1.4 Віртуальні локальні мережі vlan.

VLAN (аббр. Від англ. Virtual Local Area Network) - логічна ( "віртуальна") локальна комп'ютерна мережа, представляє собою групу хостів із загальним набором вимог, які взаємодіють так, як якщо б вони були підключені до широкомовного домену, незалежно від їх фізичного місцезнаходження. VLAN має ті ж властивості, що й фізична локальна мережа, але дозволяє кінцевим станціям групуватися разом, навіть якщо вони не знаходяться в одній фізичній мережі.

VLAN можуть бути налаштовані на комутаторах, маршрутизаторах, інших мережевих пристроях.

Переваги:

1 - Полегшується переміщення, додавання пристроїв і зміна їх з'єднань один з одним.

2 - Досягається велика ступінь адміністративного контролю внаслідок наявності пристрою, який здійснює між мережами VLAN маршрутизацію на 3-му рівні.

3 - Зменшується споживання смуги пропускання в порівнянні з ситуацією одного широкомовного домену.

4 - Скорочується невиробниче використання CPU за рахунок скорочення пересилання широкомовних повідомлень.

5 - Запобігання широкомовних штормів і запобігання петель.

Налаштування комутатора:

1. Створення vlan

Можна робити або з допомогою графічного інтерфейсу (рис.2 ), або командами

Switch(config)#vlan (номер)

Switch(config-vlan)#name subnet_10

2. Присвоєння адреси

Switch1(config)#interface vlan (номер)

Switch1(config-if)ip add «ІР адреса» «маска»

Рис.2 Перелік VLAN

3. Налаштування інтерфейсів

Рис.3 Налаштування режимів інтерфейсів

Для організації магістралі обміну між комутаторами (або з роутером) використовується режим trunk.

Для налаштування кількох інтерфейсів одночасно:

Switch(config)#interface range fastEthernet 0/1-3

Для налаштування взаємодії між комутатором і роутером виконати на роутері налаштування:

Interface FastEthernet0/1. «номер vlan

encapsulation dot1Q «номер vlan

Ip address «ір адреса» « маска »

1.5 Списки управління доступом acl (Access Control List).

Списки доступу дозволяють створювати правила управління трафіком, за якими буде відбуватися межсетевое взаємодія як в локальних, так і в корпоративних мережах.

Існує шістнадцять типів списків доступу, але найбільш часто використовуються два типи: standart - стандартні (номера з 1 по 99) і extended - розширені (номера з 100 по 199 або з 2000 по 2699). Відмінності між цими двома списками полягають в можливості фільтрувати пакети не тільки за IP - адресою, а й за іншими різними параметрами.

Стандартні списки обробляють тільки IP адреси джерел, тобто шукають відповідність тільки за IP адресою відправника. Розширені списки працюють з усіма адресами корпоративної мережі і додатково можуть фільтрувати трафік за портами і протоколами.

Робота списку доступу безпосередньо залежить від порядку проходження рядків у цьому списку, де в кожному рядку записано правило обробки трафіку. Проглядаються всі правила списку з першого до останнього, але перегляд завершується, як тільки було знайдено першу відповідність, тобто для пакету, що прийшов було знайдено правило, під яке він підпадає. Після цього інші правила списку ігноруються. Якщо пакет не підпав під жодне з правил, то включається правило за замовчуванням:

access-list номер_списка deny any

яке забороняє весь трафік по тому інтерфейсу мережевого пристрою, до якого даний список був застосований.

Для того, щоб почати використовувати список доступу, необхідно виконати наступні три етапи:

1 - створити список;

2 - наповнити список правилами обробки трафіку;

3 - застосувати список доступу до інтерфейсу пристрою на вхід або на вихід цього інтерфейсу.

Етап перший - створення списку доступу:

Стандартний список:

Switch3 (config) #ip access-list standart 10

(Створюється стандартний список доступу під номером 10, в даному випадку створюється на комутаторі)

Розширений список:

Router1 (config) #ip access-list extended 100

(Створюється розширений список доступу під номером 100, в даному випадку створюється на маршрутизаторі).

Етап другий - введення правил в список доступу:

Кожне, правило в списку доступу стримає три важливі елементи:

1 - число, яке ідентифікує список при зверненні до нього в інших частинах конфігурації маршрутизатора або комутатора третього рівня;

2 - інструкцію deny (заборонити) або permit (дозволити);

3 - ідентифікатор пакета, який задається по одному з трьох варіантів:

- Адреса мережі (наприклад 192.168.2.0 0.0.0.255) - де замість маски підмережі вказується шаблон маски підмережі;

- Адреса хоста (host 192.168.2.1);

- Будь-яка IP адреса (any).

Приклад стандартного списку доступу №10:

access-list 10 deny host 11.0.0.5

access-list 10 deny 12.0.0.0 0.255.255.255

access-list 10 permit any

У цьому списку:

- Заборонений весь трафік хосту з IP адресою 11.0.0.5;

- Заборонений весь трафік в мережі 12.0.0.0/8 (в правилі вказується не реальна маска підмережі, а її шаблон);

- Весь інший трафік дозволений.

В розширених списках доступу слідом за зазначенням дії ключами permit або deny повинен знаходитися параметр з позначенням протоколу (можливі протоколи IP, TCP, UDP, ICMP), який вказує, чи повинна виконуватися перевірка всіх пакетів IP або тільки пакетів з заголовками ICMP, TCP або UDP . Якщо перевірці підлягають номера портів TCP або UDP, то повинен бути зазначений протокол TCP або UDP (служби FTP і WEB використовують протокол TCP).

При створенні розширених списків в правилах доступу можна включати фільтрацію трафіку за протоколами і портами. Для зазначення портів в правилі доступу вказуються такі позначення (таблиця 2):

Таблиця 2

Позначення	Дія
lt n	Всі номери портів, менші за n.
gt n	Всі номери портів, більші за n.
eq n	Порт n
neq n	Всі порти, за винятком n.
range n m	Всі порти від n до m включно.

Поширені додатки і відповідні їм стандартні номери портів приведені в наступній таблиці

Таблиця 3.

Номер порту	Протокол	Додаток	Ключове слово в команді access_list
20	TCP	FTP	data ftp_data
21	TCP	Управление сервером FTP	ftp
22	TCP	SSH
23	TCP	Telnet	telnet
25	TCP	SMTP	Smtp
53	UDP, TCP	DNS	Domain
67, 68	UDP	DHCP	nameserver
69	UDP	TFTP	Tftp
80	TCP	HTTP (WWW)	www
110	TCP	POP3	pop3
161	UDP	SNMP	Snmp

Приклад розширеного списку доступу №111:

Заборонити трафік на порт 80 (www-трафік)

ip access-list 111 deny tcp any any eq 80

ip access-list 111 deny ip host 10.0.0.15 host 12.0.0.5

ip access-list 111 permit ip any any

interface ethernet0

Застосувати список доступу 111 до вихідного трафіку

ip access-group 111 out

У цьому списку зовнішні вузли не зможуть звертатися на сайти внутрішньої мережі, тому що список доступу був застосований на вихід (для зовнішніх вузлів) інтерфейсу, а також вузлу 10.0.0.15 заборонений доступ до вузла 12.0.0.5

Решта трафіку дозволено.

Етап третій - застосування списку доступу.

Списки доступу можуть бути використані для двох типів пристроїв:

1 - на маршрутизаторі;

2 - на комутаторі третього рівня.

На кожному інтерфейсі може бути включено два списки доступу: тільки один список доступу для вхідних пакетів і тільки один список для вихідних пакетів.

Кожен список працює тільки з тим інтерфейсом, на який він був застосований і не діє на інші інтерфейси пристрою, якщо він там не застосовувався.

Однак один список доступу може бути застосований до різних інтерфейсів.

Застосування списку доступу до пристрою здійснюється наступними командами: