Вы находитесь на странице: 1из 31

Министерство науки ивысшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования


«Российский экономический университет им. Г.В. Плеханова»
МОСКОВСКИЙ ПРИБОРОСТРОИТЕЛЬНЫЙ ТЕХНИКУМ

Курсовая работа

ПМ.01 Участие в проектировании сетевой инфраструктуры

МДК.01.01 Организация, принципы построения и функционирования компьютерных


сетей

Специальность 09.02.02 «Компьютерные сети»

Тема: «Виртуальные локальные сети, разграничение трафика»

МПТ 09.02.02 ПЗ 05 КР

Пояснительная записка
Листа: 30

Руководитель
_________________ / И.М. Володин /
«______» ___________ 2020г.

Исполнитель
_________________ / А.С. Двойкина /
«______» ___________ 2020г.

2020г.
CОДЕРЖАНИЕ
CОДЕРЖАНИЕ.............................................................................................................2
ВВЕДЕНИЕ................................................................................................................ 3
ОСНОВНАЯ ЧАСТЬ.......................................................................................................5
РАЗДЕЛ 1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ.....................................................................5
Глава 1. Необходимость разграничения трафика в локальных сетях......................5
1.1 Оптимизация работы сети с помощью VLAN...................................................5
1.2. Виртуальные локальные сети............................................................................5
Глава 2. Канальный уровень модели OSI: кадры Ethernet VLAN IEEE 802.1Q.......7
2.1 Международный стандарт OSI...........................................................................7
2.2 Стандарт IEEE 802.1Q.........................................................................................8
2.3 Структура тегированного VLAN кадра Ethernet...............................................9
Глава 3. Сетевые угрозы в виртуальных локальных сетях......................................11
3.1 Безопасность виртуальных локальных сетей..................................................11
3.2 VLAN-hopping (прыжки)..................................................................................11
3.3 Двойное тегирование кадра..............................................................................12
РАЗДЕЛ 2. ПРАКТИЧЕСКАЯ ЧАСТЬ........................................................................13
Глава 1. Базовая настройка........................................................................................13
1.1 Создание топологии сети..................................................................................13
1.2 Настройка маршрутизатора в качестве DHCP-сервера для использования
VLAN........................................................................................................................ 14
Глава 2. Использование протоколов для автоматизации конфигурирования
VLAN........................................................................................................................... 17
2.1 Протокол VTP....................................................................................................17
2.2 Протокол DTP....................................................................................................22
Глава 3. Проверка работоспособности сети.............................................................24
3.1 Проверка DHCP.................................................................................................24
3.2. Проверка протокола VTP и конфигурации виртуальных локальных сетей.25
3.2 Проверка передачи пакетов DTP......................................................................27
ЗАКЛЮЧЕНИЕ...........................................................................................................28
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ.......................................................29

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
ВВЕДЕНИЕ

На сегодняшний день в глобальной сети можно насчитать более 2


миллиардов персональных компьютеров, которые имеют возможность
выхода в сеть, и более 90% из них объединены и успешно внедрены в сети
различного масштаба от малых локальных сетей на предприятиях до
глобальной сети Internet.

Актуальность объединения компьютеров в сети объясняется многими


факторами, например, такими, как: передача больших по объему данных,
получение и отправление электронных писем, сообщений, документов
печати, факсов, медиа-файлов различных форматов, возможность проводить
видео-трансляции, которые требуют стабильного и быстрого подключения,
способность получить любую информацию из любой точки мира не покидая
своего рабочего места, а также, обмен информацией между устройствами
разных фирм, разных производителей, которые работают под разным
программным обеспечением и операционными системами.

