оборудования (серверы, маршрутизаторы, коммутаторы, концентраторы и пр.). Для передачи информации используются различные физические явления,
' — главный специалист-эксперт Аппарата Правительства России.
1041
Router 0
VLAN 100
VLAN 50
Server-PT Server-1
VLAN 200
D22
Рис. 1. Корпоративная локальная сеть с тремя VLAN
как правило, — различные виды электрических, световых сигналов или электромагнитного излучения. Объединение компьютеров в сеть значительно упрощает жизнь обычным пользователям, так как компьютерная сеть позволяет совместно использовать информационные ресурсы, такие как файлы и папки, программы, сайты организаций, а так же коллективно использовать оборудование — сервера, сканеры и принтеры, что позволяет сократить затраты на их закупки. Основным назначением сети является обеспечение простого и быстрого доступа пользователей к различным информационным ресурсам. При этом территориальное расположение компьютеров и пользователей не имеет никакого значения. С ростом корпоративных сетей организаций возникает необходимость разбивать сеть на более маленькие подсети (сегменты), называемые VLAN (виртуальные локальные компьютерные сети). Данное дробление обусловлено снижением общего трафика сети путем его четкого разделения и нагрузки на сетевое оборудование. VLAN позволяют обеспечивать совместную работу оборудования разных производителей, но основным плюсом использования данной технологии является обеспечение информационной безопасности.
Рассмотрим пример маршрутизации между VLAN на примере корпоративной сети какой-либо организации. Для задач построения VLAN разработан протокол IEEE 802.10, работающий на 3-м сетевом уровне сетевой модели OSI. Протокол считает, что пакеты VLAN имеют свои идентификаторы, которые и используются для их переключения при этом может обеспечивать работу более 500 пользователей. Количество же VLAN в пределах одной сети практически не ограничено. Отличительной особенностью протокола является возможность шифровать часть заголовка и информационное поле пакетов. Итак, имеется локальная сеть, наша задача создать три VLAN (VLAN 50, VLAN 100 и VLAN 200), в каждом из которых имеется своя область IP-адресов. По умолчанию порты коммутатора находятся в VLAN 1. В VLAN 50 будут входить компьютеры из сети 50.0.0.0/24 (/24 указывает о маске подсети), в VLAN 100 находятся web-серверы сети 100.0.0.0/24, VLAN 200 состоит из ноутбуков с сетью 200.0.0.0/24 (рис. 1).
Таблица 1
Перейдем к непосредственной конфигурации сетевого оборудования. VLAN 50 содержит порты (интерфейсы) Fa0/2, Fa0/3, Fa0/4, в VLAN 200 входят порты Fa0/10, Fa0/11, Fa0/12, а VLAN 100 имеет Fa0/20, Fa0/21. Во-первых, добавим порты коммутатора в нужные VLAN, используя следующую команду: Switch#conf t
Switch(config)#interface range fastEthernet 0/2-4 Switch(config-if-range)#switchport access vlan 50 Switch#conf t
Switch(config)#interface range fastEthernet 0/10-12 Switch(config-if-range)#switchport access vlan 200 Switch#conf t
Switch(config)#interface range fastEthernet 0/20-21 Switch(config-if-range)#switchport access vlan 100
После добавления в VLAN портов, VLAN с соответствующим номером создается автоматически. Посмотреть, что порты находятся в нужных VLAN,
VLAN Name Status Ports
50 VLAN0050 active Fa0/2, Fa0/3, Fa0/4
100 VLAN0100 active Fa0/20, Fa0/21
200 VLAN0200 active Fa0/10, Fa0/11, Fa0/12
• PCO Physical Config
ommand Prompt
PC>ping 200.0.0.1
Pinging 200.0.0.1 with 32 bytes of data:
Request timed out. Request timed out. Request timed out. Request timed out.
Ping statistics for 200.0.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
PC>ping 100.0.0.2
Pinging 100.0.0.2 with 32 bytes of data:
Request timed out. Request timed out. Request timed out. Request timed out.
Ping statistics for 100.0.0.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss).
