vlan-with-tasks (1130393)
Текст из файла
Настройка VLAN’ов имаршрутизации между нимиАнтоненко Виталийanvial@lvk.cs.msu.suЩербинин Викторwictor@lvk.cs.msu.suЛогика возникновения (1 из 5)• Дано: абонентские машины, технологиякоммутаторы, 85-90 годы 20 века• Порешаем две задачи:Ethernet,– попробуем построить глобальную сеть– попробуем построить хотя бы корпоративную сеть• Пусть порядок глобальной сети – 106 абонентских машин:– Каждый коммутатор должен иметь таблицу на 106 mac-адресов,или (6+1)*106 байт = примерно 7Мб– Поиск в такой таблице будет занимать по грубой оценке 3 500000 операций сравнения, если таблица не отсортирована, илибудут накладки на поддержку отсортированной таблицы– Так как сеть плоская, то одинаковые требования предъявляютсякак к абонентским коммутаторам, так и к магистральным– IBM AT в 1984 году: 6МГц, 512Кб – 1Мб ОЗУЛогика возникновения (2 из 5)• А что будет в корпоративном секторе?– рассмотрим организацию с сетью на 10 000 абонентов• Для разрешения адресов используется ARP• Прикинем масштаб вещательного трафика:– пусть каждый абонент в среднем посылает один ARP-запроскаждую минуту и получает на него ARP-ответ– длина запроса и ответа примерно 30 байт– суммарный служебный трафик за минуту составит 60*104 или 104байт в секунду, то есть примерно 0.1Мбит/сек будет тратитьсяна служебный трафик– кроме того, каждый хост должен будет в секунду обработать 104вещательных кадров (огромная нагрузка на конечныеустройства!!!)Логика возникновения (3 из 5)• Проблема масштабируемости технологии– из-за плоской организации адресации– из-за метода разрешения адресов сетевого уровня• Решения обеих проблем хорошо известны– иерархическая адресация• см.
телефонные сети– разделение большого вещательного домена на N маленьких• Заметим, что задача передачи данных в сетях снебольшим числом абонентов уже решена• Новый уровень – сетевой – решение задачи передачиданных в больших сетях (см. масштабирование)– метод сведения задачи к решенной – надо разбить большуюсеть на кучу маленьких, в которых мы уже все умеем4Логика возникновения (4 из 5)Иерархическая адресация• Иерархическая адресация позволит сократить времяпоиска и снизить использование памяти– см. телефонные сети• Иерархию на mac-адресах реализовать невозможно(их распределение не контролируется, они вшиты всетевую карту)• Надо ввести логическую адресацию• Логическая адресация должна содержать какминимум три уровня:– ID организации для маршрутизации в глобальной сети– ID подразделения для маршрутизации внутри организации– ID абонента в подразделении• Кол-во абонентов в подразделении можно выбиратьиз соображений объема вещательного трафикаЛогика возникновения (5 из 5)• Протокол IP – протокол с иерархической адресацией• IP адрес состоит из ID сети, опционально ID подсети, и ID хоста в(под)сети– для каждой (под)сети определен вещательный адрес,отображается протоколом ARP на вещательный mac-адрескоторый• Раз IP – логическая адресация, нужна организация по раздачеадресов, IANA–IANA раздает ID сетей организациям; организация сама решает, как разбить сетьна подсети и как назначить ID хостам в подсетях• Подсеть = вещательный домен• Для пересылки данных между подсетями используются уже не MAC,а IP-адреса, а соответствующую логику реализуют маршрутизаторы–это потому, что ARP-запрос не выходит за пределы вещательного домена!• Т.е.
маршрутизаторы используются для сегментирования большихвещательных доменов на более маленькие так же, как коммутаторыиспользовались для сегментирования доменов коллизииAnd more…• Вещательный домен определяется на основе физическиххарактеристик – близости расположения абонентов, подключенныхк группе коммутаторов• По концепции создания подсеть – это логическая группа, а сетеваяадресация – абстракция над физической• Но ведь подсеть должна отображаться на вещательный домен инаоборот• Получается противоречие: логическая группа на самом деленикакая не логическая, а определяется исключительно близостьюрасположения хостов• Чтобы решить эту проблему придумали понятие виртуальногокоммутатора• Физический коммутатор может включать несколько виртуальных,каждый из которых будет обслуживать свой вещательный домен• Один виртуальный вещательный домен может распространятся нанесколько коммутаторов• Виртуальный вещательный домен – это и есть VLANПример VLAN• Разделение• Гибкость• БезопасностьVLAN = Вещательный домен = Логическая сеть (Подсеть)8Функционирование VLAN• Каждая логическая VLAN – как отдельный физический мост• Для пересылки кадров, исходящих из разных VLAN используются транки• Транки используют специальную инкапсуляцию для того, чтобыразличать кадры, принадлежащие разным VLANам9Членство в VLAN10Кадр 802.1Q11Родные VLANы12Добавление VLANCatalyst 2950 SeriesSwitch# configure terminalSwitch(config)# vlan 2Switch(config-vlan)# name VLAN2• VLAN 1 есть по умолчанию• По умолчанию VLAN 1 используется для управления и может иметь IP адрес• CDP и прочие служебные протоколы используют VLAN 113Добавление портов в VLANCatalyst 2950 Serieswg_sw_2950(config-if)# switchport access [vlan vlan# | dynamic]wg-sw_2950# configure terminalwg_sw_2950(config)# interface fastethernet 0/2wg_sw_2950(config-if)# switchport access vlan 2wg_sw_2950# show vlanVLAN---1.2Name-------------------------------default....vlan2StatusPorts--------- ---------------------activeFa0/1, Fa0/3, Fa0/4activeFa0/214Настройка транка 802.1QSwitchX(config-if)#switchport mode {access |dynamic {auto | desirable} | trunk} Позволяет перевести порт в режим транка и обратноSwitchX(config-if)#switchport mode trunk Переводит порт в режим транка15Проверка настроек транкаSwitchX# show interfaces interface [switchport | trunk]SwitchX# show interfaces fa0/11 switchportName: Fa0/11Switchport: EnabledAdministrative Mode: trunkOperational Mode: downAdministrative Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default).
. .SwitchX# show interfaces fa0/11 trunkPortFa0/11PortFa0/11PortFa0/11ModedesirableEncapsulation802.1qStatustrunkingNative vlan1Vlans allowed on trunk1-4094Vlans allowed and active in management domain1-1316Просмотр членства портов в VLANахwg_sw_2950# show vlan briefwg_sw_2950# show vlan briefVLAN Name---- --------------------------------1default2vlan23vlan34vlan41002 fddi-default1003 token-ring-defaultVLAN----10041005StatusPorts--------- ----------------------------activeFa0/1, Fa0/2, Fa0/3, Fa0/4activeactiveactiveact/unsupact/unsupNameStatusPorts-------------------------------- --------- ----------------------------fddinet-defaulttrnet-defaultact/unsupact/unsupwg_sw_2950# show interfaces interface switchport17Задание: VLAN• Назначить хостам указанные IP-адреса (вездепрефикс /24)• Настроить для портов свичей, идущих к хостам,VLAN’ы• Настроить trunk между двумя свичами• Показать на Switch0: show vlan brief и showinterfaces fa0/1 switchport18• Показать на PC2: ifconfig, ping на PC4 и ping на PC3Задание: VLAN19Обеспечение безопасности портовКоммутаторы серии Catalyst 2950SwitchX(config-if)#switchport port-security [ mac-address macaddress | mac-address sticky [mac-address] | maximum value |violation {restrict | shutdown}]SwitchX(config)#interface fa0/5SwitchX(config-if)#switchport mode accessSwitchX(config-if)#switchport