Можна про vlan - на пальцях

  • HP
  • Мережеве адміністрування

Приступаю до переведення звичайної плоскої мережі на VLAN
Мета - ну, наприклад, щоб користувач не расшарівать свої папки. Та багато чого, в основному по секьюрності.

є:
1. піддослідний свитч HP 2610, вміє ажно до 256 vlan`ов.
2. парочка ПК, з якими можна експериментувати
3. ну і робоча сітка

Але в голові - каша.

Можете підказати матеріал або пояснювати на пальцях?
1. Vlan бувають транкові і немає. У чому різниця, навіщо? Може, ще які бувають?
2. Залізка на пакети вішає ярлик vlan`а, вірно? Там айдішнік і таке інше. Інша залізяка бере цей айдішнік і порівнює зі своїми, вірно? Значить, vlan`и на двох залозках повинні мати однакові айдішнікі?
3. Іноді бачу, що треба налаштовувати додатково і самі ПК. Навіщо? Начебто все залізяки робити повинні.

Ну і ось такий приклад.
Є ПК 1,2,3. 1 - це адмін. Є файлова смітник 4.
Беремо і робимо vlan`и з портами:
vlan1 - 1,2,3,4 - це щоб адмін міг адмін
vlan2 - 2,4 - це комп 2 щоб користувався файлопомойка
. але в такому випадку той же 3 бачитиме все? Він же входить в vlan1.

1. Vlan бувають транкові і немає. У чому різниця, навіщо? Може, ще які бувають?
Транковий Вілан (точніше, транковий порт) додає до кожного вихідного і читає з вхідного тег, який складається з 2 байт, максимальна кількість віланов там - 4096. З цього тегом обладнання визначає приналежність пакета до тієї чи іншої віртуальної мережі. Так само порт може бути налаштований так, що в нього "виходять" пакети, що належать певним Віланов, але виходять вони вже БЕЗ тега, а комутатор просто знає, що пакети цього порту будуть належати такому-то Віланов. Це називається "без тега, але в Віланов". )

2. Залізка на пакети вішає ярлик vlan`а, вірно? Там айдішнік і таке інше. Інша залізяка бере цей айдішнік і порівнює зі своїми, вірно? Значить, vlan`и на двох залозках повинні мати однакові айдішнікі?
Інша ситуація - є лінк між комутаторами, і потрібно щоб один і той же Вілан був бачимо на обох комутаторах - тоді вішаємо на пакети тег і відправляємо їх туди. За тегами, знову ж таки, буде визначена приналежність трафіку, і він буде правильно розділений. Звичайно, в цьому випадку ID одного і того ж Віла повинен бути однаковий на обох комутаторах, інакше пакети просто загубляться (не вдаючись у подробиці). Ну і таким чином через один лінк можна передавати будь-яку кількість віланов, в межах 4096 і потужності обладнання.

3. Іноді бачу, що треба налаштовувати додатково і самі ПК. Навіщо? Начебто все залізяки робити повинні.
Все вірно. В разі встановлення, що "порт належить 3-му Віланов без тега" - ПК побачить цей пакет без тегів і навіть нічого не запідозрить, без всяких милиць і танців з бубном, але всередині комутатора він буде явно виділений у Віла. Якщо ж необхідно надіслати на ПК, наприклад, кілька віланов на одну мережеву карту (про всяк випадок, обмеження якісь), то можна один Вілан послати без тега (хоч і не обов'язково), а решта - в тезі. У цьому випадку потрібні дрова на мережеву карту, які підтримують Віла, і з їх допомогою будуть створені віртуальні інтерфейси по одному на кожен тегірованний Вілан. Їх кількість визначається Вашої налаштуванням (додається Вілан -> з'являється інтерфейс).

Щоб народ, що знаходиться в різних Віланов, бачив один одного, необхідно, щоб в обох Віланов висіло по одному інтерфейсу роутера (в найпростішому випадку - одного і того ж роутера) в якості шлюзу, і роутер вже буде переправляти трафік між Віланов і подсетями. Ну а далі на роутері можна і безпеку накрутити, тому що єдина точка "переходу" трафіку між Віланов - буде цей роутер. Без цього роутера ПК в різних Віланов один одного не побачать.