Рис. 2. Проверка доступности устройств из других подсетей
■ Laptop2 Physical Config
Command Prompt
Pinging 100.0.0.2 with 32 bytes of data:
Reply from 100.0.0.2: bites=32 time=12ms TTL=127
Reply from 100.0.0.2: bites=32 time=15ms TTL=127
Reply from 100.0.0.2: bites=32 time=35ms TTL=127
Reply from 100.0.0.2: bites=32 time=9ms TTL=127
Ping statistics for 100.0.0.2:
Packets: Sent = 4, Received = 4, Lost - 0 (100% loss), Approximate round trip times in milli-seconds: Minimum = 9ms, Maximum = 35ms, Avarage = 17ms
PC>ping 50.0.0.1
Pinging 50.0.0.1 with 32 bytes of data:
Reply from 50.0.0.1: bites=32 time=10ms TTL=127
Reply from 50.0.0.1: bites=32 time=16ms TTL=127
Reply from 50.0.0.1: bites=32 time=10ms TTL=127
Reply from 50.0.0.1: bites=32 time=7ms TTL=127
Ping statistics for 50.0.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (100% loss), Approximate round trip times in milli-seconds: Minimum = 7ms, Maximum = 16ms, Avarage — 10ms
Рис. 3. Контрольный «пинг» в соседние сети
можно, используя команду show VLAN. Результаты представлены в табл. 1. Обязательным условием обмена трафиком между VLAN является режим работы порта маршрутизатора как trunk, в нашем случае это interface Fa0/1. Включаем данный режим, используя следующий набор команд: Switch#conf t
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode trunk
Посмотреть, какие из портов находятся в режиме trunk, можно с помощью команды show interfaces trunk. Далее настраиваем стек на каждом устройстве, подключенном к коммутатору, т.е. имеется ввиду IP-адрес, маска подсети и шлюз. Проверяем доступность устройств в пределах одной подсети с помощью команды ping. Устройства «видят» друг друга. Затем пробуем «пропинговать» устройства в других сегментах сети. Устройства недоступны, о чем свидетельствуют строки Request timed out — превышен интервал ожидания запроса (рис 2).
Для осуществления маршрутизации, т.е. перемещения пакетов данных между VLAN необходимо включить физические интерфейсы (порты) на маршрутизаторе. Для начала включаем физический интерфейс, подключенный к коммутатору командой no shutdown: Router#conf t
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown Затем настраиваем порты на маршрутизаторе (sub-interfaces) для каждого VLAN отдельно. Стоит обратить внимание, что после команды encapsulation dotlQ необходимо указать номер VLAN и адрес с той же подсети, что и у оборудования, подключенного к портам коммутатора соответствующего VLAN. Router#conf t
Router(config)#interface fastEthernet 0/0.50
Router(config-subif)#encapsulation dotlQ 50
Router(config-subif)#ip address 50.0.0.254 255.255.255.0 Router#conf t
Router(config)#interface fastEthernet 0/0.100
Router(config-subif)#encapsulation dotlQ 100
Router(config-subif)#ip address 100.0.0.254 255.255.255.0 Router#conf t
Router(config)#interface fastEthernet 0/0.200
Router(config-subif)#encapsulation dot1Q 200
Router(config-subif)#ip address
200.0.0.254 255.255.255.0
На этом конфигурация завершена.
Проверить работоспособность можно с помощью команды ping в соседние сети (рис. 3).
Виртуальные локальные компьютерные сети находят свое применение в любой организации, где существует более или менее большая сеть. Сравнить технологию VLAN с другими решениями не представляется возможным, поскольку монополистом в данной отрасли является сетевая компания Cisco — ведущий производитель
сетевого оборудования в мире. VLAN, в свою очередь, работают используя VTP (Vlan trunking protocol) — протокол Cisco, применяемый для обмена информацией о VLAN между коммутаторами.
Данная статья носит практический характер, поскольку использование сетевого оборудования Cisco в целом и технологий VLAN в частности будет актуальным еще очень длительное время
Литература
1. http://ru.wikipedia.org/wiki/VLAN.
2. http://www.lansystems.ru/sec.php.
3. http://www.technorium.ru/cisco/wireless/wpa2.shtml.
4. http://www.ixbt.com/comm/prac-wpa-eap.shtml.
5. http://www.intuit.ru/department/security/netsecservms.
6. http://www.giganet.com/.
7. http://www.compaq.ru/.
8. http://www.ibm.ru/.