Сейчас сложно вообразить, что существуют компании или предприятия,


которые не оснащены доступом в Internet вне зависимости от масштабов и
количества сотрудников. Казалось бы, нужно систематизировать и
организовать сам доступ, чтобы сеть использовалась для своих
непосредственных действий и использования сотрудниками, простая задача,
но когда владельцу компании приходят счета, превышающие расчетные, а
один из отделов начинает жаловаться на непривычно долгие задержки во
время отправки документации, встает вопрос о грамотности использования

Изм.
трафика.
Лист
Неконтролируемый
№ докум. Подпись Дата
доступ к выделенному каналу может приносить
МПТ 09.02.02 ПЗ 05КР
также и косвенные убытки, в связи с перегрузкой локальной сети, её
компонентов
Разраб. Двойкина А. и
С. связанными с сетью Internet, злоупотреблениями.
Лит. Лист Листов
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Взяв за основу вышеперечисленные факты и основные вопросы, задачами
курсовой работы на тему «Виртуальные локальные сети, разграничение
трафика» являются:

 Обозначить актуальность и надежность использования виртуальных


локальных сетей.

 Выявить уязвимости использования виртуальных локальных сетей и


рассмотреть методы их предотвращения.

 Определить, по какому принципу работает VLAN.

 Изучить методы настройки виртуальных локальных сетей и


протоколов, используемых при внедрении данной технологии.

Для выполнения поставленных задач будет реализована логическая


топология сети, настроенная в симуляторе сети передачи данных Cisco Packet
Tracer и проведен анализ использования проприетарных протоколов DTP и
VTP.

Цель данной курсовой работы – изучить принципы работы виртуальных


локальных сетей, оценить удобство внедрения данного метода разграничения
трафика и его актуальность в сетевой инфраструктуре.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Глава 1 ОСНОВНАЯ ЧАСТЬ

РАЗДЕЛ 1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ


Глава 1. Необходимость разграничения трафика в локальных сетях

1.1 Оптимизация работы сети с помощью VLAN.

Использование сетей для работы и оптимизации процесса несет в себе


огромные потенциальные возможности, а вместе с ними и довольно
обширные требования к оборудованию и качеству поставляемых услуг. В
связи с этим, проблемы с корректной настройкой конфигурации, политиками
и регламентами использования, нерациональное использование полосы
пропускания (особенно в масштабных сетях) могут повлечь за собой
неисправности и снижение качества рабочего процесса. Чтобы избежать
всего этого, необходимо уделять внимание грамотной настройке
оборудования и правильному ограничению области распространения
широковещательного трафика (так же можно назвать данную область
широковещательным доменом) – организации небольших
широковещательных доменов, или виртуальных локальных сетей (Virtual
LAN, VLAN).

1.2. Виртуальные локальные сети.

Виртуальной локальной сетью (Virtual Local Area Network, VLAN)


называется логическая группа узлов сети, трафик которой, в том числе и
широковещательный, на канальном уровне полностью изолирован от других
узлов сети. Это означает, что передача кадров между различными
виртуальными сетями на основании МАС-адреса невозможна независимо от
типа адреса: уникального, группового или широковещательного. В то же
время, внутри виртуальной локальной сети кадры передаются по технологии
Изм. Лист № докум. Подпись Дата
МПТ
коммутации: только на тот порт, который связан 09.02.02 ПЗназначения
с адресом 05КР кадра.
Разраб. Двойкина А. С. Лит. Лист Листов
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Таким образом, с помощью VLAN разрешается проблема
распространения широковещательных кадров и вызываемых ими следствий,
которые могут развиться в широковещательные штормы, коллизии и
существенно снизить производительность сети.

Если задаться вопросом, зачем нужны в данном сегменте виртуальные


локальные сети, то можно выделить несколько пунктов:

 Проектирование и построение сети, у которой логическая


структура не отличается от физической.

 Возможность разбиения одного широковещательного домена,


которым, собственно, VLAN и является, на несколько: трафик
одного домена не проходит в другой, и, наоборот, при этом
происходит снижение нагрузки на сетевые устройства.

 Использование логических интерфейсов для маршрутизации.

 Применение различных политик, ограничений и конфигураций на


устройствах внутри одной VLAN.

 Гибкость и удобство внедрения.

 Повышение безопасности сети, определив с помощью фильтров,


настроенных на коммутаторе или маршрутизаторе, политику
взаимодействия пользователей и ограничения из разных
виртуальных сетей.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Глава 2. Канальный уровень модели OSI: кадры Ethernet VLAN IEEE
802.1Q

2.1 Международный стандарт OSI.

