IP-псевдонимы (IP-Alias)
Новые ядра поддерживают свойство, которое может полностью заменить
dummy-интерфейс, и имеет другие полезные функции. IP Alias
позволяет конфигурировать много IP-адресов на одно физическое
устройство. В самом простом случае Вы могли бы копировать функцию
dummy-интерфейса, конфигурируя адрес как псевдоним для loopback, и полностью
избежать применения интерфейса dummy. В более сложных случаях Вы могли бы
конфигурировать ваш компьютер, чтобы он выглядел как несколько машин с
разными IP-адресами. Эта конфигурация иногда называется «Virtual Hosting».
Чтобы конфигурировать псевдоним для интерфейса, вы должны сначала
гарантировать что ядро компилировалось с поддержкой для IP Alias (проверьте
файл , если его нет, ядро
придется перестроить). Конфигурация IP-псевдонима фактически идентична
конфигурированию реального сетевого устройства. Вы используете специальное
имя, чтобы указать, что это псевдоним. Например:
# |
Эта команда создаст псевдоним для кольцевого интерфейса с адресом
. IP aliases используют переменную
для каждого устройства, где «n»
является целым числом. В нашем примере сетевое устройство, на котором мы
создаем псевдоним, и создается псевдоним номер
ноль для него. Этим путем одно физическое устройство может поддерживать ряд
псевдонимов.
Каждый псевдоним может обрабатываться как отдельное устройство, однако,
оно будет совместно использовать аппаратные средства с другим интерфейсом.
Предварительные условия
Требования
Прежде чем воспользоваться этой конфигурацией, убедитесь, что вы владеете базовым уровнем знаний по следующим разделам:
-
Настройка EtherChannel
-
Настройка коммутаторов серии Catalyst 6500/6000 и 5500/5000 с использованием интерфейса командной строки.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:
-
Коммутатор Catalyst 5505 с ПО CatOS версии 6.4(8)
-
Коммутатор Cisco Catalyst 6509 с ПО Cisco IOS версии 12.1(20)E
Примечание. Системные требования для реализации EtherChannel на коммутаторах Catalyst см. в статье Системные требования для реализации EtherChannel на коммутаторах Catalyst
Данные для этого документа были получены при тестировании указанных устройств в специально созданных лабораторных условиях. Все устройства начинали работу с чистой конфигурацией (конфигурацией по умолчанию). При работе в действующей сети необходимо изучить все возможные последствия каждой команды.
Условные обозначения
Дополнительные сведения о применяемых в документе обозначениях см. в Условные обозначения, используемые в технической документации Cisco.
Теоретические сведения
Настройка EtherChannel производится безусловно при помощи команды channel mode on или путем автоматического согласования. Если настройка производится посредством автоматического согласования, коммутатор выполняет согласование параметров канала с дальним концом. Для выполнения данного действия коммутатор использует частный протокол объединения портов (PAgP) Cisco (при помощи команды channel mode desirable) или управления объединением каналов IEEE 802.3ad (LACP) (при помощи команды channel mode active или channel mode passive) В данном документе при настройке EtherChannel для автоматического согласования используется PAgP.
Все коммутаторы Catalyst с системным ПО CatOS поддерживают протокол PAgP. Коммутаторы серии Catalyst 6500/6000 и 4500/4000 с системным ПО Cisco IOS также поддерживают протокол PAgP. Для установления EtherChannel между устройствами с поддержкой протокола PAgP рекомендуется работать в режиме «desirable». PAgP защищает от любых недействительных конфигураций между двумя устройствами. Если соединяющее устройство не поддерживает протокол PAgP и необходимо настроить канал, используйте команду channel mode on. Ключевые слова режима молчания (silent) или немолчания (non-silent) доступны в режимах канала «auto» и «desirable». В коммутаторах серии Catalyst 6500/6000 или 4500/4000 ключевое слово режима молчания по умолчанию включено на всех портах. В коммутаторах серии Catalyst 5500/5000 ключевое слово молчания включено по умолчанию на медных портах. Ключевое слово немолчания включено по умолчанию на всех волоконных портах (FE и Gigabit Ethernet ) для коммутаторов серии Catalyst 5500/5000. Используйте ключевое слово молчания или немолчания при соединении коммутаторов Cisco.
Примечание. Дополнительные сведения о режиме настройки PAgP и режимах молчания и немолчания см. в разделах и документа Настройка канала EtherChannel между коммутаторами Catalyst 4500/4000, 5500/5000 и 6500/6000, работающими под управлением ПО CatOS.
Кольцевой интерфейс (Loopback)
Самый первый интерфейс, который нужно сформировать и активизировать, это
интерфейс loopback:
# |
Иногда Вы будете видеть фиктивное имя
localhost, используемое вместо IP-адреса.
ifconfig будет искать имя в файле
, где должна быть запись, объявляющая его как
имя для адреса 127.0.0.1:
# Sample /etc/hosts entry for localhost localhost 127.0.0.1 |
Чтобы просмотреть информацию о конфигурации интерфейса, Вы можете вызвать
ifconfig, передав как аргумент имя интерфейса:
$ lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:3924 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 Collisions:0 |
Как Вы можете видеть, интерфейс loopback получил сетевую маску
255.0.0.0, так как адрес
127.0.0.1 принадлежит к классу A.
Теперь Вы можете начать работать с вашей мини-«сетью». Единственное, чего
не хватает, это записи в таблице маршрутизации, которая говорит IP, что этот
интерфейс можно использовать как маршрут к месту назначения
127.0.0.1. Это делается с помощью команды:
# route add 127.0.0.1 |
Здесь тоже можно использовать localhost
вместо IP-адреса, если он задан в файле .
Затем вы должны проверить правильность работы, например, используя
ping. ping сетевой эквивалент
звукового устройства и используется для проверки того, доступен ли IP-адрес и
измерения интервала времени между посылкой пакета и получением ответа. Время,
требуемое для этого, часто называется round-trip time:
# PING localhost (127.0.0.1): 56 data bytes 64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.4 ms 64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 127.0.0.1: icmp_seq=2 ttl=255 time=0.4 ms ^C --- localhost ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 0.4/0.4/0.4 ms |
При вызове ping он будет испускать пакеты, пока
пользователь его не остановит. отмечает место,
где я нажал Ctrl-C для прерывания.
Вышеупомянутый пример показывает, что пакеты доставлены к
127.0.0.1, и ответ пришел к
ping почти мгновенно. Это показывает, что вы
преуспели во введении вашего первого сетевого интерфейса.
Если вывод который вы получаете от ping не походит
на показанный выше, вы нарвались на неприятности. Проверьте ошибки в
установочных файлах. Проверьте чтобы ifconfig и
route, которые вы используете, были совместимы с
ядром, которым Вы пользуетесь, и что ядро вообще компилировалось с
разрешенной сетью (если сеть запрещена, вы увидите это по отсутствию каталога
). Если Вы получаете сообщение об ошибке,
«Network unreachable», значит вы неправильно использовали команду
route. Удостоверьтесь, что используете тот же самый
адрес, что дали ifconfig.
Описанных выше шагов достаточно, чтобы использовать сетевые приложения на
автономном компьютере. После добавления вышеупомянутых строк к скрипту
запуска, вы можете перезагрузить вашу машину и попытаться использовать
различные приложения. Например, telnet localhost
должен установить telnet-соединение с вашей машиной и
вывести приглашение .
Примеры использования ifconfig
Для начала давайте просмотрим список интерфейсов, подключенных к вашей системе и активированных в данный момент. Для этого достаточно выполнить команду без параметров:
Вы можете вывести только информацию про определенный интерфейс, например, про eth0:
Чтобы посмотреть список интерфейсов с минимальной информацией о них используйте опцию -s:
С помощью опции -a вы можете вывести все интерфейсы, даже те, которые сейчас отключены:
Чтобы включить интерфейс используется команда ifconfig eth0 up:
Чтобы отключить — down:
Вы можете получить более подробную информацию об ошибках с помощью опции -v:
Включить поддержку протокола ARP для интерфейса:
Отключить поддержку ARP:
Включить неразборчивый режим, в котором интерфейс принимает все, проходящие через него пакеты:
А чтобы отключить:
С помощью команды netmask вы можете установить маску сети для интерфейса:
Чтобы добавить ip адрес для интерфейса используйте просто укажите его после интерфейса:
Команда broadcast позволяет установить широковещательный адрес:
С помощью команды hw вы можете установить аппаратный адрес или так называемый, MAC адрес. Здесь, кроме самого адреса нужно указать тип сети. Это ether для проводного подключения Ethernet, ax25 (AMPR AX.25), ARCnet и netrom (AMPR NET/ROM). Например:
С помощью mtu вы можете изменить максимальный размер пакета:
Это были все основные примеры. В отличие от ip, команда ifconfig не содержит всех необходимых возможностей для полноценной настройки сети и поэтому вам еще придется использовать такие утилиты, как route или arp.