11. Так, приставка "un" - щось на зразок "не". Без тега може бути тільки один Вілан, тому що інакше буде незрозуміло, який трафік яким Віланов мітити
12. Щоб ПК розумів трафік з тегом, йому потрібно вміти обробляти мітки на рівні драйверів. Якщо він це не вміє - тегірованний трафік він не побачить. Але можна вказати, що в 1 і 2 Порт-Віла №1 без тега, а в 3 і 4 портах - Вілан №2 без тега, і комп'ютери, вставлені в 1 і 2 порт будуть бачити один одного, але ніяк не побачать тих, хто вставлений в 3 і 4 порти. Ну і навпаки. Сам же тег потрібен ТІЛЬКИ тоді, коли по одному порту треба відправити 2 і більше віланов. Просто щоб не плуталися.
13. Технологія віланов стандартизована (802.1q) і будь-яке обладнання, яке вміє Віла, сумісно з іншим обладнанням, яке теж їх вміє. Не важливо, який виробник, головне, щоб у Віла office2 був якийсь ID, який був однаковим _на обоіх_ комутаторах. Ну і з boss та ж пісня.
14. Ти сам задаєш, які Віла і як буде видно на порту. Якщо ти вказав, що на порт виходить тільки 15-й Вілан, то зловмисник, підключений до цього порту, не отримає доступ ні в 3-й Вілан, ні в 500-й, ні в який, крім 15-го. Якщо звичайно зловмисник знатиме логін / пароль від комутатора, він може подивитися які там Віла, потрібні вивести в свій порт, і тільки після цього отримати до них доступ. Але це вже проблема ізоляції інтерфейсу управління.
15. Ні. Якщо в різних Віланов буде однакова підмережа, то комп'ютери з цих віланов ніколи не побачать один одного між Віланов. Різні підмережі використовуються тільки для того, щоб можна було "потрапити" один до одного через маршрутизацію, тому що при різних мережах не буде ніяких конфліктів. Загалом, однакові мережі створюють багато проблем :)

з п.15 треба буде ще подумати і розібратися, але сподіваюся, що сам зможу.
Коротко - потрібно все ж розділяти (поки не зрозумів навіщо, якщо чесно).

Незрозуміло ще "ніколи не побачать один одного між Віланов, якщо в одній підмережі". За ідеєю їх же і ділять щоб вони не бачили. Ні? В яких випадках може тоді бути потрібна ця маршрутизація? І як вона буде працювати, якщо Віла-то різні? Аль потрібен роутер, який буде входити в ці різні Віла?

Будь ласка, обрисуйте що потрібно, щоб було, припустимо, 3 Віла - порти 11 + 12, 21 + 22 і 31 + 32, але при цьому був якийсь порт 40, де буде комп адміна, який матиме возможнсть "ходити" усюди.
Я хочу зрозуміти - його треба буде включати в усі Віла? Або створювати якийсь окремий?

Розподіл мережі на Віла робиться далеко не тільки, щоб вони "не бачили" один одного. Насправді ця "невидимість" лише один з ефектів. По суті, 2 vlan працюють в точності як 2 різних некерованих свіча, НЕ з'єднані Парч-кордом, в які підключені різні комп'ютери. В одному свіч живе підмережа, скажімо, 192.168.0.0/24, в іншому - 192.168.1.0/24. Що потрібно, щоб бути одночасно в 2х мережах? Є 2 варіанти:

2. Поставити роутер, увіткнути в нього 2 патч-корду з тих свічів, в одній мережі дати йому айпішник, наприклад, 192.168.0.1, в іншій - 192.168.1.1, після цього - на всіх компах прописати шлюзом цей роутер (звичайно ж той айпішник, який відповідає мережі компа), і через роутер ці 2 підмережі будуть успішно спілкуватися і бачити один одного. А далі вже можна перекручуватися: додати мережу 192.168.3.0 і стрибнути туди своїм адмінській компом, і знову ж таки радіти :)

Так ось, описуючи ці ситуації Віланов, а не на свіча - перший варіант - це тегованих Віла на одну мережевої адміна (або 2 нетегірованних порту патчами з одного свіча на 2 мережевої адміна), а другий варіант - просто 1 нетегірованний лінк з окремою (. 3.0) підмережею, коли на свіч налаштовані IP інтерфейси в кожному з віланов. Але тут є підводний камінь: свіч сам повинен вміти L3 крім L2, щоб мати можливість створювати маршрутизовані інтерфейси в декількох Віланов, інакше він буде вміти тільки Віла без інтерфейсів, а об'єднувати їх доведеться зовнішнім роутером!
По суті в прикладі з свіча те ж саме, тільки фізично реалізація різна :)

Другий варіант в кілька разів краще, але тягне за собою необхідність настройки фаєрвола на цьому роутере. Комп'ютери в межах свіча звичайно завжди будуть бачити один одного, але якщо не треба, щоб мережа 192.168.0.0/24 не бачила 192.168.1.0/24 - на роутер створюється правило виду "deny 192.168.0.0/24 192.168.1.0/24" і в іншу сторону, вішається на один або обидва інтерфейсу, і мережі один одного бачити перестають, однак адмін в мережі 192.168.3.0 їх прекрасно бачить, і вони бачать адміна.
У першому варіанті звичайно можна зробити подібний ефект, але це треба налаштовувати на компі адміна функції роутера, а це вже зовсім інші нетрі.