Все сетевые устройства работают, основываясь на международном


стандарте OSI - Open System Interconnection, который определяет различные
уровни взаимодействия систем для единой налаженной и стабильной работы.
Основная идея этой модели заключается в том, что каждому уровню
передачи данных соответствует свой способ передачи и обработки, а любой
протокол модели OSI взаимодействует либо с протоколами своего уровня,
либо с протоколами на единицу выше и/или ниже своего уровня.

На таблице №1 отображены все 7 уровней модели.

Таблица №1. Уровни модели OSI.

Уровень Тип данных Функция, примеры Примеры


использования использования.

Физический Биты Работа со средой USB, RJ-45.


передачи, сигналами и
двоичными данными.
Канальный Кадры Физическая адресация. PPP, IEEE 802,
Ethernet, DSL,
ARP.
Сетевой Пакеты Определение маршрута и IPv4, IPv6.
логическая адресация.
Транспортный Сегменты и Прямая связь между TCP, UDP.
дейтаграммы пунктами и надежность.
Сеансовый Данные Управление сеансами RPC, PAP.
Изм. Лист № докум. Подпись Дата
связи. МПТ 09.02.02 ПЗ 05КР

Разраб.
Представлени
Двойкина А. С.
Данные Представление и ASCII,
Лит. EBCDIC.
Лист Листов
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
я шифрование данных.
Прикладной Данные Доступ к сетевым HTTP, POP3,
службам. FTP.

Среди всех перечисленных рассматриваться будет второй уровень:


канальный, на котором происходит передача кадров. В процессе
формирования кадров данные снабжаются служебной информацией
(заголовком), необходимой для корректной доставки получателю. К
протоколам канального уровня относятся DSL, Ethernet, PPP, PPPoE, среди
которых подробнее будет рассматриваться Ethernet.

2.2 Стандарт IEEE 802.1Q.

Достоинством технологии виртуальных сетей является то, что она


позволяет создавать полностью изолированные сегменты сети путем
логического конфигурирования коммутаторов, не прибегая к изменению
физической структуры. Для использования виртуальных локальных сетей
используется IEEE 802.1Q — открытый стандарт, который описывает
процедуру тегирования трафика для передачи информации о
принадлежности к VLAN. До принятия этого стандарта существовало много
фирменных протоколов этого типа, но все они имели один недостаток —
оборудование различных производителей при образовании виртуальных
локальных сетей оказывалось несовместимым. Стандарт IEEE 802.1Q вводит
в кадре Ethernet дополнительный заголовок, который называется тегом
виртуальной локальной сети.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
2.3 Структура тегированного VLAN кадра Ethernet.

Тег виртуальной локальной сети состоит из поля TCI (Tag Control


Information — управляющая информация тега) размером в 2 байта и
предшествующего ему поля EtherType, которое является стандартным для
кадров Ethernet и также состоит из 2 байт, что можно увидеть на рис. №1.

Рис. №1.

Тег VLAN не является обязательным для кадров Ethernet. Кадр, у


которого имеется такой заголовок, называют помеченным (tagged frame).
Коммутаторы могут одновременно работать как с помеченными, так и с
непомеченными кадрами. Из-за добавления тега VLAN максимальная длина
поля данных уменьшилась на 4 байта. Для того чтобы оборудование

Изм.
локальных
Лист
сетей Подпись
№ докум.
могло Дата
отличать и понимать помеченные кадры, для них
МПТ 09.02.02 ПЗ 05КР
введено специальное значение поля EtherType, равное 0x8100. Это значение
говорит
Разраб. о том,
Двойкина А. С.что за ним следует поле TCI, а не стандартное
Лит.поле Лист
данных.Листов
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Стоит обратить внимание, что в помеченном кадре за полями тега
VLAN следует другое поле EtherType, указывающее тип протокола, данные
которого переносятся полем данных кадра. В поле TCI находится 12-битное
поле номера (идентификатора) VLAN, называемого VID. Разрядность поля
VID позволяет коммутаторам создавать до 4096 виртуальных сетей.

Помимо этого, в поле TCI помещено 3-битное поле приоритета кадра.


Однобитное поле CFI было введено с целью поддержания специального
формата кадра Token Ring, для сетей Ethernet оно должно содержать
значение 0. Пользуясь значением VID в помеченных кадрах, коммутаторы
сети выполняют групповую фильтрацию трафика, разбивая сеть на
виртуальные сегменты, то есть на VLAN. Для поддержки этого режима
каждый порт коммутатора приписывается к одной или нескольким
виртуальным локальным сетям, то есть выполняется группировка портов.
Поле приоритета предназначено для согласованного обеспечения качества
обслуживания (QoS) различных классов трафика.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Изм. Лист № докум. Подпись Дата
МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Глава 3. Сетевые угрозы в виртуальных локальных сетях.

3.1 Безопасность виртуальных локальных сетей.

Безопасность VLAN — это организованное использование


виртуальных локальных сетей, в случае которого невозможно или сильно
затруднена возможность несанкционированно получить доступ к трафику,
передающемся во всех VLAN за исключением тех, к которым доступ
разрешён. Распространено то, что достаточно изолировать трафик внутри
отдельной виртуальной сети и становится полностью не возможным ни
просмотреть, ни модифицировать его другим пользователям и участникам
сети, которые не имеют прямого доступа к этой сети. Несмотря на это, из-за
некорректной настройки оборудования могут открыться уязвимости, которые
проявят себя при атаках путем хоппинга или двойной метки, являющимся
самыми распространенными атаками, нацеленными на проникновение в
VLAN.

3.2 VLAN-hopping (прыжки).

Атака VLAN-hopping может происходить одним из двух способов. Первый из


них: сетевой коммутатор настроен на автоматические загрузку и запуск, то
злоумышленник превращает его в коммутатор, который начинает выглядеть
так, как будто бы ему постоянно требуется транкинг (доступ ко всем VLAN,
разрешенным для магистрального порта). В протоколе Cisco DTP
восприимчивость системы к такой форме прыжков VLAN может быть
сведена к минимуму с помощью выключения функции автоматического
транкинга (DTP в режиме «off») на всех коммутаторах, которым не требуется
доступ ко всем сетям. Во второй форме перескоков VLAN-взломщик
передает данные через один коммутатор другому, отправляя кадры с двумя
Изм. Лист № докум. Подпись Дата
тегами 802.1Q, где один предназначен дляМПТ
атакующего коммутатора, а
09.02.02 ПЗ 05КР

Разраб.
другой для коммутатора-жертвы. Это заставляет жертву Лит.
Двойкина А. С.
переключаться
Лист
на
Листов
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
мысль, что для нее предназначена определенная рамка. Затем, целевой
коммутатор отправляет кадр вдоль порта жертвы.

3.3 Двойное тегирование кадра.

В этой атаке злоумышленник, который подключен к собственному


порту VLAN коммутатора, добавляет в кадровый заголовок сразу два тега
VLAN. Первый тег относится к собственной сети, а второй – к целевой.
Когда первый коммутатор получает кадры атакующего, он удаляет первый
тег, поскольку кадры собственной VLAN пересылаются без тега на
магистральный порт.

Так как второй тег никогда не удалялся первым коммутатором,


получающий коммутатор опознает оставшийся тег как пункт назначения
виртуальной локальной сети и перенаправляет кадры целевому хосту. Атака
двойного тегирования использует концепт собственной VLAN. Поскольку
VLAN1 является виртуальной сетью по умолчанию для портов доступа, и
собственной виртуальной сетью по умолчанию на линиях, это довольно
простая цель.

