Виртуальные локальные сети

16.3. Маршрутизация между виртуальными локальными сетями

Поскольку каждая виртуальная локальная сеть представляет собой широковещательный домен, т. е. сеть со своим IP-адресом, для связи между сетями необходима маршрутизация Уровня 3. Поэтому к коммутатору необходимо присоединить маршрутизатор ( рис. 16.6).

Рис. 16.6. Связь между сетями через маршрутизатор

Для соединения с маршрутизатором в схеме дополнительно задействованы три интерфейса коммутатора Sw_А: F0/11, F0/12, Ff0/13. При этом порт F0/11 приписан к сети VLAN 10, порт F0/12 – к VLAN 20, порт F0/13 – к VLAN 30.

Sw_А(config)#int f0/11
Sw_А(config-if)#switchport access vlan 10
Sw_А(config-if)#int f0/12
Sw_А(config-if)#switchport access vlan 20
Sw_А(config-if)#int f0/13
Sw_А(config-if)#switchport access vlan 30

На маршрутизаторе используются три интерфейса – F0/1, F0/2, F0/3 (по числу виртуальных сетей), которые сконфигурированы следующим образом:

Router>ena
Router#conf t
Router(config)#int f0/1
Router(config-if)#ip add 10.1.10.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int f0/2
Router(config-if)#ip add 172.16.20.1 255.255.255.0
Router(config-if)#no shut
Router(config)#int f0/3
Router(config-if)#ip add 192.168.30.1 255.255.255.0
Router(config-if)#no shut

По команде sh ip route можно посмотреть таблицу маршрутизации:

Router#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

      10.0.0.0/24 is subnetted, 1 subnets
C        10.1.10.0 is directly connected, FastEthernet0/1
      172.16.0.0/24 is subnetted, 1 subnets
C        172.16.20.0 is directly connected, FastEthernet0/2
C     192.168.30.0/24 is directly connected, FastEthernet0/3

Из таблицы маршрутизации следует, что все три сети (10.1.10.0, 172.16.20.0, 192.168.30.0) являются непосредственно присоединенными и, следовательно, могут обеспечивать маршрутизацию между сетями. "Прозвонка" с узла 10.1.10.11 узлов сетей 172.16.20.0 и 192.168.30.0 дает положительный результат.

Защита межсетевых соединений через маршрутизатор может быть реализована с помощью сетевых фильтров (списков доступа), которые рассмотрены в лекции 14.

Недостатком такого метода организации межсетевых соединений является необходимость использования дополнительных интерфейсов коммутатора и маршрутизатора, число которых равно количеству виртуальных сетей. От этого недостатка свободно транковое соединение, когда совокупность физических каналов между двумя устройствами может быть заменена одним агрегированным каналом.

Конфигурирование транковых соединений

При транковом соединении коммутатора и маршрутизатора три физических канала между ними заменяются одним агрегированным каналом ( рис. 16.7).

Рис. 16.7. Транковое соединение коммутатора и маршрутизатора

Для создания транкового соединения на коммутаторе задействован интерфейс F0/10, а на маршрутизаторе – F0/0.

Конфигурирование коммутатора будет следующим:

Sw_A>ena
Sw_A#conf t
Sw_A(config)#vlan 10
Sw_A(config-vlan)#vlan 20
Sw_A(config-vlan)#vlan 30
Sw_A(config-vlan)#int f0/1
Sw_A(config-if)#switchport mode access
Sw_A(config-if)#switchport access vlan 10
Sw_A(config-if)#int f0/4
Sw_A(config-if)#switchport access vlan 10
Sw_A(config-if)#int f0/2
Sw_A(config-if)#switchport access vlan 20
Sw_A(config-if)#int f0/5
Sw_A(config-if)#switchport access vlan 20
Sw_A(config-if)#int f0/3
Sw_A(config-if)#switchport access vlan 30
Sw_A(config-if)#int f0/6
Sw_A(config-if)#switchport access vlan 30
Sw_A(config-if)#int f0/10
Sw_A(config-if)#switchport mode trunk
Sw_A(config-if)#^Z

По команде sh int f0/10 switchport можно посмотреть состояние интерфейса:

Sw_A#sh int f0/10 switchport
Name: Fa0/10
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
. . .
Sw_A#

Из распечатки следует, что порт F0/10 находится в режиме Trunk.

Конфигурирование маршрутизатора сводится к тому, что на его интерфейсе F0/0 формируются субинтерфейсы F0/0.10, F0/0.20, F0/0.30. На указанных субинтерфейсах задается протокол Dot 1q для виртуальных сетей 10, 20, 30. Последовательность команд необходимо завершить включением интерфейса no shut.