Фактически, настройка ifconfig сети будет выполняться в несколько команд. Допустим, мы будем настраивать интерфейс eth0:
Здесь мы используем ip адрес для компьютера 192.168.1.10, сетевую маску 255.255.255.0 и шлюз для выхода в сеть 192.168.1.1. После этих настроек осталось указать сервер DNS и интернет должен работать.
Настройка mtu на интерфейсе
Параметр mtu нужно менять, если вы пользуетесь индивидуальной защитой от DDoS. В стандарте Ethernet TCP-пакеты разбиты на кадры объемом 1500 байт, но при передаче через GRE-тоннель маршрутизаторы дописывают к кадрам свои 24 байта. Принимающая система оказывается не готова к кадру размером 1524 байт, поэтому мы изменим параметр mtu на интерфейсе, уменьшив его до 1476 байт, чтобы принимающая система спокойно восприняла итоговый кадр в 1500 байт.
Дописываем mtu в конфигурационный файл /etc/netpal/50-cloud-init.yaml сразу после имени интерфейса, например:
ens3: mtu: 1476 addresses: - 185.185.68.210/22
Важно соблюдать количество пробелов как в остальном файле. После чего перезагружаем сетевую службу командой netplan apply
После чего перезагружаем сетевую службу командой netplan apply.
Редактируем файл /etc/network/interfaces, добавляя параметр вслед за описанием интерфейса:
auto ens3 iface ens3 inet static mtu 1476 address 123.123.123.123
Перезагружаем сеть командой systemctl restart networking.
Вносим в файл /etc/sysconfig/network строку:
MTU=1476
И перезагружаем сетевую службу: systemctl restart network.
Назначение состояния «Errdisabled»
Если в конфигурации отображается порт, который должен быть включен, но программное обеспечение на коммутаторе обнаружило порт в состояние ошибки, то программное обеспечение отключит этот порт. Другими словами, порт автоматически отключается операционной системой коммутатора, так как порт обнаружен в состоянии ошибки.
Когда порт отключается из-за ошибки, он фактически выключается, а прием и отправка трафика через него не выполняются. Цвет индикатора порта становится оранжевым, а при выполнении команды show interfaces отображается состояние порта err-disabled. Ниже приводится пример вывода данных о порте в состоянии error-disabled из интерфейса командной строки коммутатора:
cat6knative#show interfaces gigabitethernet 4/1 status
Port | Name | Status | Vlanv | Duplex | Speed | Type |
Gi4/1 | err-disabled | 100 | full | 1000 | 1000BaseSX |
Или, если данный интерфейс отключен из-за состояния ошибки, и в консоли, и в системном журнале можно увидеть сообщения, подобные следующим:
%SPANTREE-SP-2-BLOCK_BPDUGUARD:
Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.
%PM-SP-4-ERR_DISABLE:
bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state
Сообщение данного примера отображается, когда порт хоста принимает блок BPDU. Фактический вид сообщения зависит от причины состояния ошибки.
Функция отключения из-за ошибки решает две задачи.
- Она позволяет администраторам знать, когда и где возникла проблема с портом.
- Она исключает возможность того, что данный порт может вызвать сбой других портов модуля (или всего модуля).
Такой сбой может произойти, когда «неисправный» порт монополизирует буферы или сообщения об ошибках порта монополизируют связи между процессами на плате, что может в итоге вызвать серьезные сетевые проблемы. Функция отключения из-за ошибки помогает предотвратить такие ситуации.
Несколько IP-адресов
IPv4
Чтобы назначить дополнительные IPv4-адреса на тот же самый интерфейс, необходимо создать виртуальный интерфейс в виде имя_интерфейса:номер, например .
В остальном интерфейс настраивается аналогично физическому.
CentOS
$ cat /etc/sysconfig/network-scripts/ifcfg-eth1:0 DEVICE=eth1:0 ONBOOT=yes BOOTPROTO=static IPADDR=192.168.0.1 NETMASK=255.255.255.0
Debian/Ubuntu
$ cat /etc/network/interfaces source /etc/network/interfaces.d/* auto eth0 iface ens6 inet static address 192.168.0.1 netmask 255.255.255.0 auto eth0:0 iface ens6:0 inet static address 192.168.1.1 netmask 255.255.255.0
Ubuntu 16.04 LTS
Для данной ОС не требуется создавать виртуальный интерфейс, достаточно добавить второй IP-адрес на уже существующий, например:
$ cat /etc/network/interfaces source /etc/network/interfaces.d/* auto ens6 iface ens6 inet static address 192.168.0.1 netmask 255.255.255.0 iface ens6 inet static address 192.168.1.1
Ubuntu 18.04 LTS с netplan
В интерфейсе описываются необходимые адреса, роутинг происходит через директиву routes.
$cat /etc/netplan/50-cloud-init.yaml network: version: 2 ethernets: ens3: addresses: - 185.185.68.210/22 - 141.8.198.107/22 gateway4: 185.185.68.1 nameservers: addresses: - 141.8.194.254 - 141.8.197.254 routes: - to: 185.185.68.210/22 via: 185.185.68.1 - to: 141.8.198.107/22 via: 141.8.198.1
IPv6
Несколько IPv6-адресов можно назначать на один интерфейс без создания виртуального. При этом gateway указывается только один раз. Например:
CentOS
$ cat /etc/sysconfig/network-scripts/ifcfg-eth0 IPV6INIT=yes IPV6ADDR=2a0a:2b40::4:1701/64 IPV6ADDR_SECONDARIES="2a0a:2b40::4:1702/64 2a0a:2b40::4:1703/64"
Debian/Ubuntu
$ cat /etc/network/interfaces iface eth0 inet6 static address 2a0a:2b40::4:16d1 netmask 64 gateway 2a0a:2b40::1 iface eth0 inet6 static address 2a0a:2b40::4:16d2 netmask 64
Ubuntu 16.04 LTS
$ cat /etc/network/interfaces iface ens3 inet6 static address 2a0a:2b40::4:16d1 netmask 64 gateway 2a0a:2b40::1 iface ens3 inet6 static address 2a0a:2b40::4:16d2 netmask 64
Тупой (Dummy) интерфейс
Фиктивный интерфейс Dummy немного экзотический, но довольно полезный. Он
наиболее удобен для автономных хостов и машин, которые связаны с сетью через
модем. Фактически, последние большую часть времени также являются автономными
хостами.
Проблема автономных хостов в том, что они имеют только одно активное
сетевое устройство, loopback, которому обычно назначен адрес
127.0.0.1. Но в некоторых случаях, вы должны
послать данные к «официальному» IP-адресу локального хоста. Например,
рассмотрим laptop vlite, который был
отсоединен от сети. Приложение на vlite может
понадобиться послать данные другому приложению на том же самом хосте. Поиск
vlite в файле
выдает IP-адрес
172.16.1.65, таким образом приложение
пытается послать данные этому адресу. Поскольку интерфейс loopback в
настоящее время единственный активный интерфейс на машине, ядро не имеет
никаких идей относительно этого адреса! Как следствие, ядро отказывается от
пакета и возвращает приложению ошибку.
Примеры
Просмотрим статистику для сетевого интерфейса «eth0». ifconfig eth0 eth0: flags=8103<UP,BROADCAST,PROMISC,MULTICAST> mtu 1500 inet 10.10.10.14 netmask 0xffffff00 broadcast 10.10.10.255 ether 00:04:35:03:f7:dd Info: "TEST TEXT" Physical link is UP, 100 Mbps Full-duplex, Auto PHY chip: Texas Instruments TLK10x ID: a2102000 +--------------------------------+------+-----+ | Supported modes| Self |Peer | +--------------------------------+------+-----+ | Auto-Negotiation| yes | yes | | 10 Mbps Half-duplex| yes | yes | | 10 Mbps Full-duplex| yes | yes | | 100 Mbps Half-duplex| yes | yes | | 100 Mbps Full-duplex| yes | yes | +--------------------------------+------+-----+ eth0: administrative status UP +--------------------------------+-----------------------------------+ | Receive statistics | Transmit statistics | +--------------------------------+-----------------------------------+ | Packets 151119 | Packets 28157 | | Bytes 28869191 | Bytes 11833627 | | Load (kbps) 22 | Load (kbps) 10 | | Load (pps) 14 | Load (pps) 6 | | Frame size (bytes) 196 | Frame size (bytes) 208 | +--------------------------------+-----------------------------------+ | CRC errors 0 | Carrier lost 0 | | Pause packets 0 | Excessive deferrals 0 | | Overruns 0 | Late collisions 0 | | Runts 0 | Multiple collisions 0 | | Short packets 0 | Single collisions 0 | | Alignment errors 0 | Lost in MAC frames 0 | | Long packets 0 | Excessive collision 0 | | Out of range 0 | Queue overflow 0 | | In range errors 0 | | | Descriptor errors 0 | | +--------------------------------+-----------------------------------+ |
В примере показаны способы назначения IP-адреса на сетевой интерфейс «eth0». ifconfig eth0 192.168.1.1/26 ifconfig eth0 192.168.1.1:255.255.255.192 ifconfig eth0 192.168.1.1 |
На сетевой интерфейс «eth0» установим основной адрес «193.124.189.1/27» и дополнительный «10.0.0.1», которые будут действовать одновременно. Первая команда также активирует интерфейс, если он был деактивирован. ifconfig eth0 193.124.189.1/27 up ifconfig eth0 10.0.0.1 alias |
Создадим виртуальный сетевой интерфейс, назначим ему метку VLAN со значением 5, и привяжем к физическому интерфейсу «eth0». После чего отменим связь логического интерфейса «vlan1» с физическим «eth0». ifconfig vlan1 up ifconfig vlan1 vlan 5 vlandev eth0 ifconfig vlan1 -vlandev eth0 |
Создадим виртуальный сетевой интерфейс «vlan2», присвоим ему метку VLAN со значением 2, и привяжем к интерфейсу «eth0», для данного интерфейса установлено значение MTU, равное 1500, и добавлена поддержка qinq. ifc vlan2 qinq mtu 1500 up ifc vlan2 vlan 2 vlandev eth0 |
Как работает ifconfig
При старте системы, на этапе начальной загрузки (в большинстве случаев) выполняется запуск ifconfig. При этом в качестве аргументов используются данные из конфигурационного файла по-умолчанию, либо переопределённые администратором/пользователем.
yum install net-tools -y
Для указания самого сетевого интерфейса в команде ifconfig используются имена, состоящие из двух или трёх символов, за которыми следует цифра, например: ln0, lo, lan0, eth0, ie0, we0 и т. д., однако в современных Linux-дистрибутивах всё чаще встречаются и более длинные наименования сетевых интерфейсов. Интерфейс lo в Linux обозначает интерфейс с обратной связью. Чтобы узнать, какие в системе используются сетевые интерфейсы, достаточно просто дать команду ifconfig, но стоит помнить, что в этом случае будут выведены только активные или включенные сети, т. е. если, к примеру в системе отключен какой-либо сетевой интерфейс (модуль беспроводной связи Wi-Fi/Bluetooth, например), то он в этом случае выведен не будет. Для получения списка всех сетевых интерфейсов, известных системе с их настройками нужно использовать команду ifconfig -a. Чтобы получить сведения о конкретном интересующем интерфейсе, следует явно указать в команде ifconfig его наименование:
$ ifconfig eth0
В данном выводе флаг RUNNING указывает, что eth1 является активным — т. е. имеет активные соединения и пропускает трафик. Флаг BROADCAST означает широковещательное соединение. Другими важными сведениями являются IP-адреса в семействах протоколов IPv4 (inet), IPv6 (inet6), подсеть — netmask, а также диапазон широковещательного соединения broadcast. Для анализа активности служат строки RX/TX.
Причины возникновения состояния «Errdisabled»
Эта функция была первоначально реализована для обработки особых конфликтных ситуаций, когда коммутатор обнаруживал в порту избыточные или поздние конфликты. Избыточные конфликты возникают, когда кадр отбрасывается из-за обнаружения 16 конфликтов подряд. Поздние конфликты возникают, когда каждое из подключенных к линии устройств определило, что линия занята. Ниже перечислены некоторые возможные причины ошибок данных типов:
- кабель, не соответствующий спецификациям (слишком длинный, неправильного типа или поврежденный);
- неисправная сетевая интерфейсная плата (с физическими неполадками или проблемами драйверов);
- неправильная конфигурация дуплексного режима порта.
Неправильная конфигурация дуплексного режима порта является распространенной причиной ошибок из-за невозможности правильного согласования скорости и дуплексного режима между двумя напрямую соединенными устройствами (например, сетевой адаптер, подключенный к коммутатору). Только у полудуплексных соединений могут возникать конфликты в ЛВС. Так как для Ethernet характерен множественный доступ с контролем несущей (CSMA), конфликты являются обычным явлением для полудуплексных соединений, пока они составляют малую часть трафика.
- Несоответствие дуплексных режимов
- неправильная конфигурация каналов портов
- нарушение защиты BPDU
- состояние обнаружения однонаправленной связи (UDLD)
- обнаружение поздних конфликтов
- обнаружение переброски канала
- нарушение безопасности
- переброска по протоколу агрегации портов (PAgP)
- защита протокола туннелирования уровня 2 (L2TP)
- ограничение скорости DHCP-отслеживания
- неисправный модуль GBIC, подключаемый модуль малого форм-фактора (SFP) или кабель
- проверка протокола ARP
- встроенное питание
Примечание: По умолчанию для всех таких причин включено обнаружение отключения из-за ошибки. Чтобы отключить обнаружение отключения из-за ошибки, выполните команду no errdisable detect cause. Команда show errdisable detect отображает состояние обнаружения отключения из-за ошибки.
1. Как настроить зеркалирование портов?
Обязательным условием настройки зеркалирования портов является обеспечение того, что сетевое устройство (независимо от коммутатора или маршрутизатора) поддерживает зеркалирование портов. Затем выберите один из режимов: зеркалирование локальных портов или настройка зеркалирования удаленных портов.
Схема конфигурации зеркалирования локального порта:
1. Создайте VLAN.
2. Добавьте порт источника и порт назначения в VLAN.
3. Настройте IP-адрес.
4. Настройте зеркалирование порта на порте назначения и скопируйте пакет с исходного порта на порт назначения.
План настройки зеркалирования удаленных портов:
1. Создайте исходный порт в глобальной схеме.
2. Настройте порт восходящей связи на одном коммутаторе.
3. Создайте порт назначения в глобальной схеме.
4. Настройте порт восходящей линии связи на другом коммутаторе.
Обратите внимание, что:
1. Конфигурация вступает в силу после установки одного порта в качестве порта источника и установки другого порта в качестве порта назначения в зеркалировании локального порта.
2. При создании группы зеркалирования можно установить только один порт назначения, но в группе может быть один или несколько исходных портов.
3. Если один порт был указан в качестве исходного порта в одной группе зеркалирования, он не может быть членом другой группы зеркалирования.
4. Если один порт был указан как порт назначения в одной группе зеркалирования, он не может быть членом другой группы зеркалирования.
5. Рекомендуется не применять STP, RSTP или MSTP к порту назначения, в противном случае устройство может работать со сбоями.
Общая конфигурация локальной сети
Когда мы говорим о продвинутой домашней сети или профессиональной сети, очень важно иметь правильная сегментация с помощью VLAN. Обязательно наличие роутера / брандмауэр который поддерживает VLAN со стандартом 802.1Q, который используется в настоящее время, благодаря этой поддержке VLAN мы можем настроить выделенную подсеть для каждой из VLAN, а также разрешить или запретить доступ между различными VLAN, которые у нас есть
Настоятельно рекомендуемая практика для обеспечения максимально возможной безопасности в сети — это: иметь определенную подсеть и VLAN для управления различными устройствами локальной сети, то есть коммутаторов, точек доступа WiFi, которые у нас есть, и контроллера WiFi программно или аппаратно. Все, что касается управления, администрирования и мониторинга различного сетевого оборудования, должно содержаться в этой VLAN.
Благодаря маршрутизаторам / брандмауэрам с поддержкой VLAN его можно настроить для предотвращения доступа из других VLAN к этой VLAN управления, с тем чтобы никто не мог получить доступ к меню веб-конфигурации различных устройств, доступ также не будет разрешен. через SSH или выполните обычный пинг. То есть все коммуникации из остальных подсетей, таких как «маркетинг», «гости», «рабочие», не будут иметь доступа к этой конкретной VLAN.
По умолчанию на всех компьютерах (маршрутизаторах, коммутаторах и точках доступа) VLAN ID 1 является VLAN управления и администрирования, этот идентификатор VLAN рекомендуется изменить в целях безопасности и применить соответствующие списки управления доступом для разрешения или запрета доступа. Например, если мы используем профессиональный маршрутизатор, такой как DSR-1000AC, мы можем настроить идентификатор VLAN, который нам нужен, и использовать определенную подсеть, остальные коммутаторы должны находиться в этой конкретной подсети.
Представим, что мы создаем VLAN ID 10 на маршрутизаторе / межсетевом экране, а также на коммутаторах, которые будут управляющими. В маршрутизаторе или брандмауэре мы должны создать этот идентификатор VLAN и пропустить все VLAN через интерфейс в «магистральном» режиме, то есть с тегами VLAN, чтобы коммутатор «понимал» различные VLAN, которые мы ему передаем.
Конфигурация управляющей VLAN в коммутаторах, также известной как «Management VLAN», настраивается несколькими способами:
- У нас есть специальное меню «Management VLAN», в котором мы выбираем VLAN, в которой мы хотим, чтобы управление происходило. Частный IP-адрес, который мы вводим в коммутатор, должен находиться в диапазоне управляющей VLAN 10, в противном случае используйте DHCP-клиент для автоматического получения IP-адреса.
- Если у нас есть коммутатор с функциями L3, мы должны создать «интерфейс IPv4» с VLAN ID 10 и предоставить частный IP-адрес в пределах диапазона управления VLAN 10 или использовать DHCP-клиент для автоматического получения IP-адреса.
Например, на этот раз мы использовали коммутатор D-Link DGS-3130-30TS, как видите, у нас настроены различные сети VLAN, а порты 25 и 26 помечены как «Tagged»:
В разделе «Интерфейс IPv4» мы создаем новый интерфейс с идентификатором VLAN, который нам нужен, мы помещаем IP-адрес для администрирования, и в это время мы сможем администрировать это устройство только через эту VLAN и с этим конкретным IP-адресом. .
В более простых переключателях, которые являются «умными», например, в линейке DGS-1210 от D-Link, у нас также есть эта функциональность с доступными аналогичными опциями. В этом случае это не позволяет нам удалить VLAN интерфейса по умолчанию, но мы можем отключить администрирование, поэтому мы будем в том же сценарии. Как видите, в этом случае мы также можем зарегистрировать VLAN, которую хотим для администрирования, фактически, это позволяет нам зарегистрировать до 4 IP-интерфейсов в этом интеллектуальном коммутаторе.
Это первый шаг к правильной настройке сетевой безопасности, правильному разделению сети на подсети с различными разрешениями благодаря спискам управления доступом или правилам в брандмауэре. Теперь посмотрим, какие меры безопасности мы можем предпринять для управляемых коммутаторов.
Как добавить алиас в сетевой интерфейс?
The ifconfig utility allows you to configure additional network interfaces using the alias feature. To add the alias network interface of eth0, use the following command. Please note that the alias network address is in the same subnet mask. For example, if your eth0 network ip address is 172.16.25.125, then the alias ip address must be 172.16.25.127.
Утилита ifconfig позволяет настраивать дополнительные сетевые интерфейсы с помощью функции alias. Чтобы добавить alias сетевого интерфейса eth0, используйте следующую команду
Обратите внимание, что сетевой адрес псевдонима находится в той же маске подсети. Например, если ip-адрес сети eth0 — 172.16.25.125, то ip-адрес псевдонима должен быть 172.16.25.127
~]# ifconfig eth0:0 172.16.25.127
Затем проверьте только что созданный alias сетевого интерфейса, используя команду «ifconfig eth0:0«.
~]# ifconfig eth0:0 eth0:0 Link encap:Ethernet HWaddr 00:01:6C:99:14:68 inet addr:172.16.25.123 Bcast:172.16.25.63 Mask:255.255.255.240 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:17