Первой мерой предотвращения является удаление всех портов доступа


из VLAN1 по умолчанию, поскольку порт злоумышленника должен
совпадать с портом собственной VLAN коммутатора. Вторая мера это
назначение собственной виртуальной сети на всех магистралях коммутатора
неиспользуемой на данный момент VLAN, скажем, VLAN 320. И, в итоге,
все коммутаторы должны быть настроены для выполнения тегирования
собственных кадров VLAN на магистральном порту.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Глава 2 РАЗДЕЛ 2. ПРАКТИЧЕСКАЯ ЧАСТЬ.

Глава 1. Базовая настройка.

1.1 Создание топологии сети.

К примеру, имеется офис небольшой компании, в которой имеется


несколько отделов: главный офис, отдел кадров и отдел работы младшего
персонала. В двух из них имеются персональные компьютеры для общего
использования в случае необходимости. Необходимо обеспечить
разграничение трафика для каждого отдела, но учитывать, что сеть в
дальнейшем может расшириться за счет добавления устройств новых
пользователей. Исходя из поставленных условий, можно выделить несколько
рациональных решений для топологии, изображенной на рис. №2:

Рис. №2

 IPv4 адреса должны раздаваться маршрутизатором динамически,


ввиду возможности расширения сети.

 Для каждого отдела необходимо создать свою виртуальную


локальную сеть в целях разграничения трафика и снижения
нагрузки на сетевое оборудование.
Изм. Лист № докум. Подпись Дата
МПТ 09.02.02 ПЗ 05КР
 VTP протокол тоже будет уместным для более быстрой настройки
Разраб.
сети при изменении топологии.
Двойкина А. С. Лит. Лист Листов
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
 DTP – вариант использования на тот случай, если может произойти
сбой или недочет в настройке магистрального канала между
коммутаторами.

1.2 Настройка маршрутизатора в качестве DHCP-сервера для


использования VLAN.

В первую очередь необходимо включить интерфейс маршрутизатора


при подключении, что отображено на рис. №3.

Рис. №3 – включение интерфейса Gigabit0/0.

Для каждой дальнейшей виртуальной сети на маршрутизаторе


создается сабинтерфейс, как на рис №4, ведь назначение одного интерфейса
не является практичным и безопасным решением, когда надо разделить
ресурсы компании на разные подсети.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Рис. №4 – создание сабинтерфейсов для VLAN. 30
Провер. Володин И. М. 2
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Для каждой виртуальной локальной сети на рис. №5 создается свой
DHCP-пул:

Рис. №5 – создание пулов адресов.

В режиме глобальной конфигурации, на рис. №6 необходимо


исключить адреса маршрутизаторов по умолчанию из пула адресов.

Рис. №6 – исключение адресов из пулов.

В конце, на каждом из сабинтерфейсов в режиме его настройки нужно


указать, к какой виртуальной локальной сети он принадлежит и назначить
адрес, что изображено на рис. №7, используя команду encapsulation dot1Q
Изм. <номер
Лист №VLAN
докум. ему принадлежащий>.
Подпись Дата
МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Рис. №7 – назначение стандарта работы VLAN и назначение IPv4 адреса.

Глава 3

Глава 4

Глава 5

Глава 6

Глава 7

Глава 8

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Глава 2. Использование протоколов для автоматизации
конфигурирования VLAN.

2.1 Протокол VTP.

В сети, состоящей из большого количества коммутаторов и не


разделенной на подсети маршрутизаторами, полностью ручное
конфигурирование VLAN может приводить к ошибкам из-за
несогласованности информации об активных сетях на различных
коммутаторах, особенно если их конфигурируют разные администраторы.
Существует несколько протоколов, позволяющих частично автоматизировать
конфигурирование VLAN на оборудовании Cisco Systems: VTP и DTP.

Cisco VLAN Trunking Protocol является проприетарным протоколом


компании Cisco и работает только на коммутаторах этой компании.
Коммутаторы Cisco поддерживают модель «магистраль — линии доступа», а
протокол VTP позволяет по магистральным связям передавать информацию
о сетях VLAN, активизированных на одном из коммутаторов, другим
коммутаторам сети.

Изменить конфигурацию виртуальной локальной сети с клиента не


выйдет, поэтому администратору достаточно добавить (или удалить) VLAN
на одном из коммутаторов сети в режиме сервера, после чего все остальные
коммутаторы сети получат информацию о добавлении (удалении) VLAN с
данным номером и произведут соответствующие изменения в своих
конфигурационных записях, что изображено на рис. №8.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Рис. №8 – назначение VLAN на VTP-сервере.

Для удобства администрирования больших сетей в протоколе VTP


существует понятие домена — все сообщения протокола VTP
воспринимаются коммутаторами только одного и того же домена (имя
домена и его пароль конфигурируются на каждом коммутаторе вручную, рис.
№9 и №10 содержат настройки коммутаторов в режиме сервера, №11 – в
режиме клиента).

Рис. №9 – назначение версии VTP и обозначение доменного имени.

Рис. №10 – назначение S1 в качестве VTP-сервера и установка пароля для


доступа к домену.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Рис. №11 – порядок настройки, проводимый на всех коммутаторах для
режима клиента.

Приписывание номера VLAN к портам (работающим в избирательном


режиме), работающим в режиме магистрали, происходит динамически, что
отображено на рис. №12.

Рис. №12 – назначение магистрального режима портов.

Приписывание VLAN порту доступа при работе протокола VTP по-


прежнему выполняется вручную командами, рис. №13.

Рис. №13 – приписывание виртуальных локальных сетей используемым


Изм. Лист № докум. Подпись Дата портам доступа.
МПТ 09.02.02 ПЗ 05КР

Разраб.
При этом протокол VTP автоматически выполняет Лит.
Двойкина А. С.
отсечение
Лист
номера
Листов
30
VLANВолодин
Провер. для магистрали
И. М. некоторого домена,локальные
Виртуальные если в данном
сети, домене этот
2 номер
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
не приписан ни одному из его портов доступа (это свойство называется VTP
pruning). Свои VTP-объявления коммутаторы рассылают с использованием
группового адреса.

Порты коммутаторов, которые подключены к VTP-серверу от клиентов


необходимо перевести в режим магистрали и приписать нужные виртуальные
локальные сети в режиме глобальной конфигурации, как на рис. №14.

Рис. №14 – перевод портов, подключенных к VTP-серверу в магистральный


режим с VTP-клиента.

Порты коммутаторов, которые подключены к конечным устройствам


от VTP-клиентов, переводить нужно в режим доступа и приписать
виртуальные локальные сети в режиме глобальной конфигурации командами,
отображенными на рис. №15.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Рис. №15 – настройка портов доступа для конечных устройств.

Проверить состояние VTP-протокола можно командой «show vtp status», как


на рис. №16:

Рис. №16 – состояние протокола VTP.

Проверить созданные виртуальные локальные сети можно командой


«show vlan brief», как на рис. №17:

Рис. №17 – виртуальные локальные сети, созданные на S1.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
2.2 Протокол DTP.

DTP (Динамический протокол транкинга) – проприетарный протокол


компании Cisco для автоматического согласования каналов связи между
коммутаторами. Протокол DTP может использоваться для установления
магистрального соединения между коммутаторами динамически.

Таблица №2. Режимы работы портов DTP.

Режим Описание
Порт коммутатора, сконфигурированный в режиме dynamic
desirable, будет активно пытаться преобразовать соединение в
магистральное соединение средствами протокола DTP. Если этот
порт, подключенный к другому порту, умеет формировать транк,
будет установлено магистральное соединение.
dynamic
desirable Интерфейс, сконфигурированный в этом режиме, будет
генерировать DTP-сообщения. Если коммутатор получает DTP-
сообщения от другого коммутатора, предполагается, что другая
сторона в состоянии обрабатывать фреймы с метками, и между
двумя коммутаторами будет образовано магистральное
соединение.
Порт коммутатора, сконфигурированный в режиме dynamic auto,
может образовывать магистральное соединение, если интерфейс
другого коммутатора настроен на тот же режим и может
взаимодействовать с каналом связи по протоколу DTP.
dynamic
auto Интерфейс коммутатора, настроенный в этом режиме, не будет
генерировать DTP-сообщения, а будет работать в пассивном
режиме на прием DTP-сообщений от другого коммутатора. Если
Изм. Лист поступили
№ докум. Подпись DTP-сообщения
Дата с другого интерфейса, будет
МПТ 09.02.02 ПЗ 05КР
образовано магистральное соединение.
trunk Двойкина А.
Разраб. Интерфейс
С. коммутатора, сконфигурированныйЛит.
в режиме
Лист trunk,
Листов
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
работает исключительно в режиме магистрали. Интерфейс в
этом режиме может взаимодействовать с интерфейсом другого
коммутатора для формирования магистральное связи.
В этом режиме отключена рассылка DTP-пакетов с интерфейса.
nonegotiate Режим nonegotiate возможен только когда switchport интерфейса
находится в режиме access или trunk. Протокол DTP отключен.
Интерфейс коммутатора, сконфигурированный в режиме access,
не будет работать в режиме транкинга, и порт будет работать в
access
режиме access. Во фреймах метки использоваться не будут. Порт
в режиме access принадлежит VLAN.

По умолчанию на коммутаторах Cisco DTP-протокол уже активирован


для используемых интерфейсов, его состояние можно просмотреть с
помощью команды «show dtp» как на рис. №18.

Рис. №18 – статус DTP протокола.

Для обеспечения безопасности сети рекомендуется переводить


неиспользуемый порт в режим nonegotiate, но только при условии, что порт
имеет режим trunk или access, настройка отображена на рис. №19.

Рис. №19 – отключение протокола на неактивном интерфейсе.


Изм. Лист № докум. Подпись Дата
МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Глава 3. Проверка работоспособности сети.

3.1 Проверка DHCP.

Для проверки успешной настройки DHCP необходимо на каждом конечном


устройстве топологии в настройках IP выбрать динамическое получение
адреса и сравнить с таблицей маршрутизации для каждой виртуальной
локальной сети (VLAN10 – 192.168.10.0, VLAN16 – 192.168.16.0, VLAN23 –
192.168.23.0, VLAN54 – 192.168.54.0), он должен соответствовать ей, как на
рис. №20.

Рис. №20 – успешно динамически полученные IPv4 адреса на персональных


Изм. Лист № докум. Подпись Дата компьютерах.
МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
3.2. Проверка протокола VTP и конфигурации виртуальных локальных
сетей.

В режиме симуляции Cisco Packet Tracer по фильтру ставится трассировка


только VTP-кадров, и запускается процесс. По таблице событий на рис. №21
видно, что кадры VTP успешно доходят от сервера к клиентам.

Рис. №21 – трассировка кадров протокола VTP.

Просмотрев интерфейсы каждого коммутатора в топологии на рисунке


№22 и сравнив с таблицей маршрутизации, можно убедиться, что назначение
виртуальных локальных сетей настроено верно.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Лит. Лист Листов


Разраб.
Рис. №22 – интерфейсы S2-S6 с назначенными на них
Двойкина А. С.
VLAN.
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
Теперь необходимо отправить эхо-запросы устройств в пределах одной
виртуальной локальной сети. В каждой сети эхо-запросы проходят в одной
виртуальной локальной сети как на рис. №23.

Рис. №23 – отправление и получение эхо-запроса в пределах VLAN16.

Так же, эхо-запросы успешно проходят в разные сети, но с тегированными


кадрами VLAN, что отображено в пакете ICMP при отправке запроса с dot1Q
тегом на рис. №24.

Изм. Лист № докум. Подпись Дата


Рис. №24 – успешный эхо-запрос с тегированным
МПТ кадром принадлежности
09.02.02 ПЗ 05КР к
VLAN 54 и 23, соответственно.
Разраб. Двойкина А. С. Лит. Лист Листов
Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
3.2 Проверка передачи пакетов DTP.

В режиме симуляции Cisco Packet Tracer по фильтру ставится


трассировка DTP-кадров, и запускается процесс. По таблице событий на рис.
№25 видно, что пакеты DTP успешно доходят до каждого устройства,
подключенного к коммутатору S1, и возвращаются, устанавливая
магистральное соединение.

Рис. №25 – трассировка DTP-кадров.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
ЗАКЛЮЧЕНИЕ.

В настоящей курсовой работе был проведен анализ и настройка


логической топологии с внедрением виртуальных локальных сетей.

Использование VLAN, протоколов DTP и VTP имеет свои


положительные и отрицательные стороны, причем, проанализировав
возможные недочеты при настройке и уязвимости, которым может быть
подвергнута сеть, особо важным моментом стоит отметить, что благодаря
грамотному конфигурированию сетевых устройств, можно добиться
автоматизации процесса использования сети, снизить нагрузку на сетевое
оборудование и оптимизировать качество предоставляемых услуг доступа в
сеть. Всё это позволит предприятию не только повысить качество работы, но
и избежать косвенных убытков.

При реализации практической части все поставленные цели были


выполнены, курсовую работу можно использовать как руководство по
гибкой настройке VLAN в корпоративной сети организации.

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ.
1. Дибров, М. В.  Компьютерные сети и телекоммуникации.
Маршрутизация в IP-сетях в 2 ч. Часть 1 : учебник и практикум для
среднего профессионального образования / М. В. Дибров. — Москва :
Издательство Юрайт, 2020. — 333 с. — (Профессиональное
образование). — ISBN 978-5-534-04638-0. — Текст : электронный //
ЭБС Юрайт [сайт]. — URL: https://urait.ru/bcode/452574
2. Сети и телекоммуникации : учебник и практикум для вузов /
К. Е. Самуйлов [и др.] ; под редакцией К. Е. Самуйлова,
И. А. Шалимова, Д. С. Кулябова. — Москва : Издательство Юрайт,
2020. — 363 с. — (Высшее образование). — ISBN 978-5-534-00949-1.
— Текст : электронный // ЭБС Юрайт [сайт]. —
URL: https://urait.ru/bcode/450234.
3. Максимов, Н. В. Компьютерные сети : учебное пособие / Н.В.
Максимов, И.И. Попов. — 6-е изд., перераб. и доп. — Москва :
ФОРУМ : ИНФРА-М, 2020. — 464 с. — (Среднее профессиональное
образование). - ISBN 978-5-16-105870-1. - Текст : электронный. - URL:
https://new.znanium.com/catalog/product/1078158 
4. Построение коммутируемых компьютерных сетей: учебное пособие /
Е.В. Смирнова и др. — М.: Национальный Открытый Университет
«ИНТУИТ», 2015. — 392 с.: ил., табл.— (Основы информационных
технологий) ISBN 978-5-9556-0175-5.
5. Олифер В., Олифер Н., Компьютерные сети. Принципы, технологии,
протоколы: Учебник для вузов. 5-е изд. — СПб.: Питер, 2016. — 992 с.:
ил. — (Серия «Учебник для вузов») ISBN 978-5-496-01967-5.
6. https://www.cisco.com/c/ru_ru/support/docs/switches/catalyst-6000-series-
switches/10601-90.html
Изм. Лист
7. http://xgu.ru/wiki/VLAN
№ докум. Подпись Дата
МПТ 09.02.02 ПЗ 05КР
8. http://xgu.ru/wiki/VLAN_в_Cisco/Lab
Разраб. Двойкина А. С. Лит. Лист Листов
https://wiki.merionet.ru/seti/11/vse-chto-vam-nuzhno-znat-pro-dhcp/
Провер. 9. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.
10. https://www.skleroznik.in.ua/2015/08/03/cisco-vlan-nastrojka-vlan-na-
kommutatore-cisco/

Изм. Лист № докум. Подпись Дата


МПТ 09.02.02 ПЗ 05КР

Разраб. Двойкина А. С. Лит. Лист Листов


Провер. Володин И. М. 2 30
Виртуальные локальные сети,
Реценз. разграничение трафика ФГБОУ ВО «РЭУ им. Г. В. Плеханова»
Н. Контр. МПТ
Утверд.