> "Будь ласка, обрисуйте що потрібно"
Ось, в принципі все це поєднується інтерфейсами роутера і налаштуванням шлюзів, і за замовчуванням буде дозволений будь-який трафік. Залишається просто подумати, хто що не повинен робити, і правилами фаервола (зазвичай в комутаторах називаються Access-list) позапрещать все що не треба.

> 3 Віла - порти 11 + 12, 21 + 22 і 31 + 32, але при цьому був якийсь порт 40, де буде комп адміна, який матиме возможнсть "ходити" всюди
Гаразд, розпишу :)
port 11,12 - vlan 100 untagged
port 21,22 - vlan 101 untagged
port 31,32 - vlan 102 untagged
port 40 - vlan 103 untagged

На Віланов всередині комутатора (якщо вміє L3):
vlan 100 - interface 192.168.0.1/24
vlan 101 - interface 192.168.1.1/24
vlan 102 - interface 192.168.2.1/24
vlan 103 - interface 192.168.3.1/24

ACL:
deny ip 192.168.0.0/24 192.168.1.0/24
deny ip 192.168.0.0/24 192.168.2.0/24
deny ip 192.168.0.0/24 192.168.3.0/24
deny ip 192.168.1.0/24 192.168.0.0/24
deny ip 192.168.1.0/24 192.168.2.0/24
deny ip 192.168.1.0/24 192.168.3.0/24
deny ip 192.168.2.0/24 192.168.0.0/24
deny ip 192.168.2.0/24 192.168.1.0/24
deny ip 192.168.2.0/24 192.168.3.0/24
deny ip 192.168.3.0/24 192.168.0.0/24
deny ip 192.168.3.0/24 192.168.1.0/24
deny ip 192.168.3.0/24 192.168.2.0/24

ці правила забороняють ходіння всього трафіку між Віланов 100, 101 і 102 (зауваж, в правилах вказуються не Віла, а підмережі, з яких вже в процесі обчислюються Віла!), але не забороняють всім взаємно бачити адміна в 4-й підмережі, т. к. немає правил, що забороняють це.
P.S. номера віланов і мережі взяті від балди, а взагалі можуть бути будь-якими в доступних межах.

Але ж можна завести порт адміна в усі нетегірование Віла і просто дати мережевої по IP-адресою у всіх подсетях, так?
Я наполегливо думаю над способом викрутитися з ситуації, не обрізаючи мережу на підмережі - а то доведеться думати над поштовиком, документообігом, бекапом, файлопомойка і так далі. Звичайно, їх можна виділити в різні підмережі і дозволити трафік.

Я, до речі, правильно зрозумів, що якщо на Віланов не ставити айпішники - то бачити один одного ніхто не зможе?

Ось що не дає спокою.
А якщо буде так:
port 11,12,40 - vlan 100 untagged
port 21,22,40 - vlan 101 untagged
. і не буде поділу на підмережі. то порт 40 бачитиме і тих і тих, а решта - тільки сусіда і 40-му, вірно?
Свитч в цьому разі розбереться де хто знаходиться, якщо все в одній підмережі?

І ось ще така непонятка.
Ось зробив я Вілан на 2 порти. Решта порти не в Віланов. В такому випадку у мене (для простоти) все одно типу-два-світча (вила й все інше)?

> Завести порт адміна в усі нетегірование Віла
Нетегірованний Вілан на порту може бути _только одін_, інші повинні бути з тегом. Інакше як вхідний на порт трафік розділити по Віланов? Потрібно або кілька мережевої (для untagged), або одна з підтримкою віланов (для tagged).

> Я наполегливо думаю над способом викрутитися з ситуації, не обрізаючи мережу на підмережі
Простого варіанту цього домогтися немає. Або розділяти на підмережі, або фільтрувати трафік на обладнанні, яке це вміє, але для цього потрібно, щоб все комп'ютери і сервери були вставлені в єдину залізяку, і придумувати купу правил, в яких потім легко буде заплутатися

> Якщо на Віланов не ставити айпішники - то бачити один одного ніхто не зможе
Вілан - це вважай окреме відокремлений від інших віланов простір. У тупо створеному Віланов може працювати 2-3-4 компа, але якщо потрібно ходити між Віланов або в інет, то доведеться робити шлюз

> А якщо буде так:
Знову ж таки, так зробити просто не вийде, комутатор або не дасть, або ще не були правильно працювати з такою налаштуванням

> Решта порти не в Віланов
Якщо портам не вказано Вілан - вони працювати не будуть, що входять на порт пакети просто наткнуться на порожнечу замість подальшої обробки. Потрібно, щоб хоч щось було. На скинутому за замовчуванням комутаторі всі порти знаходяться в 1-м Віланов, тому і працюють з коробки

Схожі статті