فصل پنجم
Vlan ها و ايمني پورت
شبكه هاي سويچی
- توپولوژي شبكه محلي قديمي
- سويتچ ها و هاب هاي متصل شده به ند پاياني
- روند هاي متصل به سويتچ بدنه اصلي را فراهم مي كنند
- جداكردن چندبخشي ها و Collision domain به دو قسمت
- ولي روترها اخيرا اضافه شده اند!با توجه به اینکه شبكه ها بزرگتر شدن
اضافه هاي اخير(Adding latency)
- سوییچ ها لایه 2 وسایل شبکه هستند.
- هدايت اطلاعات مبني بر لايه 2 و MAC آدرس
- روترها، لايه 3 در وسايل شبكه
- هدايت اطلاعات مبني بر لايه 3 و IP آدرس
- سويیچ ها مي توانند بهتر پهناي باندرا تعیین كنند.
- هاب هاي ناخواسته كه ترافیک Broadcastدر همه پورتها ندارند، ولي خطاي هر كامپيوتري به پورت را نگه مي دارد.
محدوديت شبكه متحد قديمي
- ند هاي پاياني كه به سويیچ متصل هستند.
- تعداد زيادي از سويتچ هاي متصل شده به روند ها
- روتر ها نياز دارند كه متد زيادي از پاكت ها رامسیر یابی كنند.
- ند هاي پاياني نياز دارند كه به طور فيزيكي به سويتچ متصل شوند
- ندهای پایانی باید در 100متری یا نزدیکتر به سوییچ باشند.
- دورتر از اين قسمت سوييچ نمي تواند براي محدود كردن انتشار و يا domain هاي تصادفي باشد.
- اگر شما نتايج تحقيقات آزمايشگاه را و روابط عمومي روي سوييچ مشابه را داشته باشيد.
- شما نمي توانيد ساختمان كامپيوترها در یک ناحیه وسیع، مانند تحقيقات علمي آزمايشگاه كامپيوتر ميان فضاي نمايشگاه راجدا کنید.
شبكه سوييچ ايده آل
- سوييچ ها اتصال دروني با سوييچ هاي مداري ATM بدنه دارند.
- ولي حالا يك مدار وسيعي از domain تصادفي ( collision) هست.
- شبكه سوييچ شدة فيزيكي كه به طور منطقي قسمت شده.
- یک دستةجديد ازdomainهای broadcastرا درمیان سوييچ ها بوجود آمده اند.
- اجازه مي دهد ماشين ها روي قسمت هاي مختلفLAN فيزيكي طوری رفتار کنند که انگار قسمتی از یک سگمنت مشابه هستند.
LAN نمونه
- اين جا یک ساختمان سه قسمتي است كه در هر طبقه سه كامپيوتر وجود دارد.
- این سه ساختمان به طور غریبی تقسیم بندی شدهاند,انگار که یک کامپیوتر از هر طبقه,3/1 ساختمان را تشکیل میدهد.
- ما حالا باید كامپيوترها را از هر طبفه به مكان درست انتقال مي دهيم.بنابر اين ما مي توانيم از هاب ها استفاده كنيم.
- یک شغل خیلی خسته كننده و مضحک براي مدیر شبكه است.(صبر کنید وارد آن بشین...).
LAN نمونه در یک Vlan
-
با استفاده از سوييچ ها ما مي توانيم كامپيوتر را به طبقه هاي مختلف به Vlan1وVlan2 و 3Vlan ارجاع دهيم.
- حال,به طور منطقی,
ساختمان در سراسر 3 طبقه پخش میشود حتی اگر آنها به طور فیزیکی در طبقات مختلف واقع شده باشند.
چرا از VLAN استفاده می کنیم؟
- مقدار محدوديت براي اطمينان از اينكه تنها كامپيوترهاییکه قسمتی از Vlan هستند مي توانند با آن مرتبط باشند را بوجود می آورند.
- (اطمينان بيشتر مي تواند با دنبال کردن بهترين اجرای تمرينات ,ciscoبدست آید).
- بالا بردن کارایی شبكه اصلی بدون آهسته کردن اشتراك ديگر كاربراني كه از شبكه استفاده میکنند.
- محدوديت گيرنده از ترافیک .broadcast
- تراكم كمتر.
- اجازه مديريت شبكه ساده تر.
بر چسب گذاری VLAN
- برای راه اندازی مجموعه پاكت هاي یک Vlan مخصوص ، برچسب اضافه میشود.
- -802.1Q افزودن 32بیت برچسب Vlan (ناحیه) درون قاب Ethernetبعد از تيتر Ethernet.
12 بيت كه به Valn ID واگذار شده.
- سناريو معمولي
- پكت سوييچ را از منبع Host وارد مي كند.
- برچسب به سوييچ اصلی اضافه میشود(حتي اگر هيچ شاخه اصلي نباشد).
- گرفتن روند براي پورت مخصوص.
- برچسب برداشته شده.
- پكت معمولي به Host مقصد فرستاده میشود.
چه طور پكت ها دریک Vlan جا به جا مي شوند؟
- سه مدل اصلی کنترل اینکه پکتها چگونه در یک سوییچ VLANمسیریابی میکنند.
- بر اساس پورت.
• مدیر شبکه یک پورت روی یک سوییچ را به یک VLANIDواگذار میکند.
• لازم است به طوری دستی در سوییچ وارد شود,بنابر این اگر کامپیوتر جابجا شود,شما مجبورید تغییرات را به طوری دستی به روز کنید.
• اگر یک repeater به پورت متصل شود,همة کاربرهای repeater باید در VLANمشابه باشند.
