סוגי תקשורת בין וילאנים
Intra Vlan – בתוך הוילאן
זוהי תקשורת בתוך ה- Vlan עצמו. למשל שני מחשבים השייכים לאותו ה- Vlan (מתבצעת תקשורת רגילה כולל פרוטוקול ARP).
אם נסתכל בתמונה בין מנהל (1) לבין מנהל (3) זוהי תקשורת של Intra Vlan.
Inter Vlan – בין וילאנים
זוהי תקשורת המתבצעת בין וילאנים שונים. מכיוון שמתג הוא רכיב של שכבה 2, הוא אינו מעביר הודעות בין רשתות שונות (Vlan) לכן יש צורך בראוטר הוא רכיב של שכבה 3 ויכול להעביר מידע בין רשתות שונות.
אם נסתכל בתמונה בין מנהל למזכירה זוהי תקשורת של Inter Vlan.
מצב Access ומצב Trunk
הגדרת ברירת המחדל של כל הפורטים בסוויץ' היא מצב Access, מצב זה מאפשר לשייך לפורט של הסוויץ' רק Vlan אחד בלבד. מצב זה מתאים כאשר הסוויץ' מחובר לרכיבי קצה ומארחים כמו: מחשבים, מדפסות ועוד. – מכיוון שההודעות שיתקבלו הן רק מ- vlan אחד בלבד.
לעומת זאת כאשר הסוויץ' מחובר לרכיבי רשת אחרים כגון סוויץ' או ראוטר כנראה שנצטרך להעביר את תפקוד הפורט למצב Trunk המאפשר שיוך של יותר מ- vlan אחד.
Vlan Trunk
זהו עורק המחבר בין שני אביזרי רשת מתגים ו/או נתבים ומעביר יותר מ-Vlan אחד על גבי המדיה.
ציוד סיסקו תומך בפרוטוקול: IEEE 802.1Q להעברת עורקים באתרנט מהיר ובג'יגה-ביט אתרנט. פרוטוקול זה מכונה גם בקיצור DOT1Q. [ישנו גם פרוטוקול ISL אך פחות נפוץ].
פרוטוקול IEEE 802.1Q מוסיף מידע למסגרת המידע, המידע נקרא: תגית וילאן – VLAN Tag.
ה- Vlan Tag כולל את: Vlan ID (מספר ה-Vlan) המגדיר לאיזה Vlan המסגרת שייכת.
באמצעות Trunk אנו מעבירים מספר רשתות דרך קו פיזי אחד. אם היינו מחברים בין רכיבי רשת באמצעות Access היינו צריכים לחבר קו פיזי אחד עבור כל תת-רשת, וכאשר רוצים להוסיף עוד תת-רשת יש צורך בעוד קו פיזי. ברירת המחדל היא שה- Trunk מעביר את כל הוילאנים אך ניתן לאפשר גם וילאנים מסוימים.
כאשר מתג מקבל ב- Trunk מסגרת ללא "תג" הוא מעביר את המסגרת ל- Native Vlan.
Native Vlan מוגדר כברירת מחדל כ- 1 Vlan, אלא אם קבענו אחרת.
יש תמיד לוודא שה- Native Vlan מוגדר כאותו מספר Vlan בין הרכיבים המחוברים (על מנת שכל המידע יעבור בצורה תקינה).
כאשר המתג מעביר את המסגרת למחשב הסופי הוא "מקלף" את ה- "תג" ומעביר למחשב רק את מסגרת האתרנט.
הגדרת TRUNK
| שיוך ממשק ל- TRUNK | Switch(config)#interface fastethernet 0/<מספר> |
| Switch(config-if)#switchport mode trunk | |
| אפשור העברת כל ה- VLANים ב- TRUNK (זוהי ברירת המחדל). | Switch(config-if)#switchport trunk allowed vlan all |
| בחירת ה- VLANים המורשים. | Switch(config-if)#switchport trunk allowed vlan {add | except} |
פרוטוקול DTP – Dynamic Trunking Protocol
פרוטוקול DTP הוא פרוטוקול שפותח ע"י סיסקו ורכיבי סיסקו משתמשים בו כברירת מחדל. הפרוטוקול נועד כדי לנהל משא ומתן לגבי האם פורט מסוים יהיה במצב Trunk או לא.
DTP הוא פרוטוקול ששולח הודעות עדכון לגבי מצבי Trunkים באופן אוטומטי.
כך שלמשל: אם נניח יש לנו שני סוויצ'ים - סוויץ' A ו- סוויץ' B, ושניהם מחוברים בכבל מוצלב ביניהם (בפורטים fa0/24 אצל כל אחד) אז אם פורט fa0/24 של סוויץ' A מוגדר על מצב הנקרא Dynamic Auto, ואילו פורט fa0/24 של סוויץ' B הנמצא בצד השני של הכבל מוגדר על מצב Trunk, יהיה ביניהם יחסים של Trunk. - זאת מכיוון שסוויץ' B המוגדר כ- Trunk שולח הודעת עדכון - DTP לסוויץ' A, והרי סוויץ' A הוא במצב של Dynamic Auto וזה אומר שהוא מוכן להיות Trunk כל עוד הצד השני Trunk.
4 מצבים של Trunk
- מצב Access - מצב שבו אנו כופים על הפורט שלנו להיות במצב Access (כלומר מצב המקבל רק Vlan אחד בלבד - ההיפך מ- Trunk אם תרצו).
- מצב Trunk - מצב שבו אנו כופים על הפורט שלנו להיות במצב Trunk.
- מצב Dynamic Desirable - מצב שבו אנו מכניסים את הפורט שלנו למצב Trunk וגם גורמים לו להיות פעיל בלהפוך את הצד השני ל- Trunk - הוא יוזם את יצירת קשר ה- Trunk ושולח הודעות DTP כדי ליזום זאת.
- מצב Dynamic Auto - מצב שבו אנו מכניסים את הפורט שלנו למצב שבו הוא מקשיב לצד השני, אם הצד השני יהיה Trunk אז גם הוא יהפוך ל- Trunk.
- מצב ללא משא ומתן - מצב שבו פרוטוקול DTP מבוטל, והכל הולך לפי הגדרות ידניות שלנו אם מכניסים את הפורט ל- Access או ל- Trunk
לפי מצבים אלו אנו יכולים לקבוע האם יהיה יחסי Trunk בין שני סוויצ'ים או לא.
מתי יהיו יחסי Trunk ומתי לא?
- אם צד אחד Trunk, אז אם הצד השני הוא: Trunk, Dynamic Desirable או Dynamic Auto יש יחסי Trunk.
- אם צד אחד Dynamic Desirable, זה מתנהג כמו Trunk.
- אם צד אחד Dynamic Auto, אז אם הצד השני הוא: Trunk או Dynamic Desirable יש יחסי Trunk.
- אם צד אחד Access, אין יחסי Trunk בכל מקרה.
הסכנות ב- DTP
מהו מצב ברירת המחדל של פורט? - מצב ברירת המחדל של פורט הוא שגם פרוטוקול DTP פועל וגם שמצב הפורט הוא Dynamic Auto - אז מה קורה כאשר מגדירים בפורט של הסוויץ' שבצד השני מצב Trunk? - מיד מתקיים Trunk - מכיוון שהצד הראשון - הוא Dynamic Auto.
עכשיו תארו לכם שמגיע האקר או משתמש לא מורשה ומתחבר לסוויץ' של הארגון שלנו - מצב ברירת המחדל נשאר Dynamic Auto, הוא מגדיר אצלו בפורט מצב Trunk או מצב Dynamic Desirable ולמעשה - כעת מצליח להגדיר יחסי Trunk - ולקבל את כל המסגרות של הארגון! - זוהי פרצת אבטחה.
לכן כדי לסגור פרצה זו יש להגדיר כל פורט באופן ידני - אם רוצים שיהיה Trunk אז להגדיר טראנק או רוצים שיהיה Access אז להגדיר Access - ולא להשאיר את הפורטים על מצב ברירת המחדל.
בנוסף ניתן לכבות כליל את פרוטוקול DTP - כדי לכבות אותו יש לכתוב את הפקודה:
Switch(config-if)# switchport nonegotiate
את ההגדרות השונות של המצבים, ניתן לבצע ע"י הפקודות:
switch(config-if)#switchport mode access
switch(config-if)#switchport mode trunk
switch(config-if)#switchport mode dynamic desirable
switch(config-if)#switchport mode dynamic auto
