Individual loyiha ishi



Yüklə 131,02 Kb.
səhifə3/5
tarix27.12.2023
ölçüsü131,02 Kb.
#199497
1   2   3   4   5
Cisco routerlarining buyruq interfeysi bilan ishlash va dastlabki konfiguratsiyasini sozlash. VLANni loyihalash va qurish

Xususiyatlari:

  • kommutatorning bir-biri bilan aloqa qilmaydigan bir nechta tarmoqlarga mantiqiy bo'linishi

  • qo'shimcha kabel o'tkazmasdan 2 yoki undan ortiq kalitlarga ega bo'lgan tarmoqlarga bunday bo'linish qurilmasi.

  • assimetrik VLANlar. Bunday holda, port (magistral emas, 802.1Q yorlig'i bo'lmagan ramkalar kabel orqali harakatlanadi) kiruvchi kadrlar uchun kalitning bitta ichki VLAN-ga (PVID deb ataladi) va bir nechta ichki VLAN-ga ulanadi. chiquvchi ramkalar uchun kalit. Bunday holda, chiquvchi freymlarda PVID VLAN ga ulanish bo'lmasligi mumkin.

  • oldingi paragraf orqali yuqori darajadagi abstraksiya ham amalga oshiriladi - Promiscuous/Community/Isolated ports. Bunday holda, bir nechta ikkilamchi VLAN-larni bitta asosiy tarmoqqa mantiqiy joylashtirish qo'llaniladi.

  • Promiscuous port (asosiy VLAN-dagi port) birlamchi va har qanday ichki o'rnatilgan ikkilamchi VLANdagi har qanday Promiscuous/Community/Isolated port bilan bog'lanishi mumkin.

  • Community porti (ikkinchi darajali VLAN-dagi port) har qanday Promiscuous porti, shuningdek, ikkilamchi VLAN ichidagi har qanday Hamjamiyat porti bilan aloqa qilishi mumkin.

  • Izolyatsiya qilingan port (shuningdek, ikkinchi darajali VLAN-dagi port, lekin bu alohida ajratilgan VLAN bo‘lib, u faqat ma’lum bir asosiy VLAN-da bitta bo‘lishi mumkin) faqat Promiscous portlari bilan bog‘lana oladi va hatto boshqa Izolyatsiya qilingan portlar bilan ham aloqa qila olmaydi (“barcha mijozlar”). serverni ko'ring va bir-biringizni ko'rmang", ko'pincha "mehmon" Wi-Fi tarmoqlarida qo'llaniladi).

• VLAN teglarini ramkaga ikki darajali joylashtirish, shuningdek teg qiymatlarini tezda tarjima qilish. Ushbu texnologiya QinQ deb ataladi va barcha VLAN-ni yoqadigan qurilmalar tomonidan qo'llab-quvvatlanmaydi.
VLAN ni belgilash
Buning uchun quyidagi yechimlar mavjud:

  • port orqali (inglizcha portga asoslangan, 802.1Q): bitta VLAN o'tish portiga qo'lda tayinlangan. Agar bir nechta VLAN bitta portga mos kelishi kerak bo'lsa (masalan, VLAN ulanishi bir nechta tarmoq kalitlari orqali o'tsa), u holda bu port magistralning a'zosi bo'lishi kerak. Faqat bitta VLAN hech qanday VLAN-ga tayinlanmagan barcha kadrlarni qabul qilishi mumkin (3Com, Planet, D-Link, Zyxel, HP terminologiyasida - tegsiz, Cisco, Juniper, Eltex terminologiyasida - mahalliy VLAN). Tarmoq kaliti ushbu VLAN-ni teglari bo'lmagan barcha qabul qilingan kadrlarga teglaydi. Portga asoslangan VLAN-larda ba'zi cheklovlar mavjud.

  • MAC-ga asoslangan: VLANe a'zoligi ish stantsiyasining MAC manziliga asoslanadi. Bunday holda, tarmoq kalitida barcha qurilmalarning MAC manzillari jadvali va ular tegishli bo'lgan VLAN-lar mavjud.

  • Protokolga asoslangan: VLAN a'zoligini aniqlash uchun freym-kapsullangan paket sarlavhasidagi 3-4-qatlam ma'lumotlaridan foydalaniladi. Masalan, IP-mashinalarni birinchi VLAN-ga, AppleTalk mashinalarini esa ikkinchisiga tarjima qilish mumkin. Ushbu usulning asosiy kamchiligi shundaki, u qatlam mustaqilligini buzadi, shuning uchun, masalan, IPv4 dan IPv6 ga o'tish tarmoqning uzilishiga olib keladi.

  • autentifikatsiyaga asoslangan: qurilmalar 802.1X protokolidan foydalanganda foydalanuvchi yoki qurilma autentifikatsiya maʼlumotlari asosida avtomatik ravishda VLAN-ga koʻchirilishi mumkin.

