Увеличение безопасности и управляемости сети
Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN.
Для идентификации внутри и между коммутаторами VLAN-сетям присваивают номера. Коммутаторы Cisco имеют два диапазона VLAN-сетей: обычный (normal: 1-1005) и расширенный (extended:1006-4094).Типы VLAN.Data VLAN: эти VLAN несут только пользовательские данные, исключая голосовой и административный трафик.Default VLAN: после загрузки коммутатора все его порты становятся членами default VLAN, что позволяет всем устройствам подключаемым к портам общаться между собой. Для коммутаторов Cisco – это VLAN 1 (ее нельзя переименовать или удалить). Nativa VLAN: «родной» VLAN; специальная VLAN, которая будет принимать весь нетегированный трафик приходящий на тегированный порт.
Порты 21 и 22 являются тегированными портами, через них проходит трафик VLAN 2 и VLAN 10. Соответственно этот трафик должен быть помечен (тегирован).Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q.Management VLAN: как правило выделяется отдельная VALN для управления коммутаторами через HTTP, Telnet и SSH протоколы. Access port — порт принадлежащий одному VLAN'у и передающий нетегированный трафик.Trunk port — порт передающий тегированный трафик одного или нескольких VLAN'ов. Конфигурация VLAN для CATALYST 1900 1. Для выполнения работы необходимо создать топологию, представленную на рисунке. При этом использовать коммутаторы 1900 серии.
2. Задайте маршрутизатору Router имя Router 1, и выполните конфигурацию интерфейса Fa 0/0, установите IP адрес - 24.17.2.1и маску- 255.255.255.0. Router>enable
Router#
Router#conf t
Router(config)#hostname Router1
Router1(config)#
Router1(config)#interface Fast0/0
Router1(config-if)#ip add 24.17.2.1 255.255.255.0
Router1(config-if)#no shut
3. Для PC1установите IP адрес- 24.17.2.3, маску - 255.255.255.0 и default gateway 24.17.2.1.C:>winipcfg
4. Для PC2установите IP адрес- 24.17.2.4, маску - 255.255.255.0 и default gateway 24.17.2.1.C:>winipcfg5. Проверьте связь между PC2 и маршрутизатором Router 1 и PC1C:>ping 24.17.2.1 C:>ping 24.17.2.36. По-умолчанию все порты коммутатора принадлежат VLAN 1. Создадим на коммутаторе VLAN 22 с именем pcs.Switch>en Switch#config t Switch(config)#vlan 22 name pcs7. Укажем, что порт Ethernet 0/1 будет принадлежать VLAN 22.Switch(config)#int e0/1 Switch(config-if)#vlan static 228. Проверим удается ли «увидеть» Router 1 и PC1 с рабочей станции PC2. Напоминаем, что PC2 подключен к порту Ethernet 0/2, который принадлежит VLAN 1.C:>ping 24.17.2.1
C:>ping 24.17.2.3
9. Укажем, что и порт Ethernet 0/2, к которому подключена PC2, принадлежит VLAN 22Switch (config)#int e0/2 Switch (config-if)#vlan static 2210. Повторно проверим связь между PC2 и Router 1 и коммутатором.C:>ping 24.17.2.1C:>ping 24.17.2.3Видим, что Router 1 не «пингуется», т.к. порт Fa 0/26 принадлежит VLAN 1. Связь между PC1 и PC2 есть, т.к. порты, к которым они подключены принадлежат одной VLAN.11. Для получения информации о настроенных VLAN и принадлежности портов используются команды show vlan vlan-id и show vlanилиshow running-config(смотрим всю текущую конфигурацию).Switch(config-if)#end
Switch#show vlan 22
Switch#show vlan
12. Для обеспечения связи всех устройств укажем, что и порт Fa 0/26, к которому подключен Router 1, так же принадлежит VLAN 22Switch #conf t
Switch (config)#interface FastEthernet 0/26
Switch (config-if)#vlan static 22
Конфигурация VLAN для CATALYST 2900 1. Для выполнения работы необходимо создать топологию, представленную на рисунке. При этом использовать коммутаторы 2900 серии.
| PC1 | 192.168.20.20 255.255.255.0 |
| PC2 | 192.168.20.30 255.255.255.0 |
| PC3 | 192.168.20.21 255.255.255.0 |
| PC4 | 192.168.20.31 255.255.255.0 |
| vlan database | Переход в режим задания VLAN (в режиме privileged EXEC mode) |
| vlan vlan-id name vlan-name | Создание VLAN с идентификатором vlan-id и именем vlan-name.Используется после команда vlan database или в режиме глобальной конфигурации. |
Switch1# conf t
Switch1(config)#interface fast 0/2
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport access vlan 20
Switch1(config-if)#end
6. Самостоятельно определите принадлежность остальных интерфейсов соответствующим VLAN.7. Через интерфейсы Fa 0/1 подключены Switch 1 и Switch 2 и они являются тегированными, через них проходит трафик VLAN 20 и VLAN 30. Необходимо создать статический транк. Для этого используется команда switchport mode trunk.Switch1# conf t
Switch1(config)#interface fast 0/1
Switch1(config-if)#switchport mode trunk
Switch1(config-if)#end
Switch2# conf t
Switch2(config)#interface fast 0/1
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#end8. Проверьте связь между PC1 и PC3.C:>ping 192.168.20.219. Проверьте связь между PC2 и PC4.C:>ping 192.168.20.3110. Для просмотра сведений по настройки VLAN и портов используются следующие команды.| show vlan [brief | id vlan-id | name vlan-name | summary] | |
| brief | Краткая информация по VLAN |
| id vlan-id | Сведения по идентификатору VLAN |
| name vlan-name | Сведения по имени VLAN |
| summary | Общие сведения по VLAN |
| show interfacesintaeface-idswitchport | Сведения по интерфейсу |
| show interfaces trunk | Сведения о настройки транковых интерфейсов |
