Лабораторна робота №3
Віртуальні локальні мережі
VLAN мережі (Віртуальні LAN) визначені у стандарті IEEE802.1Q. Вони використовуються для розподілу мережі на різні логічні віртуальні локальні мережі. Кожен користувач належить віртуальній LAN, незалежно від його місцезнаходження. Логічні групи користувачів обєднують мережеві компоненти, поширені по всій мережі,у загальний широкомовний домен. Це збільшує ефективність і зменшує кількістьконфліктуючих доменів. Кожна VLAN ідентифікована VID, це ціле числом від 1 до 4094 .
VLAN може бути реалізована, головним чином, мостами і комутаторами (з підтримкою VLAN).
Порти мостів і комутаторів розділені на два типи, залежно від їхпризначення уVLAN:
• Порти доступу: вони - порти за замовчуванням. Порт доступу може належати тільки одній VLAN і повідомлення, які проходять через нього, не позначатимутьсямітками. Вони зєднують пристосовані до VLAN пристрої зне пристосованими.
• Магістральні Порти: З’єднують VLAN мережі. Таким чином, фрейми від багатьох комутаторів можутьобмінюватися, незалежно від VLAN, якій вони належать. Фрейми, які проходять через цей порт, позначаються мітками.
Інформація про приналежність фреймів до певної LANпередається тільки коли фреймипередаються(тафтология) магістральним портом через магістральнепосилання. У цьому випадку, інформація про місце призначення LAN знаходитьсяумітці (у заголовку). Фрейми, що виходять з порту доступу, не мають ніякоїмітки, оскільки існує тільки одна VLAN на кожен порт доступу. Мітка, що ідентифікує приналежність до певної VLAN знаходиться всередині другого рівняфреймів, між заголовком MAC і даними.
Зв’язок між комутаторамиу VLAN побудований за допомогою магістральних посилань. Ми можемо під’єднати VLAN одна до одної використовуючи маршрутизатори або однорукі маршрутизатори.
Рис. 3.1 Пакет, позначений міткою
VLANсумісні з багатьма рівнями другого рівня, такими як Ethernet, FDDI, TokenRing і MAC.
Приклад виконання лабораторної роботи
У цій лабораторній роботі ми змоделюємо мережу EADC (Європейська аерокосмічна і оборонна компанія), яка складається з чотирьох мереж: дві проектні групи (Еврофайтер і АеробусA380), які повинні ділитися інформацією про новуконструкцію двигуна; загальна інформаційнамережакорпорації (WebAndMailServer) і мережа під назвою TopSecret, конфіденційну інформацію якої ми хочемо захистити від зловмисників. У нас є шпигун (секретар), що має доступ тільки до WebAndMailServer.
Рис. 3.2 Розподіл робочих станцій у групи
У першому сценарії, NoVLAN, ми не налаштовуватимемо можливостікомутаторів VLAN ітоді у шпигуна буде доступ до конфіденційної бази даних. У другому сценарії, SeparatedVLANs, чотири незалежних мережі VLAN дадуть доступ до TopSecretтільки дозволеним користувачам. Це забезпечить безпеку, але не дозволить Еврофайтеру і АеробусA380 спілкуватися одне з одним, і таким чином вимоги сценарію не будуть виконаними. Третій сценарій, VLANsCommunicatedWithOneArmedRouter, дозволить цим двом групам спілкувалися одне з одним за допомогою унікального маршрутизатора.
Створення сценарію
1. Відкрийте новий Проект в OPNET IT GuruAcademicEdition (File =>New Project) та задайте такі параметри (для решти залиште значення за замовчуванням):
1 Назва проекту:<ваше_ім’я> _VLANs
2 Назва сценарію: SenseVLAN
3 Масштаб мережі: Офіс
У Майстрі Запуску натискайтеNext до завершення. Нова порожня сітка зявиться у новому Редакторі Проекту.
Для зміни масштабу натисніть +
2 . Розгорніть в сценарії такі компоненти :
Кількість Компонент Палітра
4 ethernet_server internet toolbox
7 ethernet_wkstn internet toolbox
7 ethernet16_switch internet toolbox
1 IP Attribute Config internet toolbox
100BaseT internet toolbox
L7.3Компоненти мережі
Рисунок 7.4 показує компоненти на сітці з їх остаточнимрозташуванням. Важливодотримуватися іменування (правий клік =>SetName), оскільки ми будемо посилатися на ці імена надалі.
L7.4 Побудованийсценарій
Структура сценарію складається з 4 поверхів з комутаторомна кожнийсервер і робочу станціюна поверхахSwitchFloor1 ... 3. На 0 поверсі у нас також є 3 комутаторапід назвою SwitchToChangeFloor1 ... 3 і центральний комутатор (CentralSwitch). Центральний комутаторпід’єднаний до усіхSwithToChangeFloors, і кожен SwitchToChangeFloorпід’єднаний до усіхSwitchFloor.
На 1 поверсі знаходяться генеральний директор, президент і керівник Єврофайтера; На 2 поверсі знаходяться секретар,керівникAirbusA380, інженер AirbusA380 і інженер Єврофайтера. На 3 поверсі знаходяться всі сервери: WebAndMailServer, TopSecret DB, AirbusA380 DB і Еврофайтер.
Ми додали деякі візуальні компоненти (ми замінили іконкуHacker і намалювалиструктуру будівлі).
Всюди використовувалися дроти 100BaseT.
3. Налаштуванняping :
У цьому сценарії ми не налаштовуватимемо жодних профілів або програм, оскільки єдине, що ми хочемо визначити -до яких серверівякі робочі станції мають доступ. Ми тільки використовуватимемо інструменти ping. Ми виконаємо ping від випадкової станції від кожної групи (Еврофайтер, AirbusA380, Секретар і Управління) до кожного з 4 серверів. Одночасно ми вивчимо трасування, відредагуємо атрибути ping і встановимо PingPattern: RecordRoute. Ping створеніз компоненту ip_ping_trafficз палітри internet_toolbox. Замість створення запитів трафіку і редагування атрибутів длякожного з них (необхіднозмінитиPingPattern), простіше створити один запит, налаштувати його атрибути та скопіювати для рештизапитів.
L7.5Створення Ping
4.Налаштування тривалості моделювання:
У редакторі проекту, клацніть configure/runsimulation , і задайте Duration: 15 minute(s). Натисніть кнопку ОК (ще не починайте моделювання).
Створення другого і третього сценарію
1. У Редакторі проекту натиснітьScenario=>DuplicateScenario... Створіть новий сценарійSeparatedVLANs і натисніть ОК.
2. Виділітьвсікомутатори ізамініть значення атрибутів VLAN Parameters=>Scheme: Port-Based VLANдля всіх них. Тепер ці комутатори розділятимуть підключені пристрої на віртуальні мережі. Збережіть за допомогою ApplyChangestoSelectedObjects.
L7.6 Зміна схеми комутаторів
3) Визначення станції мережVLAN:
- Визначення VLANs перемикачів
Кожна робоча станція або сервер належать до VLAN. Кожен комутатор підключений до станційрізними портами. Ми це можемо побачити вибравши посилання (зв’язок) мишкою і зачекавши кілька секунд. На рисунку L7.6 зображеніпосилання SwitchFloor3-EurofighterDB і порт комутатора P0. Запишіть всі назвипосилань і портів, цесуттєво допомагає.
L7.6 Відображення інтерфейсу посилання
Відповідність посилання-номер порту встановлюється після створення посилання, і можевідрізнятися в залежності від порядку створення, тому це нонсенсзанотовувати їх у цьомукерівництві, але ми можемо працювати з атрибутами комутаторів.
L7.7Атрибути комутаторів
Натиснувши на знак питання кожного поля ми побачимо докладний опис:
• VLAN Parameters=>SupportedVLANs
ВизначаєVLAN мережі, підтримувані цим вузлом і забезпечує атрибути дляналаштуванняцих VLAN. За замовчуванням вузол підтримує один VLAN, а саме "VLAN 1" (тобто VLANза замовчуванням).
Для налаштування VLANмереж, підтримуваних портом, натисніть на поле і виберітьEdit... і в спливаючому діалозі додайте рядок для кожної VLAN, підтримуваноїцим вузлом, яка ідентифікується за їїVID. Для решти параметрівзалиште значення за замовчуванням.
L7.7 Під’єднання підтримуваних VLAN мереж до комутатора
•SwitchPortconfiguration=>rownum_port=>VLAN Parameters=>Port
VLAN Identifier (PVID)
Визначає ідентифікатор VLAN, який буде зазначатися на всіх вхідних "немаркованих" пакетах на цей порт (якщо сусідній пристрій підтримує VLAN).
Для портів доступу, PVID порту має бути VID однієї з VLAN, зазначеної під атрибутом вузла "VLAN Parameters=>SupportedVLANs".
•SwitchPortconfiguration =>rownum_port =>VLAN Parameters =>Port
Type
Вказує тип порту. Тип порту визначає, як пакети будуть перенаправлятися. Порти доступу видаляють інформацію про VLAN з пакетів перед пересиланням, в той час як магістральні порти завжди пересилають пакети зVLAN мітками, отже вони завжди містятьінформацію про VLAN. Гібридні порти роблять дещо спільне: вони приймають рішення про пересилання пакета з VLAN міткою або без на основі VLAN класифікації пакета. У стандартнихналаштуваннях, порти доступу призначені для з’єднання кінцевих вузлів і непристосованих до VLAN вузлів до VLAN-aware-bridged-network (это я наверноеспрошу у букасова, это же термин, хзкак его назвать), тоді як магістральні порти використовуються для підключення VLAN-aware-bridged-network одна з одною. На основі тієї ж логіки, гібридні порти використовуються для з’єднання LAN мережчерез деякі кінцеві вузли і деякі пристосовані до VLAN вузли, які є доступними. Незалежно від типу, порти можуть підтримувати скільки завгодно VLAN мереж, і настільки довго, наскільки ці VLAN мережі підтримуються оточуючим вузлом. Очікується, що магістральні порти підтримуватимутьдекількаVLAN мереж, але вони мають бути налаштовані під братського атрибута "SupportedVLANs" (тобто вони не підтримують всі VLAN мережіза замовчуванням)
•SwitchPortconfiguration =>rownum_port =>VLANParameters =>SupporedVLANs =>Identifier
Ідентифікатор VLAN підтримується на цьому порту. Цей VLAN ідентифікатор повинен бути визначений під атрибутом "VLAN Parameters=>SupportedVLANs " вузла.
Цей параметр налаштовується для кожного порту(num_port).
Ми налаштувати кожен комутатор зSupportedVLANs: Default (VID 1),Eurofighter (2), AirbusA380 (3), Secretary (4) andManagement (5). Після цього необхідно вибрати всі комутатори, rightbutton =>EditAttributes і встановити SupportedVLANs, як показано на наступному рисунку. Не забудьте перевірити ApplyChangestoSelectedObjects
L7.9 VLAN мережі, підтримувані комутаторами цієї лабораторної
У наступна таблицядеталізує параметри для кожного порту всіх комутаторів. Номер порту написано в дужках, оскільки він може відрізнятися, в залежності від порядку створення.
L7.10 Налаштування комутаторів цієї лабораторної
Створення другого сценарію
Перший сценарій розділяє VLANмережі виглядають після безпеки для управління VLAN, але створює 4 ізольованих мережі, які не можуть спілкуватися одна з одною. Нам потрібно, аби мережі Eurofighter і AirbusA380 спілкуватися одна з одною, тому в цьому сценарії ми використовуватимемо маршрутизатор, щоб зробити звязок між ними можливим.
Звязок між VLAN може бути реалізований за допомогою маршрутизаторів, тому що інформаціїстосовно актуальності VLAN не існує, коли пакети передаютьсяна IP. Якщо маршрутизатор підключений до пристосованогодо VLAN пристрою з портом доступу PVID 1 (VLAN за замовчуванням), то пакети, якінадходять на цей маршрутизатор, будуть повязані з VLAN # 1, і вони будуть повторно передаватися для всіх мережевих портівїх шляху до місця призначення доти, доки ці порти належать до VLAN # 1.
1. З Project Editor, Scenario =>DuplicateScenario... Новий сценарії матиме ScenarioName: VLANsCommunicatedWithOneArmedRouter.
2. Розгорніть у сценарії ethernet_one_armed_router. Цей продукт може бути недоступним з ObjectPaletteв деяких версіях OPNET IT Guru, але ви можете використовувати його, помістивши на сітці будь-який пристрій, а потім змінити значенняmodelуAttributes, івибравши правильний компонент зі списку (рисунок L7.11). Підключіть маршрутизатор до CentralSwitchвикористовуючи дроти 100BaseT. Перейменуйте маршрутизатор, Name: OneArmedRouter. Натисніть ОК.
L7.11 Перетворення будь якого компоненту на ethernet_one_armed_router
L7.12 НовийOneArmedRouter
3. Налаштування маршрутизатора для забезпеченнякомунікації між VLAN
У цій лабораторній тільки дві VLAN мережімають спілкуватися, а саме: Eurofighter і AirbusA380. Це може бути реалізовано за допомогоюоднорукого маршрутизатора, це маршрутизатор з одним фізичним інтерфейсом, який підтримує багато підінтерфейсів. Кожен з цих підінтерфейсів відображається на VLAN мережах, між якими має бути звязок. Наприклад, у цій мережі фізичний інтерфейс маршрутизатора буде підтримувати два підінтерфейси, які відображаються наEurofighter і AirbusA380. IP-адреси підінтерфейсів, вузли, які належать до однієї VLAN, і робочі станції і сервери, які належать до однієїVLAN є параметри, які можна налаштувати для того, щоб кожна VLAN відображаласяу IP мережі:
• VLAN Eurofighter: 192.0.2.0/24
• VLAN AirbusA380: 192.0.3.0/24
• VLAN Secretary: 192.0.4.0/24
• VLAN Management: 192.0.5.0/24
Пакети, що надходять на IP-адресу маршрутизатора, повязані з підінтерфейсом, до якого вони належать, залежно від VLAN, отже пакет направляється на наступний стрибок через інший підінтерфейс, який визначає VLAN актуальність для вихідного пакету.
Для налаштування підінтерфейсу фізичного інтерфейсу однорукого маршрутизатора, ми повинні змінити атрибут IP RoutingParameters =>InterfaceInformation =>row 0 =>Subinterfaceinformation =>rownum_subinterface. У цьому атрибуті, ми можемо відобразити будь який підінтерфейс на VLAN шляхом зміни атрибута Layer 2 Mappings =>VLAN Identifier. При налаштуванні інтерфейсу для підтримки підінтерфейсів, необхідно також налаштувати параметри під гілкоюInterfaceInformation =>SubinterfaceInformationпротоколу маршрутизації, який використовується в цьому підінтерфейсі. У нашомувипадку, це RIPParameters.
• Призначення всім робочим станціям IP адреси
Робочастанція IP адреса
EurofighterEngineer 192.0.2.2
EurofighterTeamLeader 192.0.2.3
EurofighterDB 192.0.2.4
AirbusA380Engineer 192.0.3.2
AirbusA380TeamLeader 192.0.3.3
AirbusA380DB 192.0.3.4
Secretary 192.0.4.2
WebAndMailServer 192.0.4.3
CEO 192.0.5.2
President 192.0.5.3
TopSecretDB 192.0.5.4
L7.13 IP Адреси всіх робочих станцій
Маска підмережі255.255.255.0 для всіх пристроїв
• Налаштування атрибутів однорукого маршрутизатора OneArmedRouter..
Розгорніть ієрархію IP RoutingParameters =>InterfaceInformation =>row. Встановіть адресу: No IP Address і змініть значення SubinterfaceInformation =>rows на 4 для кожного підінтерфейсу VLANs. Після цього розгорніть рядки та змініть тільки наступні:
рядок Назва Статус Адреса Маска підмережі VLAN ID
0 IF0.2 Same as Parent 192.0.2.1 255.255.255.0 2
1 IF0.3 Same as Parent 192.0.3.1 255.255.255.0 3
2 IF0.4 Shutdown 192.0.4.1 255.255.255.0 4
3 IF0.5 Shutdown 192.0.5.1 255.255.255.0 5
L7.14 Налаштування підінтерфейсів OneArmedRouter
Поле Status вказує, які VLAN мережі мають бути зєднані між собою, отже тільки VLAN мережі 2 і 3 мають бути піднятими, і коли ми встановлюємо SameasParent це означає, що він має той же стан, що і інтерфейс, отже підінтерфейс буде також піднятим.
• Налаштування параметрів маршрутизатора підінтерфейсу
У атрибутах OneArmedRouter розгорніть гілку RIPParameters =>InterfaceInformation =>row 0 =>SubinterfaceInformation. Можливо, що 4 рядки двох підінтерфейсів, які ми щойно створили, ще не відображаються, у цьому випадку потрібно закрити діалог натиснувши ОК, та відкрити його заново. Необхідно перевірити, чи у всіх полях Name ті значення, які ми задали.
• Налаштування параметрів порту CentralSwitch, під’єднаного до OneArmedRouter.
У нашому випадку це порт P11. Ми маємо задати такі значення: SwitchPortConfiguration =>rownum_port =>VLAN Parameters =>Port VLAN Identifier(PVID): 1; PortType: Trunk; SupportedVLANs: 2 and 3 (ми маємо створити 2 нових рядки та встановити ці VID)
4. Запуск симуляції:
У Project Editor, Scenarios =>ManageScenarios.. Ми можемо вибрати <collect>чи<recollect> у колонці Results для кожного сценарію та після цього натиснути ОК. Коли 3 симуляції завершаться натисніть Close.
Питання:
1. Порівняйте вдалі і невдалі пінги. В якому сценарії TopSecretDB знаходиться в безпеці від атак секретаря? В якому сценаріїробочі станції мережEurofighter і AirbusA380 можуть спілкуватися одна з одною?
2. VLAN мережі також використовуються для зниження мережевого трафіку. Створіть сценарій, який включає:
• 6 LANs 100BaseT_LAN
• 3 комутатори ethernet16_switch
• 1 controlApplicationConfig
• 1 controlProfileConfig
• 3 ethernet_serverservers
З цими компонентами створіть сценарій з рисунку L7.15 та назвіть VLANsTrafficReductionWithoutVLANs, використавши дроти 100BaseT. Важливо використовувати назви з рисунку, так як ми посилатимемося на них надалі.
L7.15IP адреси станцій
У контролі конфігурацій додатку ми тільки можемо змінити значення поля ApplicationDefinitions у значення за замовчуванням. Отже деякі типові проекти, які ми створимо, ми можемо пізніше використовувати у ProfileConfigcontrol.
Створіть один профіль та назвіть CommonProfile, який буде допускати додаткиDatabase Access (Heavy), FileTransfer (Heavy), Email (Heavy), які будуть частиною DefaultApplicationDefinitions.
Змініть атрибути 3-ох серверів, так аби вони мали поле Application: SupportedServices зі значенням All. Таким чином, у нас є всі додатки з усіма сервісами, визначеними у контролі додатків.
6 LAN мереж можуть бути створені з наступними значеннями:
• Кількість робочих станцій: 10
• Додатки: SupportedProfiles допускає єдиний профіль визначений у CommonProfile. Ми хочемо, аби всі робочі станції LAN мали цей профіль, отже ми можемо задати Entire LAN у полі NumberofClients.
6 робочих станцій назвіть LAN 1,...,LAN 6і задайте користувацькі імена серверів ServerVLAN1,...,ServerVLAN3; Встановіть тривалість симуляції 20 minutes; Скопіюйте сценарій і копію назвіть VLANsTrafficReductionWithVLANs. Встановіть комутатори сценарію так, аби вони мали 3 VLAN мережі, які містять по 2 LAN кожна, як показано на рисунку. Назвіть 3 нові VLAN мережіRed, GreenіBlue з такими VID: 2, 3 і 4. VLAN мережі групуватимуть разом такі комп’ютери:
• VLAN Red: LAN 2, LAN 4 і Server VLAN 2.
• VLAN Green: LAN 1, LAN 5 і Server VLAN 3.
• VLAN Blue: LAN 3, LAN 6 і Server VLAN 4.
a) Які значення ви використовували для налаштування комутаторів?
b) Порівняйте пропускну здатність від точки до точки (у Біт/сек) кожного з двох зав’язків кожного сценарію. Яке зниження трафіку (у %) ми маємо? Чому?
Лабораторна №3 Вiртуальнi локальнi мережi
Лабораторная работа по предмету «Компьютерные сети»