Amaliy ishda biz VLAN protokoli a'zoligidan foydalanamiz.
Cisco qurilmalarida VTP (VLAN Trunking Protocol) boshqaruvni soddalashtirish uchun VLAN domenlarini taqdim etadi. VTP shuningdek, VLAN trafigini faqat maqsadli VLAN portlari (VTP kesish funksiyasi) bo'lgan kalitlarga yo'naltirib, trafikni kesishni amalga oshiradi. Cisco kommutatorlari asosan ma'lumotlarning o'zaro ishlashini ta'minlash uchun eski mulkiy ISL (Inter-Switch Link) o'rniga 802.1Q Trunk protokolidan foydalanadi.

  • Odatiy bo'lib, har bir kommutator portida VLAN1 yoki boshqaruv VLAN mavjud. Boshqaruv tarmog'ini o'chirib bo'lmaydi, lekin qo'shimcha VLAN-larni yaratish va ushbu muqobil VLAN-larga qo'shimcha portlarni belgilash mumkin.

  • Native VLAN - har bir port uchun sozlama bo'lib, barcha teglanmagan paketlar qabul qiladigan VLAN raqamini belgilaydi.

Cisco port terminologiyasidan tekshirish: kirish porti — access port bir xil VLAN ga tegishli bo'lgan va belgilanmagan trafikni uzatuvchi port. Cisco spetsifikatsiyasiga ko'ra, kirish porti faqat bitta VLANga tegishli bo'lishi mumkin, sukut bo'yicha u birinchi (belgilanmagan) VLAN hisoblanadi. Kirish porti orqali o'tadigan har qanday ramka ushbu VLAN-ga tegishli access port bilan belgilanadi.
trunk port — bir yoki bir nechta VLAN-ning teglangan trafigini uzatuvchi port. Bu port, aksincha, tegni o'zgartirmaydi, faqat shu portda ruxsat etilgan teglar bilan ramkalarni o'tkazadi.
Port orqali bir nechta VLAN trafigini o'tkazish uchun port magistral rejimiga o'rnatiladi. Interfeys rejimlari (standart rejim kalit modeliga bog'liq):
auto — Port avtomatik rejimda va faqat boshqa uchidagi port yoqilgan yoki kerakli rejimda bo'lsa, magistral holatiga o'tadi. Ya'ni, agar ikkala uchidagi portlar "avtomatik" rejimda bo'lsa, u holda magistral qo'llanilmaydi.
trunk — Port har doim magistral holatda bo'ladi, hatto boshqa uchidagi port bu rejimni qo'llab-quvvatlamasa ham.
nonegotiate — Port magistral rejimga o'tishga tayyor, lekin boshqa uchidagi portga DTP freymlarini yubormayapti. Ushbu rejim cisco bo'lmagan boshqa qurilmalar bilan ziddiyatlarni oldini olish uchun ishlatiladi. Bunday holda, boshqa uchidagi kalit magistraldan foydalanish uchun qo'lda sozlanishi kerak.
Odatiy bo'lib, barcha VLAN-larga magistralda ruxsat beriladi. Ma'lumotlar magistraldagi mos keladigan VLAN orqali uzatilishi uchun hech bo'lmaganda VLAN faol bo'lishi kerak. VLAN kommutatorda yaratilganda faollashadi va u yuqoriga/yuqoriga holatida kamida bitta portga ega.

1-rasm – Tarmoqni segmentlarga bo'lish.
VLAN-lardan foydalanishning asosiy mohiyati, ya'ni bitta fizik kalit yordamida tarmoq segmentlarini izolyatsiya qilish qobiliyati aniq ko'rsatiladi. Bunday holda, funktsional jihatdan hamma narsa butunlay o'xshash ko'rinadi.
VLAN texnologiyasi bir nechta LAN tarmoqlarining funktsional ekvivalentini ularni jismoniy amalga oshirish uchun zarur bo'lgan kalitlar va kabellar to'plamidan foydalanmasdan tashkil qilish imkonini beradi. Jismoniy tarmoq uskunalari virtual bilan almashtirilmoqda. Virtual LAN atamasi shundan kelib chiqadi.
Ammo bundan oldin siz pastki tarmoqni bir nechta segmentlarga bo'lishingiz kerak. Admin Kompyuterni standart VLAN, ya'ni VLAN 1 da qoldiramiz. 3 ta chap kompyuter VLAN 2 ga, 3 ta o'ng kompyuter VLAN 3 ga biriktiriladi. Shunday qilib, biz tarmog'imizdagi boshqa kompyuterlarga kommutator va yo'riqnoma sozlamalarini o'zgartirishga ruxsat bermaymiz, bu esa qurilgan tarmoqning xavfsizlik darajasini oshiradi.

