VLAN - pytania


(Wikfal) #1

Witam, piszę pracę i potrzebuję pewnych objaśnień. Oto opis problemu i moje pytania:

(Poniżej przedstawiam rysunek 1. Jeżeli go nie widać proszę nacisnąć parę razy F5).

rysunek2a.JPG

rysunek2b.JPG

Separacja pomiędzy VLAN 1-4 powoduje, że należy wykorzystać urządzenie, które jednocześnie nadal pozostawi je w separacji, ale umożliwi dostanie się do routera zapewniającego dostęp do Internetu. Odpowiednio skonfigurowany firewall mógł do niedawna pełnić tę rolę. Było to jednak okupione wydajnością z definicji mniejszą niż szybkość przełączania.

W dzisiejszej dobie stosuje się przełączniki wyposażone w mechanizm wspólnot sieci wirtualnych (ang. community VLAN). Mechanizm ten pozwala nawiązać relację pomiędzy sieciami wirtualnymi w taki sposób, że jedna z nich jest uprzywilejowana i może komunikować się z pozostałymi. Jednocześnie nie powoduje to przełączania ramek pomiędzy sieciami nieuprzywilejowanymi, czyli separacja sieci VLAN zostaje zachowana.

VLAN 6, zawierający serwer FTP jest moją osobistą modyfikacją do oryginalnego rysunku.

Czy to co zostało przedstawione na rysunku 1 można wykonać w oparciu o jeden przełącznik zarządzalny warstwy 3 oraz dwa zarządzane warstwy 2.

Czy mogą istnieć dwie sieci wirtualne uprzywilejowane mogące komunikować się z pozostałymi – aby VLAN’y 1-4 miały dostęp do Internetu i serwera FTP, ale by VLAN'y 1-4 nie mogły komunikować się wzajemnie.

Jaką należy zastosować adresację dla poszczególnych komputerów w VLAN 1, VLAN 2, VLAN 3 i VLAN 4. W szczególności:

• Adres IP ?

• Maska podsieci ?

• Brama domyślna ?

• Adres DNS ?

Jaką należy zastosować adresację dla routera sprzętowego (na porcie LAN) i serwera FTP

Korzystałem z następujących materiałów:

http://www.wikowski2.republika.pl/vlan1.pdf


(bachus) #2

(Wikfal) #3

Tak interesuje mnie klasa adresów C.

Trochę na ten temat doczytałem i teraz wiem że chodzi konkretnie o Private VLAN.

Myślę że dobrym rozwiązaniem jest:

  • utworzyć Primary VLAN (VLAN 5) i umieścić w nim router i serwer FTP (odpowiadające im porty na przełączniku ustawić jako promiscuous)

  • utworzyć Community VLAN dla ZARZĄDZANIA (VLAN 1)

  • utworzyć Community VLAN dla PRACOWNIKÓW (VLAN 2)

  • utworzyć Community VLAN dla DZIEKANATU (VLAN 3)

  • utworzyć Community VLAN dla BIBLIOTEKI (VLAN 4)

  • umieścić odpowiednie porty przełączników do odpowiednich Community VLAN'ów.

  • zmapować do każdego Community VLAN'a porty promiscuous.

Załóżmy że w Primary VLAN router ma adres 192.168.1.1, a serwer FTP 192.168.1.2,

Skoro porty promiscuous będą widziane w VLAN 1-4 więc adresacja dla urządzeń w tych VLAN'ach (tak mi się wydaje) winna być taka:

VLAN 1:

komputer 1 - IP 192.168.1.3, maska 255.255.255.0, brama 192.168.1.1 , dns 192.168.1.1

( na 192.168.1.1 widziany jest router, a na 192.168.1.2 serwer FTP)

VLAN 2:

komputer 2 - IP 192.168.1.3, maska 255.255.255.0, brama 192.168.1.1 , dns 192.168.1.1

komputer 3 - IP 192.168.1.4, maska 255.255.255.0, brama 192.168.1.1 , dns 192.168.1.1

komputer 4 - IP 192.168.1.5, maska 255.255.255.0, brama 192.168.1.1 , dns 192.168.1.1

( na 192.168.1.1 widziany jest router, a na 192.168.1.2 serwer FTP)

Adekwatnie dla pozostałych Community Vlanów. Czy w każdym z nich może być taka sama adresacja ?

Czy poszczególne VLAN'y powinny mieć inne adresy, np VLAN 1 - 192.168.1.0, VLAN 2 - 192.168.2.0.

Jeżeli tak to wtedy jaki adres bramy domyślnej dla danego komputera w Community VLAN'ie ?