Hogyan kell osztani a hálózati alhálózatok, a setevichok
Az egyik a „klasszikus” rendszergazda feladata, hogy szükség van egy vállalkozás, hogy ugyanazon a fizikai hálózaton több virtuális - azon az alapon való tartozás részleg, osztály VIP-ek, stb Még ha egy router és tűzfal szerver a Linux operációs rendszer hajt végre, a technológia «ip-alias», akkor nem biztos, hogy biztonságuk 100% -os.
Az a tény, hogy a fenti technológia lehetővé teszi, hogy ugyanazt a felületet a kiszolgáló fellépni több átjáró különböző alhálózatok, de ez nem védi a hálózatot hallgat forgalmat.
És az oka, hogy nagyon egyszerű - a felhasználók a különböző részlegek lesz az azonos szórási tartomány részeként a kapcsolót, annak ellenére, hogy az alhálózati más lesz.
Válás LAN-on keresztül VLAN
A probléma megoldására a VLAN technológia (Virtual Local Area Network), lehetővé teszi, hogy logikusan partíció fizikai hálózatot több broadcast diszjunkt tartományok egymás között, és így javítja a biztonságot a hálózat. Más szóval, a VLAN lehetővé teszi az alhálózatok és hozzon létre külön hálózati szegmens 2-án, csatorna, szintje OS I modell egy vagy több fizikai kapcsolók a hálózatban.
Hogyan lehet megtörni a hálózat VLAN?
Itt azt látjuk, hogy minden fizikai port a kapcsoló az alapértelmezett VLAN 1, illetve az eszközök mögöttük vzaimodostupny.
Annak érdekében, hogy osztja a hálózat két alhálózatok, két új VLAN: az első a PK_1 másodpercenként PK_2:
Ellenőrizze, hogy a táblázat frissítve VLAN:
Mint látható, mindkét VLAN jöttek létre, és az állapotát aktív.
Ugyanakkor a fizikai port nem kötődnek ehhez a VLAN-t. Ehhez hajtsa végre az alábbi konfiguráció:
Az első sorban a következő a neve a fizikai csatornát (portot) jelzi a kapcsoló, hogy a port eléréséhez használt állapotban - azaz, csak azt fogadja el egyetlen lehetséges VLAN. Vannak még portok és a törzs-támogató több különböző VLAN egy fizikai interfész - jellemzően ezt az üzemmódot használjuk a kapcsolók között, vagy kapcsoló és a router. A második sor jelzi, hogy melyik VLAN rendelt fizikai port.
Nézzük meg az asztalnál VLAN:
Mint látható, az információk frissítése: PK_1 port VLAN 10 és PK_2 port - VLAN 20. megpróbálja ellenőrizni a rendelkezésre álló, egymáshoz képest számítógépei a ping segédprogram most:
Így, akkor hozzon létre egy egyedi VLAN a különböző osztályok, forgalomba a szükséges fizikai portok mindegyikük, megkülönböztetve a fizikai hálózati szegmensek logikai vzaimonedostupnyh.
A másik dolog, ha azt szeretnénk, hogy végre útvonal különböző alhálózatok a VLAN különböző, részben korlátozza a rendelkezésre álló mindegyikük egymást. Ez szükségessé teszi a telepítést a router, ami elviszi a fizikai interfész számos különböző VLAN a kapcsolók a hálózat segítségével CSOMAGTARTÓ technológia. Ebben az esetben a router egy virtuális IP-interfészek, amelyek úgy hatnak, mint átjárók alhálózatok egység. Ezen ip-interfész ez már lehetséges, hogy adjunk ACL (Access Control List), kiálló egyfajta tűzfal, amely korlátozza a hozzáférést a hálózatok között.
Offline 01:00