Cum de a diviza subretea de rețea, setevichok dvs.
Una dintre sarcinile „clasice“ sysadmin este necesitatea unei singure întreprinderi pentru a partaja o singură rețea fizică în mai multe virtuale - pe motive de apartenență la o divizie, departament, VIP-uri, etc. Chiar dacă folosiți un server de router și firewall-ul cu sistemul de operare Linux, realizează tehnologia «IP-alias», nu poți fi sigur de siguranța lor la 100%.
Faptul că tehnologia de mai sus permite aceeași interfață de server pentru a acționa ca gateway-uri pentru mai multe subrețele diferite, dar nu se poate proteja rețeaua de la ascultarea de trafic.
Și motivul pentru care este simplu - utilizatorii din diferite departamente vor fi în același domeniu de difuzare, ca parte a comutatorului, chiar dacă subrețea va fi diferit.
Separarea prin LAN vlan
Pentru a rezolva această problemă folosind tehnologia VLAN (Virtual Local Area Network), vă permite să partiție în mod logic, o rețea fizică în mai multe domenii de difuzare disjuncte între ele și îmbunătățind astfel securitatea rețelei. Cu alte cuvinte, VLAN permite subretea și de a crea segmente de rețea separate pe al 2-lea, canal, nivelul de model de sistem de operare I în una sau mai multe comutatoare fizice în rețea.
Cum de a sparge rețeaua de VLAN?
Aici vedem că toate porturile fizice de pe comutator sunt în VLAN implicit 1, respectiv, dispozitivele din spatele lor vzaimodostupny.
Pentru a împărți rețeaua în două subrețele, a crea două noi VLAN: primul pentru a doua PK_1 pentru PK_2:
Verificați pentru a vedea dacă tabelul VLAN a fost actualizat:
După cum se poate observa, ambele VLAN au fost create și starea lor este activă.
Cu toate acestea, porturile fizice nu sunt legate de acest VLAN. Pentru a face acest lucru, efectuați următoarea configurație:
Prima linie după numele interfeței fizice (portul) indică faptul că comutatorul portul este folosit pentru modul de acces - adică, acceptă doar posibil doar VLAN. Există, de asemenea, porturi și trunchi de sprijin de mai multe VLAN diferite, cu o singură interfață fizică - de obicei, acest mod este utilizat între switch-uri sau comutator și router. A doua linie indică care VLAN atribuit acest port fizic.
Să ne uităm acum la VLAN tabel:
După cum puteți vedea, informația este reîmprospătată: Portul PK_1 este în VLAN 10 și portul PK_2 - în VLAN 20. Încercați pentru a verifica disponibilitatea în raport cu fiecare alte calculatoare folosind utilitarul ping este acum:
Astfel, puteți crea un VLAN unic pentru diferite divizii, plasând porturile fizice necesare pentru fiecare dintre ele, făcând distincție între o rețea fizică în segmente logice vzaimonedostupnyh.
Un alt lucru, dacă doriți să pună în aplicare de rutare între diferite subrețele ale VLAN diferite, în parte, prin limitarea disponibilității fiecăreia dintre ele unul pentru celălalt. Acest lucru va necesita instalarea router-ului, care va avea o interfață fizică la un număr de diferite VLAN cu switch-uri din rețeaua dvs. folosind tehnologia TRUNK. În acest caz, router-ul creează un virtuale IP-interfețe care acționează ca gateway-uri de la unitățile subrețele. Pe aceasta ip-interfață este deja posibil să se adauge ACL (lista de control acces), proiectând un fel de firewall care limitează accesul între rețele.
Offline 1:00