2-rasm – Tarmoqning pastki tarmoqlarga vizual bo'linishi.
Kompyuterlarda IP manzillarini (pastki tarmoq qiymatlarini) o'zgartirgandan so'ng, biz "ping" buyrug'i bilan turli tarmoq segmentlari orasidagi ulanishlarni tekshiramiz. Boshlash uchun biz PC3 - PC5 dan ping tinglaymiz, quyidagi skrinshotda ko'rib turganingizdek, ping muvaffaqiyatli bo'ldi. Keyinchalik, biz boshqa tarmoq segmentida joylashgan kompyuterga ping qo'yishga harakat qilamiz, biz PC3 - PC2 dan ping yuboramiz, skrinshotda ko'rib turganingizdek, ping yo'q.

3-rasm – «ping» orqali tekshirib ko’rish
"Ping" buyrug'i bilan tekshirish oxirida biz turli xil ichki tarmoqlar yoki turli jismoniy jihozlarga ulangan kompyuterlarning o'zaro ta'sirini ta'minlash uchun kommutatorda VLAN pastki tarmoqlarini sozlashni davom ettiramiz. Buni amalga oshirish uchun Administrator kompyuter bilan almashtirish sozlamalariga o'ting va ikkita yangi VLAN yarating.
C:\>telnet 192.168.1.200
Trying 192.168.1.200 ...Open KompSetiSwitch Configuration
User Access Verification
Username: admin
Password:
KompSetiS#conf t
KompSetiS(config)#vlan 2
KompSetiS(config-vlan)#name VLAN2
KompSetiS(config-vlan)#exit
KompSetiS(config)#vlan 3
KompSetiS(config-vlan)#name VLAN3
KompSetiS(config-vlan)#exit
Keyinchalik, terminal uskunasi ulangan portlar yangi VLAN-larga tayinlanadi:

  • 1-port bo'yicha Vlan 1da qoladi

  • 2, 3, 4 portlar Vlan 2 ga tayinlangan

6, 7, 8 portlar Vlan 3 ga tayinlangan
Buning uchun biz yozamiz:
KompSetiS(config)#int fa0/2
KompSetiS(config-if)#sw
KompSetiS(config-if)#switchport mode access
KompSetiS(config-if)#switchport access vlan 2
KompSetiS(config-if)#exit
Keyinchalik, turli VLAN-lar o'rtasida ma'lumot almashish uchun yo'riqnoma ulangan portni sozlaymiz, buning uchun biz quyidagilarni buyuramiz:
KompSetiS(config)# int fa0/5
KompSetiS(config-if)#switchport mode trunk
KompSetiS(config-if)#switchport trunk allowed vlan 1,2,3
KompSetiS(config-if)#exit

4-rasm – VLAN 2, 3 ni sozlash
Keyinchalik, marshrutizatordagi inkapsulyatsiya sozlamalariga o'tamiz, bu turli xil tarmoq segmentlari (turli VLAN) bir port orqali bog'lanishi uchun kerak.
KompSetiR(config)#int gig0/0.2
KompSetiR(config-subif)#encapsulation dot1Q 2
KompSetiR(config-subif)#ip address 192.168.2.1 255.255.255.0
KompSetiR(config-subif)#no shutdown
KompSetiR(config-subif)#exit
KompSetiR(config)#int gig0/0.3
KompSetiR(config-subif)#encapsulation dot1Q 3
KompSetiR(config-subif)#ip address 192.168.3.1 255.255.255.0
KompSetiR(config-subif)#no shutdown
KompSetiR(config-subif)#exit
Routerning asosiy porti boshqaruvchi shaxsiy kompyuter joylashgan VLAN 1 quyi tarmog'i uchun sozlanganligi sababli, u uchun virtual port yaratishga hojat yo'q. Bundan tashqari, VLAN 1 uchun inkapsulyatsiya qilmasdan, biz kalit sozlamalariga kirishni chekladik. Turli pastki tarmoqlar o'rtasida ping tekshirilmoqda.

5-rasm - Konfiguratsiya qilingan VLAN podstansiyalari tekshirilmoqda.
№5 laboratoriya oxirida bizda 1 ta kalit, 1 marshrutizator va 7 ta kompyuterni o'z ichiga olgan tarmoq mavjud bo'lib, ular 3 ta segmentga bo'lingan, quyidagi IP manzillar, nomlar va VLANlar mavjud:



Nomlanishi

IP manzil

VLAN 1

1

Switch (KompSetiS)

192.168.1.200

1

1

Router (KompSetiR)

192.168.1.210

1

1

Admin PC

192.168.1.2

1

2

PC0

192.168.2.2

2

3

PC1

192.168.2.3

2

4

PC2

192.168.2.4

2

5

PC3

192.168.3.2

3

6

PC4

192.168.3.3

3

7

PC5

192.168.3.4

3

Switch (KompSetiS): Username: admin; Password: 15
Router (KompSetiR): Username: admin; Password: 15


Yüklə 131,02 Kb.

Dostları ilə paylaş:
1   2   3   4   5




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin