Tudod a vlan - az ujjak
- HP
- Hálózati adminisztráció
Egy szokásos laphálót VLAN-ba fordítok
A cél - például, hogy a felhasználók nem osztják meg a mappáikat. Igen, sok mindent, főként a biztonságot.
Vannak:
1. A HP 2610 tesztkapcsoló akár 256 vlan`ov-ig is képes.
2. néhány számítógép, amellyel kísérletezhet
3. Hát és munkaháló
De a fej - zabkása.
Tudod javasolni az anyagot, vagy elmagyarázni az ujjaidat?
1. Vlan a csomagtartó és nem. Mi a különbség, miért? Talán mi más?
2. A zhelezka vlan címkét lóg a csomagokon, ugye? Van egy fickó és minden. Egy másik vasdarab ezt a helpishnikot veszi és összehasonlítja a sajátjával, ugye? Tehát, a vlan `s két darab vasnak kell ugyanazt a helpishniki?
3. Néha látom, hogy személyre kell szabnia a számítógépet. Miért? Mint minden mirigynek meg kell tennie.
Nos, itt egy példa.
Vannak PC 1,2,3. Az 1 az admin. Van egy file-dump 4.
A vlan `s portokkal veszi és végzi:
vlan1 - 1,2,3,4 - ez az admin számára képes adminisztrálni
vlan2 - 2,4 - ez egy 2 számítógép, amely faylopomoykoy-t használ
. de ebben az esetben ugyanaz a 3 mindent látni fog? A vlan1-ben is jön.
1. Vlan a csomagtartó és nem. Mi a különbség, miért? Talán mi más?
Csatorna Whelan (pontosabban egy trunk port) adunk minden kimenő és bejövő adatokat olvas a címkét, amely a 2 byte, a maximális számú Wilanow ott - 4096. Eszerint tag berendezés határozza meg a csomag tartozik, hogy egy adott VLAN. Ugyanez port konfigurálható úgy, hogy „out” tartozó csomagok egy adott Wilanow, de hagyjuk őket anélkül, hogy a címke, és a kapcsoló csak tudja, hogy ez a port csomagot fog tartozni, ilyen és ilyen Wilanow. Ezt "címke nélkül, de Vilanban" nevezik. )
2. A zhelezka vlan címkét lóg a csomagokon, ugye? Van egy fickó és minden. Egy másik vasdarab ezt a helpishnikot veszi és összehasonlítja a sajátjával, ugye? Tehát, a vlan `s két darab vasnak kell ugyanazt a helpishniki?
Egy másik helyzet az, hogy van egy kapcsolat a kapcsolók között, és szükséges, hogy ugyanaz a vilon látható legyen mindkét kapcsolónál - akkor lezárjuk a csomagok címkéit és elküldjük őket. A címkékkel ismét meghatározzák a forgalom tagságát, és megfelelően fel van osztva. Természetesen ebben az esetben ugyanazon előállító azonosítója mindkét kapcsolón megegyeznie kell, ellenkező esetben a csomagok egyszerűen elvészek (a részletek nélkül). Nos, ilyen módon egyetlen sejttel, akár 4096-ig, a felszerelés kapacitásán keresztül bármely seprű átvihető.
3. Néha látom, hogy személyre kell szabnia a számítógépet. Miért? Mint minden mirigynek meg kell tennie.
Így van. Ha beállítja, hogy „a port tartozik a 3. Wilanow címkézetlen” - PC látja ezt a csomagot, címkék nélkül, és nem is sejti, mankó nélkül és táncol egy tambura, de belül a kapcsolót akkor egyértelműen kiemelte a Vila. Ha meg kell küldeni a számítógépre, például több Wilanow egy hálózati kártya (akár bármilyen korlátozás kicsit), akkor küldjön egy Whelan matrica nélkül (bár nem kötelező), és a többi - a tag. Ebben az esetben villanyt támogató hálózati kártyára van szüksége, amely segíti a virtuális interfészek létrehozását minden címkézett vilánhoz. Számát a beállítás határozza meg (egy vilánt hozzáadva - megjelenik egy felület).
Ahhoz, hogy az emberek, akik a különböző Wilanow, láttam egymást, az szükséges, hogy mind a Wilanow lógott egy felületen az útválasztó (a legegyszerűbb esetben - azonos router), átjáró és a router lesz, hogy továbbítsa közötti forgalom alhálózatok és Wilanow. Hát és tovább egy útválasztó lehetséges, és a szél a biztonság, mivel. az egyetlen pont a "tranzíció" a forgalom között Vilanas - lesz ez az útválasztó. Ennek az útválasztónak a hiányában a különféle számítógépek nem láthatják egymást.
11. Igen, az "un" előtag olyan, mint "nem". A címke nélkül csak egy vilán lehet, mert különben nem világos, milyen forgalom
12. Annak érdekében, hogy a számítógép megértse a forgalmat a címkével, képesnek kell lennie arra, hogy a címkéket a vezető szinten kezelje. Ha nem tudja, hogyan fogja látni a címkézett forgalmat. De megadhatja, hogy az 1-es és 2 Vilan №1 címkézetlen port, és a portok a 3. és 4. - Whelan №2 matrica nélkül, és az alkatrészek helyezünk a port 1 és 2 lesz látjuk egymást, de nem lát, aki beillesztve a 3 és 4 portba. Hát és éppen ellenkezőleg. Maga a címke csak akkor szükséges, ha egy vagy több portnak 2 vagy több vylánt kell küldenie. Annyira, hogy ne legyen zavarodva.
13. A Vilan technológia szabványosított (802.1q) és minden olyan berendezés, amely képes a Vilanas kompatibilis más olyan berendezésekkel, amelyek szintén tudják. Nem számít, melyik gyártó, a legfontosabb az, hogy az office2 vilana rendelkezik azonos azonosítóval, ami ugyanaz volt mindkét kapcsolóval. Nos, a főnök ugyanaz a dal.
14. Ön maga kérdezi, hogy milyen vylánok és hogyan láthatók lesznek a kikötőben. Ha azt jelezte, hogy a kikötő jön csak 15. Whelan, egy támadó ezt a portot, nem férnek át harmadik Whelan, sem a 500., más, mint a 15-re. Ha a támadó természetesen tudja a kapcsoló bejelentkezési / jelszavát, akkor láthatja, hogy milyen vilánok szükségesek a kikötőbe való belépéshez, és csak akkor kapnak hozzáférést hozzájuk. De ez már problémát jelent a kezelési felület elkülönítésében.
15. Nem. Ha különböző vilannákban ugyanaz az alhálózat létezik, a számítógépek ebből a vilánokból soha nem találkoznak egymással a Vilanas között. Különböző alhálózatok csak azért használatosak, hogy egymás útján "bejusson", mert különböző hálózatokkal nem lesz konfliktus. Általában ugyanazok a hálózatok sok problémát okoznak :)
a 15. oldalt feltétlenül gondolkodni és kitalálni, de remélem, hogy magam is megtehetem.
Röviden - még megosztani (amíg meg nem érted, miért, hogy őszinte legyek).
Még nem világos, hogy "soha nem fogják egymást látni Vilanas között, ha ugyanabban az alhálózatban." A saját ötlete, és oszd meg, hogy nem látták. Nem? Milyen esetekben szükséges ez az átirányítás? És hogyan fog működni, ha a vilák más-más? Szüksége van egy útválasztóra, hogy bejusson ezekbe a különböző lakókba?
Kérjük, fesse át, amire szüksége van, hogy, mondjuk, 3 Vilan - port 11 + 12, 21 + 22 és 31 + 32, de ez volt a port 40, amely egy számítógépes rendszergazda, aki rendelkezik vozmozhnst „séta” mindenhol.
Szeretném megérteni, hogy bele kell foglalni minden lakóba? Vagy hozzon létre egy különálló?