port-securitySwitchX(config-if)#switchport port-securitySwitchX(config-if)#switchport port-securitySwitchX(config-if)#switchport port-securitySwitchX(config-if)#switchport port-securitymaximum 1mac-address 00d0.58ad.cb1fviolation shutdownaging time 1020Проверка настроек безопасности портов(1 из 2)SwitchX#show port-security [interface interface-id] [address] [ |{begin | exclude | include} expression]SwitchX#show port-securityPort SecurityPort StatusViolation ModeAging TimeAging TypeSecureStatic Address AgingMaximum MAC AddressesTotal MAC AddressesConfigured MAC AddressesSticky MAC AddressesLast Source AddressSecurity Violation Countinterface fastethernet 0/5: Enabled: Secure-up: Shutdown: 20 mins: Absolute: Disabled: 1: 1: 0: 0: 0000.0000.0000: 021Проверка настроек безопасности портов(2 из 2)SwitchX#sh port-security addressSecure Mac Address Table------------------------------------------------------------------VlanMac AddressTypePortsRemaining Age(mins)--------------------------------10008.dddd.eeeeSecureConfiguredFa0/5------------------------------------------------------------------Total Addresses in System (excluding one mac per port): 0Max Addresses limit in System (excluding one mac per port) : 1024SwitchX#sh port-securitySecure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action(Count)(Count)(Count)-------------------------------------------------------------------------Fa0/5110Shutdown--------------------------------------------------------------------------Total Addresses in System (excluding one mac per port): 0Max Addresses limit in System (excluding one mac per port) : 102422Функции маршрутизаторовRouterX# show ip routeD 192.168.1.0/24 [90/25789217] via 10.1.1.112R 192.168.2.0/24 [120/4] via 10.1.1.2O 192.168.3.0/24 [110/229840] via 10.1.1.31.
По адресу назначения определять, через какой интерфейспереслать пакет дальше2. Передавать соседним маршрутизаторам сведения о техсетях, в которые он умеет пересылать пакеты23Таблицы маршрутизации24Записи в таблице маршрутизации• Подключенные сети: сети, адреса из которыхнастроены на интерфейсах маршрутизатора• Статические маршруты – маршруты, заданныеадминистратором• Динамические маршруты – маршруты, вычисленныеустройством в результате обмена маршрутнойинформацией по одному из протоколов маршрутизации• Маршрут по умолчанию: статический илидинамический маршрут, по которому будутпересылаться пакеты, если путь к адресу назначенияне задан в таблице явно25Маршрутизация между VLAN’ами Для пересылки данных между вещательными доменаминеобходим маршрутизатор26Создание логических подинтерфейсов наоснове одного физического интерфейса Для каждого вещательного домена, подключенного к маршрутизаторучерез транк, нужно создать свой логический подинтерфейс27Реализация «router-on-a-stick»interface fastethernet 0/0no ip addressinterface fastethernet 0/0.1encapsulation dot1q 1ip address 10.1.1.1 255.255.255.0interface fastethernet 0/0.2encapsulation dot1q 2ip address 10.2.2.1 255.255.255.0interface fastethernet 0/0no shutdown28Задание: Router-on-a-stick• Добавить роутер• Настроить в нем подинтерфейсы:– 10.1.Х.10 -- vlan 1– 10.0.X.10 -- vlan 2• Настроить транк м/у Switch1 и Router• Поправить ip-адреса хостов из vlan 1 (установив второй октет в 1)• Добавить всем хостам default gateway, соответствующий их сети(из адресов подинтерфейсов)• Показать на PC2: ipconfig и tracert на PC1• Показать на PC3: ipconfig и tracert на PC429Задание: Router-on-a-stick30Проблема: нет связи между хостами• Проверить физическое подключение• Проверить настройки безопасности портов• Проверить, изучает ли коммутатор MAC адресахостов• Проверить, не пересчитывается ли STP• Если хосты в одной VLAN, они должны иметь IPадреса в одной подсети• Если хосты в разных VLAN, необходимопроверить маршрутизацию и транки31Вопросы?32.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