- بر اساس MAC آدرس
• سوییچ یک جدول از آدرسها را در بر دارد و آنها بر اساس عضویت VLANهستند.
• نگه داشتن قسمتهایی از کامپیوتر که جابجا شده اند,آسان است.
• می تواند,اما نه براحتی,قسمتی از VLANهای چندگانه شود.
- بر اساس لایه 3
• عضویت بر اساس پروتکلها و آدرسهای لایه 3 برقرار شده.
• نمونه:یک IPزیر شبکه میتواند شبکه VLAN یا IPXباشد.
• میتواند از پروتوکلهای بدون مسیریابی مانند NetBIOS بجای IPیاIPX استفاده کند.
چگونه عضويت Vlan معين مي شود؟
- برچسب زدن با بسته ها به طور داخلي و بين شاخه هاي اصلي.
- بر چسب وقتي اضافه مي شود كه بسته از سوئيچ مي رسد.
- بر چسب وقتي برداشته مي شود كه بسته به مقصد در سوئيچ مشابه برسد.
- در يك شاخه اصلي : بدون شرط و واضح
- عضويت بدون شرط ، معين شده بوسيله MAC آدرس.
• همه سوئيچ هايي كه از يكVLANپشتيباني مي كنند بايد يك جدول از آدرسهابه اشتراك بگذارند.
- برچسب واضح به بسته اضافه مي شوند تا عضوت VLANرا معين كنند.
• بوسيله Cisco ISL و 802.1Q استفاده مي شود.
پروتكل VTP-VLAN Trunking
- : ISL-Pre-802.1q شاخه پروتكل سوئيچ داخلي اختصاص Cisco.
- VTP : پروتكل مديريتي كه خط هاي اصلي(Trunks-Lines) را فرا مي گيردISL,802.1q por,LANE,etc)) .
- براي Vlan مديريتي يك Domain جديد از سوئيچ ها درست مي شود.
- يك تغيير بدهيد بگذاريد VTP درباره گستردن تنظیمات در طول سوئيچ های اتصال دروني نگران باشد.
ايمني پورت
- بلوكه كردن دسترسي MAC آدرس هاي غيرمجاز به پورت ها را, فعال مي كند.
- سوئيچ ها مي توانند سپس ايمني آن پورت ها را بازبيني كنند.
- پيغام خطا ممكن است به يك مدير شبكه آنجايي كه حركات مقتضي بايد اتخاذ شود، فرستاده شود.
ايمني پورت براي سازمان Cisco
- ورودي در يك پورت بلوكه مي كند اكر MAC آدرس با MAC آدرس واگذار شده به پورت متفاوت باشد.
- اجازه مي دهد يك ماگزيمم از MAC1024 آدرس ها به MAC آدرس پيش فرض براي هر پورت اضافه شوند.
- پيكر بندي دستي يا اتوماتيك.
- پيكر بندي ذخيره شده در RAM بازگردان (Non-volatile).
- قادر است يك طول عمر در مدتي كه پورت امن است، مشخص كند، بعد از اينكه زمان تمام شد، پورت غير امن مي شود.
- تنظیم پيش فرض: پورت ها به طور هميشگي ايمن شده اند.
- يك MAC آدرس كوشنده كه از MAC آدرس ايمن روي پورت متفاوت است به عنوان تخلف ا منيتي در نظر گرفته مي شود.
- بعد از يك تخلف امنيتي ، پورت ها براي خاموش شدن به طور هميشگي، در نظر گرفته شده اند.
- ايمني پورت براي پورت هاي اصلي پشتيباني نشده اند.
كارهاي انجام شده بوسيله پورت :
- خاموش شدن به طور هميشگي
- خاموش شدن براي يك دوره از زمان (اگر خاموش شود، Link Down Trap حبس شده به SNMP فرستاده مي شود).
- فعال شده اما بسته ها را از ميزبان هاي غير امن مي فرستد.
ايمني پورت براي HP Procurve 400m
- براي هر پورت يكي يا هر دو، مطالب زير مي توانند پيكر بندي شوند.
- آدرس هاي مجاز- معين كردن بالاي MAC 8 آدرس براي ترافيك دروني اجازه داده شده است.
• پورت ها را براي هر وسيله غير مجاز مي بندند.
- جلو گيري از استراق سمع : ترافيك خروجي را براي آدرس هاي مقصد نا شناخته بلوكه ميكند.
- وقتي كه يك تخلف ا منيتي رخ داده است.
- يك پرچم خطا براي آن پورت قرار مي گيرد.
- یک خطای SNMPبه مدیر سیستم شبکه می فرستد.
ايمني پورت براي HP Procurve 4000m
- ايمني پورت براي خاموش در نظر گرفته شده است.
- پارامتر هاي پيكربندي
- پورت- پورت براي فعال كردن ايمني پورت
- دانستن مد:
• پيوسته(پيش فرض)- پورت در باره MAC آدرس ها از ترافيك دروني ياد مي گيرد و آدرس هاي خارج شده از طول عمر.
• ساكن يا Static –به طور دستي به Mac 8 آدرس وارد مي شود.
- محدوديت آدرس – تعداد آدرس ها براي اجازه دادن.
• يك پيش فرض است و 8 ماگزیمم است.
- جلوگیری از استراق سمع.
• فعال- به ترافیک خارج از محدوده به مقصد MAC آدرس معین اجازه میدهد.
- عمل
• هیچ(پیش فرض)- هیچ خطایی فرستاده نمیشود.
• فرستادن هشدار- خطای SNMPبه مدیر سیستم شبکه می فرستد.
- آدرسهای مجاز
• لیست MAC آدرسهای اجازه داده شده.
علاقه مندی ها (Bookmarks)