A hálózat megosztása a vylans nem messze nem csak azért, hogy "nem lát" egymást. Valójában ez a "láthatatlanság" csak egyike a hatásoknak. Valójában a 2 vlan pontosan úgy működik, mint két különböző kezeletlen kapcsoló, amelyet NEM kapcsol össze egy parch-kábel, amelyhez különböző számítógépek vannak csatlakoztatva. Egy alhálózatban egy alhálózat van, mondjuk 192.168.0.0/24, egy másik - 192.168.1.0/24. Mit vesz igénybe egyidejűleg 2 hálózatban? 2 lehetőség van:
2. Helyezze a routert, csatlakoztassa azt a 2 patch kábel azoktól a kapcsolók a hálózatban, hogy adjon neki IP például 192.168.0.1, a másik - 192.168.1.1, akkor - az összes számítógépen, hogy regisztrálja a gateway router (a kurzus aypishnik, amely megfelel a vállalat hálózatának), és az útválasztón keresztül a két alhálózat sikeresen kommunikál és egymást látja. És akkor perverz: csatlakoztasd a 192.168.3.0 hálózatot, és ugorj oda az adminisztrációs számítógépedre, és újra boldog legyen :)
Így írja le a helyzetet Wilanow inkább egy kapcsolót - Az első lehetőség - ez címkézett Vila egyetlen hálózati kártya rendszergazda (vagy 2 címkézetlen port tapasz egy Svicha 2 setevuhi rendszergazda), és a második lehetőség - csak 1 címkézetlen linkre külön (. 3.0) egy alhálózaton keresztül, amikor az IP-interfészek konfigurálása az egyes vilános kapcsolókon történik. De van egy ellentmondás: a kapcsoló maga képesnek kell lennie arra, hogy L3 mellett L2, hogy képes létrehozni egy irányított interfészek belül Wilanow, egyébként csak akkor lesz képes Vila nélkül interfészek és integrálja azokat egy külső router!
Valójában a példában swiches ugyanaz, csak fizikailag a végrehajtás más :)
A második lehetőség többszörös, de kényszeríti a tűzfal beállítását az útválasztón. Számítógépek belül Svicha Természetesen mindig lehet látni egymást, de ha nem kell, hogy a hálózat 192.168.0.0/24 192.168.1.0/24 nem látja - az útválasztó létrehoz egy szabályt, az űrlap „tagadja 192.168.0.0/24 192.168.1.0/24” és a másik oldalon letette az egyik vagy mindkét interfészt, és a hálózat egymással, hogy a stop, de a rendszergazda a hálózat 192.168.3.0 tökéletesen látja őket, és látják a rendszergazda.
Az első változatban természetesen hasonló hatású lehet, de ez a számítógép adminisztrátor routerén kell beállítani, és ez egy újabb dzsungel.
> "Kérem, húzza meg, amire szüksége van"
Itt elvileg mindez kapcsolódik a router interfészekhez és az átjáró konfigurációjához, és alapértelmezés szerint minden forgalom engedélyezett. Még csak arra gondolok, hogy ki ne tegye meg, és a tűzfal szabályait (általában a kapcsolók hozzáférési listájaként), hogy megtiltsa mindazt, ami nem szükséges.
> 3 vilana - ports 11 + 12, 21 + 22 és 31 + 32, de volt egy 40-es kikötő, ahol lesz egy olyan számítógép a rendszergazda, aki képes lesz "sétálni" mindenhol
Oké, aláírom :)
port 11,12 - vlan 100 untagged
port 21,22 - vlan 101 untagged
port 31,32 - vlan 102 untagged
port 40 - vlan 103 untagged
A Vilanas a kapcsolón belül (ha L3 lehet):
vlan 100 - 192.168.0.1/24 interfész
vlan 101 - 192.168.1.1/24 interfész
vlan 102 - 192.168.2.1/24 interfész
vlan 103 - 192.168.3.1/24 interfész
ACL:
tagadja az 192.168.0.0/24 192.168.1.0/24
tagadja az 192.168.0.0/24 192.168.2.0/24
tagadja az 192.168.0.0/24 192.168.3.0/24
megtagadja az 192.168.1.0/24 192.168.0.0/24
tagadja az 192.168.1.0/24 192.168.2.0/24
tagadja az 192.168.1.0/24 192.168.3.0/24
tagadja az 192.168.2.0/24 192.168.0.0/24
megtagadja az 192.168.2.0/24 192.168.1.0/24
megtagadja az 192.168.2.0/24 192.168.3.0/24
megtagadja az 192.168.3.0/24 192.168.0.0/24
tagadja az 192.168.3.0/24 192.168.1.0/24
tagadja az 192.168.3.0/24 192.168.2.0/24
Ezek az előírások tiltják a forgalomban közötti forgalmat Wilanow 100, 101 és 102 (Megjegyzendő, hogy a szabályok vannak megadva nem Vila és alhálózati amelyek már folyamatban vannak számítva Vila!), De nem tiltják minden kölcsönösen lásd a rendszergazda a 4. alhálózat, azaz. a. nincsenek szabályok megtiltva ezt.
Ui A Vilanov és a hálózat számát a kopaszból vették, de általában a rendelkezésre álló korlátokon belül lehetnek.
De valójában lehetséges, hogy a rendszergazda portját minden unaggregated vilans, és csak adja meg a networker az IP-cím minden alhálózat, ugye?
Tartósan gondolkodom azon, hogy hogyan lehet kijutni a helyzetből, anélkül, hogy levágnám a hálózatot az alhálózaton -, majd át kell gondolnom a levelezőt, a dokumentumforgalmat, a biztonsági másolatot, a file-porzsákot és így tovább. Természetesen ezek különböző alhálózatokra vannak felosztva, és lehetővé teszik a forgalmat.
Egyébként helyesen értettem, hogy ha nem kérdezel aypshnikit Vilanason, akkor senki sem láthatja egymást?
Ez az, ami nem pihen.
És ha így van:
port 11,12,40 - vlan 100 untagged
port 21,22,40 - vlan 101 untagged
. és nem lesz subnetting. akkor a 40-es port látni fogja mind az embereket, mind a többieket, a másik pedig csak a szomszéd és a 40-es, igaz?
Váltson át ebben az időben, ki fogja deríteni, hogy ki van, ha mindent egyazon alhálózaton talál?
És itt van egy másik neponyatka.
Tehát két kikötőhöz csatlakoztam. A fennmaradó kikötők nem Vilanban vannak. Ebben az esetben I (az egyszerűség kedvéért) ugyanazt a típusú-két kapcsolót (Vilan és minden mást)?
> nyissa meg az admin portot minden fel nem iratkozott mezőben
A porton lévő jogosulatlan vilant csak egy, a többi pedig a címkével van ellátva. Egyébként hogyan változik a kikötőbe bejutó forgalom vilánokra? Szüksége van több hálózati csomópontra (untagged), vagy egy támogató bogs (a címkézett).
> Tartósan gondolok arra, hogyan lehet kijutni a helyzetből, anélkül, hogy az alhálózaton levágnám a hálózatot
Ennek egyszerű változata nem érhető el. Vagy osztva alhálózatok, vagy a szűrő forgalom berendezés, amely képes, de szükséges, hogy az összes számítógép és szerver vezettük be egyetlen fémdarab, és felér egy csomó szabályok, amelyek később lesz könnyen összezavarodnak
> Ha a lakók nem kérdezik aypishniki - akkor senki sem láthatja egymást
Vilan - ez egy különálló hely, amelyet más Vilanas-tól elkülönítettek. Egy ostobán létrehozott vilán 2-3-4 vállalat dolgozhat, de ha Vilanas vagy interneten kell sétálni, akkor át kell adnia egy átjárót
És ha így van:
Ismét ez egyszerűen nem működik, a kapcsoló vagy nem ad, vagy nem működik megfelelően ezzel a beállítással
> A többi kikötő nem Vilanban van
Ha a portok nincsenek megadva egy vilan - nem fognak működni, a bejövő csomagok a porton egyszerűen megbotlik egy üresen a további feldolgozás helyett. Szükséges, hogy legalább valami. Az alapértelmezett visszaállító kapcsolón az összes port az 1. WLAN-ban van, így azok a dobozból dolgoznak