Router>ena
Router#conf t
Router(config-if)#int f0/0.10
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip add 10.1.10.1 255.255.255.0
Router(config-subif)#int f0/0.20
Router(config-subif)#encapsulation dot1q 20
Router(config-subif)#ip add 172.16.20.1 255.255.255.0
Router(config-subif)#int f0/0.30
Router(config-subif)#encapsulation dot1q 30
Router(config-subif)#ip add 192.168.30.1 255.255.255.0
Router(config-subif)#int f0/0
Router(config-if)#no shut

Результат конфигурирования проверяется по команде sh ip route:

Router#sh ip route

Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP
       D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
       N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
       E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP
       i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
       * – candidate default, U – per-user static route, o – ODR
       P – periodic downloaded static route
       
Gateway of last resort is not set
  10.0.0.0/24 is subnetted, 1 subnets
C 10.1.10.0 is directly connected, FastEthernet0/0.10
  172.16.0.0/24 is subnetted, 1 subnets
C 172.16.20.0 is directly connected, FastEthernet0/0.20
C    192.168.30.0/24 is directly connected, FastEthernet0/0.30
Router#

Из таблицы маршрутизации следует, что сети 10.1.10.0, 172.16.20.0 и 192.168.30.0 являются непосредственно присоединенными. Поэтому маршрутизатор способен обеспечить маршрутизацию между сетями.

Краткие итоги

1. Сеть VLAN состоит из узлов, объединенных единственным широковещательным доменом, который образован приписанными к виртуальной сети портами коммутатора. Широковещательные передачи снижают безопасность информации.
2. Для функционирования VLAN необходимо на коммутаторе сконфигурировать все виртуальные локальные сети и приписать порты коммутатора к соответствующей сети.
3. Трафик между VLAN обеспечивается маршрутизацией, т. е. общение между узлами разных виртуальных сетей происходит только через маршрутизатор.
4. Управление виртуальными сетями VLAN реализуется через первую сеть VLAN 1 и сводится к управлению портами коммутатора. Администраторы обычно изменяют номер сети по умолчанию для повышения безопасности.
5. Каждой виртуальной сети при конфигурировании должен быть назначен IP-адрес сети или подсети с соответствующей маской и шлюзом.
6. При построении сети на нескольких коммутаторах необходимо выделить дополнительные порты для объединения портов разных коммутаторов, приписанных к одноименным виртуальным сетям.
7. При обмене данными между коммутаторами в заголовок добавляется уникальный идентификатор кадра – тег (tag) виртуальной сети, который определяет членство VLAN каждого пакета.
8. Маркировка (Frame tagging) используется для обмена информацией сетей VLAN между коммутаторами.
9. Совокупность физических каналов между двумя устройствами может быть заменена одним агрегированным логическим каналом, получившим название транк (Trunk).
10. При транковых соединениях на интерфейсе маршрутизатора формируются несколько субинтерфейсов (по количеству виртуальных сетей).
11. Конфигурирование виртуальных сетей сводится к назначению портов коммутатора на каждую виртуальную локальную сеть VLAN.
12. Приписать интерфейсы к созданным виртуальным сетям) можно, используя пару команд switchport mode access, switchport access vlan №.
13. Для создания транкового соединения на интерфейсе коммутатора используется команда switchport mode trunk.
14. Состояние виртуальных сетей и интерфейсов коммутатора можно посмотреть по команде sh vlan brief.

Вопросы

1. Для чего создаются виртуальные локальные сети? Каковы их достоинства?
2. Как связываются между собой VLAN и порты коммутатора?
3. Как обеспечивается общение между узлами разных виртуальных сетей?
4. Как обеспечивается управление виртуальными локальными сетями?
5. Можно ли построить VLAN на нескольких коммутаторах? Как это сделать?
6. Для чего служит идентификатор кадра (tag)? Где он размещается?
7. Что такое транк? Как он создается на коммутаторе и маршрутизаторе?
8. Какие команды используются для назначения VLAN на интерфейсы?
9. Какие команды используются для создания транковых соединений?
10. Какие команды используются для верификации VLAN?

Упражнения

1. Сконфигурируйте две виртуальных локальных сети на двух коммутаторах, используя транковые соединения.
2. Обеспечьте межсетевое взаимодействие.

Заключение

Среди проблем в области сетевых технологий важное место занимают переподготовка кадров и обеспечение информационной безопасности. Это обусловлено повсеместным переходом аналоговых и цифровых АТС на использование сетей с пакетной коммутацией, а также ростом угроз несанкционированного доступа. В связи с переходом на сети с пакетной коммутацией в настоящее время происходит интенсивная переподготовка кадров, работающих в области телекоммуникаций. Требования знания основ создания защищенных сетей работодатели предъявляют и к поступающим на работу студентам.

Существующая в настоящее время система защиты информации при передаче по сети не в полной мере удовлетворяет требованиям по предотвращению несанкционированного доступа. Поэтому происходит постоянный поиск путей и способов создания конкретных аппаратно-программных средств и комплексов в рамках системы обеспечения информационной безопасности. Знание и учет особенностей построения и функционирования сети, конкретных стандартов и протоколов является основой успешного решения этой задачи.

Автор надеется, что материал настоящего учебного пособия представлен в доступной форме, что облегчит читателям задачу овладения технологиями современных сетей. Слушатели курсов и студенты, освоившие технологии виртуальных локальных сетей и конфигурирование сетевых фильтров (списков доступа), смогут эффективно создавать защищенные сети, как локальные, так и распределенные.

Предоставляемые слушателям локальной академии Cisco учебные материалы и программные имитаторы функционирования сети даются на английском языке, что затрудняет их изучение и не позволяет применять их для обучения студентов в государственных вузах. Изучение сетевых технологий с использованием данного учебного пособия поможет студентам, слушателям курсов повышения квалификации и слушателям локальной академии Cisco легче адаптироваться к учебному процессу и полноценно освоить конфигурирование аппаратуры Cisco.