Virtual Local Area Network

Сүлжээний гүйцэтгэлийг сайжруулах нэг арга нь броадкаст домайныг багасгах, салгах явдал юм. Рутерийн интерфейс броадкаст домайны урсгалыг хаадаг. Гэсэн хэдий ч LAN сүлжээний интерфейс нь тоотой ба гол зорилго нь сүлжээнүүдийн хооронд мэдээллийг дамжуулах юм. Мөн свич дээр зөвхөн нэг л сүлжээг үүсгэдэг. Иймээс VLAN технологи гарч ирсэн. VLAN гэдэг нь свичтэй сүлжээний дэд бүтцийг олон сүлжээний дунд ашиглах боломжийг олгох буюу нэг физик свичийг логикоор хувааж, олон сүлжээг бий болгох юм. Хэдийгээр нэг физик свич ашиглаж байгаа VLAN бүр нь тус тусдаа сүлжээ болж ажиллана.
Свичтэй сүлжээнд VLAN нь LAN сүлжээн дэхь төхөөрөмжүүдийг зохион байгуулах, бүлэглэх хуваах боломжийг олгодог. Сүлжээний админ VLAN-ийн тусламжтай хэрэглэгч эсвэл төхөөрөмжөө үйл ажиллагаа, төслийн баг хэрэглээ, физик байрлаас нь хамаараад хуваадаг. VLAN-д харъяалагдах ямар нэг свичийн порт нь ижил VLAN-д байгаа хүлээн авагч руу пакетийг unicast, multicast, broadcast-р илгээдэг.
Virtual LAN

VLAN хэрэглэсний давуу тал:  

  • Аюулгүй байдал (Security): Эмзэг өгөгдөлтэй группийг бусад группээс тусгаарлах, нууц мэдээлэлийн алдагдалыг бууруулах.
  • Бага өртөг (Cost reduction) : Зурвасын өргөний бүтээмжийг сайжруулахад шаардагдах өндөр өртгийг багасгадаг.
  • Сайн гүйцэтгэл (Better performance) : Сүлжээг 2-р түвшинд олон логик групп болгож хувааснаар хэрэггүй урсгалыг багасгаж сүлжээний гүйцэтгэлийг хурдасгадаг.
  • Броадкаст домайныг багасгах (Shrink broadcast domain) : Сүлжээг VLAN-д хувааснаар броадкаст домайн дахь төхөөрөмжийн тоог багасгадаг.
  • IT-ийн мэргэжилтний бүтээмжийг нэмэгдүүлэх (Improved IT staff efficiency) : витчүүдийг management VLAN-гаар алсаас удирдахад хялбар.Мөн сүлжээнд шинэ хэрэглэгч нэмэхэд VLAN гуудын тохиргоо хийгдсэн байгаа учир шинээр залгаж байгаа портыг зохих VLAN-д харгалзуулахад л хангалттай.

VLAN-ийн тохиргооны командууд[засварлах | кодоор засварлах]

тохиргоо тайлбар
Switch(config)#vlan [VLAN-ийн дугаар] VLAN-г үүсгэх. [] доторх мэдээлэл нь тогтмол биш. Администратор тодорхойлно.
Switch(config-vlan)#name [VLAN-ийн нэр] VLAN-д нэр өгөх.
Switch(config)#interface [интерфейсийн нэр] [интерфейсийн дугаар] Интерфейсийн тохиргооны дэд горим руу шилжих.
Хэрэв олон интерфейсийг сонгох орох бол:

Switch(config)#interface range [интерфейсийн нэр] [интерфейсийн дугаар]- [интерфейсийн дугаар]

Switch(config-if)#switchport mode access Свичийн портын access горимоор ажиллуулах.
Switch(config-if)#switchport access vlan [VLAN- ийн дугаар] Интерфейсийг VLAN-д хамааруулах. Ингэснээр тухайн интерфейс заасан VLAN-д ажиллана.
Switch#show vlan VLAN-ийн тохиргоог шалгах

VLAN-ийн ангилал[засварлах | кодоор засварлах]

VLAN-г зохион байгуулж буй хэлбэрээр нь:

  1. Статик VLAN
    Статик VLAN гэдэг нь свичийн порт бүр өөрийн ажиллах ёстой VLAN-д харьяалагдсан байна. Тиймээс порт дээр холбогдсон хэрэглэгч тухайн портын харьяалагдсан VLAN-ийн хэрэглэгч нь болно. Статик VLAN-г өөрөөр Port-Based VLAN(Портод суурилсан) гэж нэрлэдэг. Статик VLAN-гийн хувьд хэрэглэгч нь холбогдож байгаа портоос хамаараад тухайн нөхцөлд өөр өөр VLAN-д ажиллах боломжтой.
  2. Динамик VLAN
    Динамик VLAN гэдэг нь порт дээр холбогдох хэрэглэгчийн физик хаягаас(MAC address) шалтгаалан тухайн портыг аль VLAN-д харьяалуулахыг шийддэг. Энэ тохиолдолд свичийн порт холбогдож байгаа хэрэглэгчээс шалтгаалан тухайн нөхцөлд өөр өөр VLAN-д ажиллана. Харин холбогдож буй хэрэглэгчийн хувьд тогтмол нэг VLAN-д харьяалалтай байна.

VLAN-ийн төрөл[засварлах | кодоор засварлах]

Зарим VLAN-ийн төрөл нь урсгалын зэрэглэлийг тодорхойлдог байхад зарим нь үйлчилгээний үйл ажилагааг тодорхойлдог.

  • Data VLAN: Хэрэглэгчээр үүсгэгдсэн урсгалыг зөөхөд тохируулагдсан VLAN. Дуу болон удирдлагын урсгал багтдаг. Гэхдээ дуу болон удирлагын урсгалыг салгах нь зүйтэй.
  • Default VLAN: Свичийн бүх портууд Default VLAN-ий нэг хэсэг нь болдог. Свичийн портууд буюу Default VLAN-ий оролцогчид нь броадкаст домайны нэг хэсэг болдог. Cisco-ийн свичүүдэд Default VLAN нь VLAN1 гэсэн дугаартай байдаг. VLAN1 нь VLAN-ийн бүр онцлог шинжийг агуулсан боловч нэрийг нь өөрчлөх устгах боломжгүй байдаг. Default-р 2-р түвшиний удирдлагын урсгалууд VLAN1-тэй хамтран ажилладаг.
  • Native VLAN: Native VLAN нь 802.1Q trunk port гэж үздэг. Trunk port гэдэг нь нэг VLAN өөр нэг VLAN-ий хамт дамжуулдаг свич хоорондын шугам юм. Trunk port-оор таглагдсан болон таглагдаагүй VLAN-ууд дамжих бөгөөд таглагдаагүй VLAN-г Native VLAN гэдэг. Таглана гэдэг нь Ethernet frame-ийн header-н дунд 4 byte хавсаргадг ба энэ нь аль VLAN-ийн өгөгдөл гэдгийг заадаг.
    VLAN 2,3,4,5-г үүсгэсэн ба бусад нь default-р тохируулагдсан.
  • Management VLAN: Management VLAN нь свичийн хандалтыг удирдах чадвартай. VLAN1 нь default-р Management VLAN юм. Management VLAN үүсгэхдээ свичд виртуал интерфейс үүсгэж IP хаяг, subnet mask өгдөг. Ингэснээр HTTP, Telnet, SSH ба SNMP-р хандах хандалт зөвшөөрөгддөг.
  • Voice VLAN: Voice over IP (VoIP)-г VLAN-с салгах хэрэгтэй. VoIP-д тавигдах шаардлага.
    • Зурвасын өргөнөөр дууны урсгал нь баталгаатай дамжуулагдах
    • Бусад урсгалаас давуу эрхтэй дамжуулах
    • Сүлжээн дэхь ачаалалтай хэсэгээс замчлагдах
    • Сүлжээнд 150ms-ээс илүү саатахгүй байх

VLAN дугаар[засварлах | кодоор засварлах]

VLAN дугаар нь 12 битийн урттай бөгөөд нийт дугаар нь 2 хуваагдана.

  • Normal Range VLANs:
  • 1-1005-ийн хооронд дугаарлагддаг.
  • 1002-1005-ийн хоорондох дугаар нь Token Ring, FDDI Vlan-уудад хамаардаг.
  • 1,1002-1005 дугаарууд нь автоматаар үүсгэгдсэн байдаг ч устгаж болдоггүй.
  • Тохиргоо нь vlan.dat (Flash memory)файлд хадгалагдана.
  • VTP-г дэмжин ажилладаг.
  • Extended Range VLANs:
  • 1006-4096-ийн хооронд дугаарлагддаг.
  • Энгийн дугаарлалтын цөөн хэдэн онцлогийг агуулсан.
  • Тохиргоо нь vlan.dat (Flash memory)файлд хадгалагддаггүй ба default-р running configuration file-д хадгалагддаг.
  • VTP-г дэмжин ажилладаггүй.

VLAN Trunks[засварлах | кодоор засварлах]

VLAN trunk нь OSI-н 2-р түвшины төхөөрөмжүүд хоорондох холболт бөгөөд тухайн холболтоор олон төрлийн VLAN мэдээлэл дамжих боломжтой юм(VLAN-ы жагсаалтыг гараар эсвэл автоматаар хязгаарлаагүй үед ). Trunk холболт идэвхижихэд зэрэгцээ байгаа холболтууд физик байдлаар нэг портон дээр тохируулагддаг. switchport mode trunk команд ашиглаж свичийн портонд trunk холболтыг идэвхижүүлдэг. Портоор Dynamic Trunking Protocol (DTP) дамжихад интерфейсийн холболт trunk холболт шилждэг.

switchport trunk allowed vlan vlan-list: trunk холболтоор тодорхойлсон VLAN-ын мэдээлэл дамжих тохиргоо.
switchport trunk native vlan vlan-id: Тодорхойлсон VLAN trunk холболтоор tag-гүйгээр зорчих тохиргоо.

Trunk холболтоор өгөгдөл дамжуулагдахдаа VLAN–ийн дугаарыг фреймийн толгой мэдээнд оруулж өгдөг. Энэхүү мэдээллийг tag гэж нэрлэдэг. Tag protocol-ийн 2 хэлбэр байдаг.

  1. IEEE 802.1Q
    Frame дээр VLAN-ийн мэдээлэл болгож 4byte нэмдэг. Native VLAN-ийн мэдээлэл Trunk холболтоор tag авахгүйгээр шууд дамжуулагддаг. Хэрэв 802.1q транк порт нь native VLAN-даа таагтай фрэйм хүлээж авбал түүнээгээ шууд устгадаг.
  2. ISL (Inter-Switch Link)
    Frame-ийн эхэнд 26byte төгсгөлд 4byte буюу нийт 30byte нэмдэг.

Inter-VLAN routing[засварлах | кодоор засварлах]

Inter-VLAN routing гэдэг нь өөр өөр VLAN сүлжээнүүдийг хооронд нь холбож тэдгээрийн хооронд өгөгдөл солилцох боломжийг бий болгож байгаа процессыг хэлнэ. VLAN-г тохируулаад сүлжээнд холбогдсон, өөр өөр VLAN-гууд хоорондоо холбогдон мэдээлэл  солилцож чадахгүй. Inter-VLAN routing-г түвшин 3 дээр ажилладаг төхөөрөмж тохируулснаар төгсгөлийн төхөөрөжүүд дээр өөр өөр VLAN-д байгаа төхөөрөмжүүд хоорондоо өгөгдөл солилцох боломжтой болно.

Inter-VLAN routing тохиргооны командууд[засварлах | кодоор засварлах]

тохиргоо тайлбар
Router(config)#interface [интерфейсийн нэр] [интерфейсийн дугаар].[дэд интерфейсийн дугаар] Виртуаль интерфейсийн тохиргооны дэд горим руу шилжих.
Router(config-subif)#encapsulation dot1Q [vlan-ийн дугаар] Дэд интерфейсийг аль VLAN-д хамаарахыг тохируулах
Router(config-subif)#ip address [IPv4 хаяг] [сүлжэний маск] Интерфейс дээр IPv4 хаяг тохируулах

Inter-Vlan Routing хийх 3-н арга байдаг.

Traditional Inter-VLAN Routing[засварлах | кодоор засварлах]

Рутерын нэг физик интерфэйсд нэг VLAN харгалзана. Router-н интерфэйс нь Trunk link Router-н холбогдож байгаа switch-н порт нь Trunk mode байна.

Network
Router-on-a-stick Inter-VLAN Routing.
Switch Based Inter-VLAN Routing.

Router-on-a-stick Inter-VLAN Routing[засварлах | кодоор засварлах]

Tagged VLAN-н trunk интерфэйсээр орж ирсэн өгөгдлийг router-н доторх VLAN-н subinterface-үүдээр дотоод routing-г гүйцэтгэнэ. Subinterface нь нэг физик интерфайсыг олон virtual интерфэйс болгох юм.

Switch Based Inter-VLAN Routing[засварлах | кодоор засварлах]

Зарим switch-нүүд L3-н үүргийг гүйцэтгэж чаддаг. SwitchVirtual Interface (SVI) –д тулгуурласан байдаг.

VLAN болон Trunks дээр гардаг түгээмэл алдаанууд[засварлах | кодоор засварлах]

Энэ нь ихэвчилэн тохиргооноос үүдэн гардаг. Дараах төрлийн алдаанууд ихэвчилэн гардаг.

  • Native vlan mismatches-Trunk портод native vlan-г ялгаатай тохируулж өгөх. Managment-ын урсгалаа буруу тохируулсан учираас энэ алдааны мэдээ нь console-д мэдэгддэг. Энэ нь аюулгүй байдлын хувьд эрсдэлтэй болдог.
  • Trunk mode mismatches-Хоёр порт хоёулаа ижилхэн trunk холболтгүй үед гардаг алдаа. Энэ төрлийн алдаа гарахад trunk портын ажиллагаа зогсдог.
  • Allowed VLANs on trunks-VLAN-ы жагсаалт шинэчлэгдэж байхад давхар Trunk-р өгөгдөл илгээгдэх үед гардаг алдаа.

Design Best Practices for VLANs[засварлах | кодоор засварлах]

  • Cisco-ийн свичүүд нь үйлдвэрлэлээс гарахдаа default Vlan тохируулагдсан байдаг ба энэ нь аль нэг protocol-ын төрөл болон дундын орчинд тохируулагддаггүй. Свичийн бүх портуудыг VLAN1-ээс бусад VLAN-тай хамтарч ажилладаг болгох нь зүйтэй. Ашиглаагүй бүх портуудыг нэг VLAN болгоод бусад VLAN-уудыг үүсгэсэн VLAN-тай хамтарч ажиллахгүй болгох. Энэ нь свичийн портуудыг shutdown болгоогүй үед хориотой хандалтаас сэргийлдэг.
  • Хэрэглэгчийн VLAN-г удирдлагын VLAN-аас тусгаарлах. Свичд алсаас хандах зорилгоор удирдлагын VLAN нь заавал IP хаягтай байх ёстой байдаг. Энэ нь өөр VLAN-ий хэрэглэгч алсаас хандах горимыг тогтоохыг болиулдаг. Удирдлагын VLAN-г замчлахдаа нэмэлт түвшиний нууцлалаар хангах ёстой.
  • DTP-ийн 4-н төрлийн горим болох access, trunk, dynamic auto, dynamic desirable горимуудаас dynamic auto, dynamic desirable хэрэглэхгүй байх.
  • Voice урсгалд QoS-ийн шаардлагыг хангаж өгөх. Хэрэв PC болон IP phone-той хэрэглэгчид нэг VLAN-д байвал зурвасын өргөнөөр бусад хэрэглэгчийн өгөгдөл дамжина. Ингэснээр Voice урсгалд хурдан дамжуулагдаж чадахгүй хүрнэ.

VTP[засварлах | кодоор засварлах]

VTP нь 2-р түвшний протокол бөгөөд админы хийх VLAN-н тохиргоог багасгаж өгдөг протокол юм. Өөрөөр хэлбэл админ switch болгон дээр очиж VLAN-н талаарх мэдээллийг шинээр тохируулж өгөлгүй VTP domain дахь 1 switch-г server байдлаар сонгон тэр нь VTP мэссежийг бусад client switch-ндээ илгээнэ. Server switch дээр шинэ VLAN нэмлээ гэвэл Client switch-д нь энэхүү өөрчлөлтийг автоматаар өөрсдийн VLAN database-даа нэмдэг. VTP domain-г 1 болон түүнээс дээшхи холбогдсон свичүүд бүрдүүлэх бөгөөд VTP advertisement-г ашиглан домайн дахь бүх свичүүд VLAN тохиргооны мэдээллийг хуваалцана. Свич нь тухайн цагт нэг л domain-д хамаарагдана. Хэрэв Switch 2 domain-ны зааг дээр байвал аль түрүүлж ирсэн Domain нэрийг авдаг. Хэрэв үүнийг өөрчлөх болвол зөвхөн гар аргаар л өөрчилж өгнө. Хэрэв VTP-д нууц үг хийх шаардлагатай бол тухайн VTP domain бүх switch нь ижилхэн нууц үгтэй байх хэрэгтэй. Учир нь VTP password нь summary мэссэжэд байх MD5-н утга болдог.

VTP-ийн горимууд[засварлах | кодоор засварлах]

VTP-гийн server, transparent, client гэсэн гурван хэлбэр байна.

  • Server: Switch-үүд нь default-раа server mode дээр байдаг. VTP server нь ижил VTP domain-нд байх бусад switch-ндээ VTP VLAN advertisement-г илгээнэ. VTP domain-д VLAN нэмэх, хасах, нэр өөрчлөх зэрэг тохиргоог хийдэг. VTP domain нэрийг тохируулж өгөөгүй тохиолдолд VTP server нь VLAN үүсгэх болон устгах, өөрчлөлт хийх боломжгүй болдог ба VLAN-н мэдээллийг сүлжээнд тарааж чадахгүй.VLAN-ийн мэдээллийг NVRAM санах ойд хадгалдаг учир унтрааж асаахад устдаггүй.
  • Transparent: Server-ээс ирж байгаа VLAN–ийн мэдээллийг өөрөө хүлээж авахгүй харин цааш холбоотой байгаа бусад свичүүд рүү дамжуулах үүрэгтэй. VLAN–ийнбааз нь бие даасан буюу өөр дээрээ үүсгэх, устгах, өөрчлөх боломжтой.
  • Client:Бусад client-руу VTP advertisement-г forward хийнэ гэхдээ Server-с ирсэн мэдээлэл нь database-г нь өөрчилдөг. VLAN шинээр үүсгэх, устгах зэрэг ямар нэг өөрчлөлт хийж болохгүй.

VTP протоколын тохиргооны командууд[засварлах | кодоор засварлах]

тохиргоо тайлбар
(config)#vtp mode .... Switch дахь vtp-ийн горимыг сонгоно.
(config)#vtp domain... Домайн нэрийг оруулна.
(config)#vtp version .... Хувилбарыг сонгоно.
(config)#vtp password .... Нууц үгийг оруулна.

VTP Pruning[засварлах | кодоор засварлах]

VTP Pruning гэдэг нь Trunk холболтоор дамжих урсгалыг тодорхойлж өгөх процесс юм. Өөрөөр хэлбэл VTP-ээр дамжиж байгаа мэдээллүүдээс шаардлагагүй мэдээллийг дамжуулалгүй, зөвхөн хэрэгтэй төхөөрөмжүүдэд нь дамжуулахыг хэлнэ. Үүний тулд VTP нь VLAN-ийн бүтэц зураглалыг өөртөө хадгалах бөгөөд мэдээллийг зөвхөн хэрэгтэй порт руу дамжуулдаг. Ингэснээр VTP domain дах multicast, broadcast, unknown flooding-с сэргийлж, зурвасын өргөн ашиглалтыг сайжруулна.

VTP-ийн мэдээнүүд[засварлах | кодоор засварлах]

  • Summary advertisement:
Энэ нь server болон client нь тогтмол хугацаанд(5 минут) бусад VTP тохируулагдсан свичүүд рүүгээ өөрийн мэдээллийг(domain name, revision number гэх мэт) дамжуулна. Ямар нэгэн өөрчлөлт ороход шууд дамжуулагдана.
  • Subset advertisement:
Энэ нь VLAN – ийн мэдээллийг дамжуулахад ашиглагдана. Ямар нэгэн өөрчлөлт ороход шууд дамжуулагдана. Мөн хүсэлт ирсэн тохиолдолд дамжуулагдана.
  • Request advertisement:
Client талаас үүсч дамжуулагдана. Домайн нэр өөрчлөгдөх. Свич дахин ачаалах. Summary advertisement-ийн Revision number өөрийнхөөс нь их бол. Subset advertisement ирэхгүй үед.

VTP – Revision number VTP revision number нь 32 битийн урттай. VLAN – тай холбоотой өөрчлөлт бүрт 1-ээр нэмэгддэг. Нэг домайнд байгаа свичүүд бүгд ижил RN-тай байх бөгөөд энэ нь VLAN – ийн баазын синхрончлолыг хангаж байдаг. VTP domain нэр өөрчлөгдвөл RN нь 0 болно.

VoIP дуудлагыг хамгаалах[засварлах | кодоор засварлах]

TLS (Transport Layer Security) нь зөөлөн утас эсвэл PBX-ээс илгээгдсэн SIP мессежийг хамгаалах / шифрлэх зориулалттай шифрлэлтийн протокол юм. Энгийнээр хэлэхэд энэ нь програм (ихэвчлэн таны хөтөч) болон сервер хооронд үүсдэг холболтыг хамгаалдаг.[1]

Тэмдэглэл[засварлах | кодоор засварлах]

  1. VoIP дуудлагыг хамгаалах шилдэг туршлагууд - TLS.

Цахим холбоос[засварлах | кодоор засварлах]