About Teletype
Join
Bilol Axmadov
@bilol_media
January 25

VLANS

Virtual LANs (VLANlar):

LAN segmentlari orasiga router qo‘shish broadcast domenlarni kichraytiradi va tarmoq aloqalarini optimal qiladi. LAN segmentidagi xostlar joylashuvi tarmoq adreslashiga qarab farq qiladi. Xostlarning noto‘g‘ri tarmoqga tayinlanishi apparat (hardware) resurslarining samarasiz ishlatilishiga olib kelishi mumkin, chunki ba’zi switch portlari ishlatilmay qoladi.

Virtual LANlar (VLANlar) tarmoqni mantiqiy segmentlarga ajratadi va bir switchda bir nechta broadcast domen yaratadi. VLANlar switch portlaridan samarali foydalanishni ta’minlaydi, chunki har bir port kerakli broadcast domen bilan bog‘lanishi mumkin, va bir switch ichida bir nechta broadcast domen mavjud bo‘lishi mumkin. Bir VLAN ichidagi tarmoq qurilmalari boshqa VLANdagi qurilmalar bilan odatdagi Layer 2 yoki broadcast trafik orqali muloqot qila olmaydi.

VLANlar Institute of Electrical and Electronic Engineers (IEEE) 802.1Q standartida aniqlangan bo‘lib, unda paket sarlavhasiga 32 bit qo‘shiladi. Ushbu bitlar quyidagi maydonlarni o‘z ichiga oladi:

  1. Tag protocol identifier (TPID): Bu 16-bitli maydon bo‘lib, paketni 802.1Q paketi sifatida aniqlash uchun 0x8100 qiymatiga ega bo‘ladi.
  2. Priority code point (PCP): Bu 3-bitli maydon bo‘lib, Layer 2 darajasidagi sifatlarga xizmat (QoS) sifatida xizmat sinfini (class of service) bildiradi.
  3. Drop eligible indicator (DEI): Bu 1-bitli maydon bo‘lib, bandwidth yetishmasligi (bandwidth contention) yuzaga kelganda paketni tashlash mumkinligini ko‘rsatadi.
  4. VLAN identifier (VLAN ID): Bu 12-bitli maydon bo‘lib, tarmoq paketiga tegishli VLANni aniqlaydi.

VLAN identifikatori faqat 12 bitdan iborat bo‘lib, bu 4094 ta unikal VLANni yaratish imkonini beradi. Catalyst switchlar VLAN identifikatorlari uchun quyidagi mantiqdan foydalanadi:

  1. VLAN 0 — 802.1P trafik uchun ajratilgan va o‘zgartirilishi yoki o‘chirilishi mumkin emas.
  2. VLAN 1 — standart (default) VLAN bo‘lib, o‘zgartirilishi yoki o‘chirilishi mumkin emas.
  3. VLAN 2 dan VLAN 1001 gacha — bu VLANlar normal VLAN diapazoniga kiradi va ularni qo‘shish, o‘chirish yoki tahrirlash mumkin.
  4. VLAN 1002 dan VLAN 1005 gacha — rezerv qilingan va o‘chirilishi mumkin emas.
  5. VLAN 1006 dan VLAN 4094 gacha — bu VLANlar kengaytirilgan VLAN diapazoniga kiradi va ularni qo‘shish, o‘chirish yoki tahrirlash mumkin.

VLANlar quyidagi global konfiguratsiya buyrug‘i orqali yaratiladi:
vlan vlan-id
VLANga tegishli do‘stona nomni 32 belgigacha bo‘lgan formatda quyidagi VLAN submode konfiguratsiya buyrug‘i orqali bog‘lash mumkin:
name vlanname
VLAN faqat buyruqlar kiritilib, komandalar interfeysi (CLI) global konfiguratsiya kontekstiga qaytilgandan keyin yaratiladi yoki boshqa VLAN identifikatori uchun buyruq kiritilgandan so‘ng amalga oshiriladi.

1-Example: Quyida SW1 switchida VLAN 10 (PCs), VLAN 20 (Phones), va VLAN 99 (Guest) ni yaratish jarayoni ko‘rsatilgan:

vlan 10

name PCs

vlan 20

name Phones

vlan 99

name Guest

VLAN va ularning portlarga tayinlanishini tekshirish: Quyidagi buyruqlar VLAN konfiguratsiyasi va portlarga tayinlanganligini tekshirish uchun ishlatiladi:
show vlan [{brief | id vlan-id | name vlanname | summary}]

2-Example: Quyidagi buyruq natijasi quyidagi asosiy to‘rt bo‘limga bo‘linadi:

  1. VLAN va portlar o‘rtasidagi bog‘lanish.
  2. Tizimning MTU (Maximum Transmission Unit) parametrlari.
  3. SPAN (Switch Port Analyzer) sessiyalari.
  4. Xususiy VLANlar (Private VLANs).

show vlan buyrug‘ining ixtiyoriy kalit so‘zlari quyidagi afzalliklarni taqdim etadi:

  1. brief:
    • Faqatgina port va VLAN o‘rtasidagi mosliklarni ko‘rsatadi.
    • Bu variant orqali qisqacha ma’lumot olish mumkin.
  2. summary:
    • VLANlar sonini ko‘rsatadi.
    • VTP (VLAN Trunking Protocol) bilan ishlaydigan VLANlarni va kengaytirilgan VLAN diapazoniga kiruvchi VLANlarni ko‘rsatadi.
  3. id vlan-id:
    • Buyruq natijalarini faqat kiritilgan VLAN identifikatori (raqami) bo‘yicha filtrlaydi.
    • Asl buyruqning barcha chiqishini, lekin faqat tanlangan VLAN raqami bilan bog‘liq ma’lumotlarni ko‘rsatadi.
  4. name vlanname:
    • Buyruq natijalarini faqat kiritilgan VLAN nomi bo‘yicha filtrlaydi.
    • Asl buyruqning barcha chiqishini, lekin faqat tanlangan VLAN nomi bilan bog‘liq ma’lumotlarni ko‘rsatadi.

Masalan:

  • show vlan id vlan-id: Faqat kiritilgan VLAN identifikatoriga tegishli ma’lumotlarni ko‘rsatadi.
  • show vlan name vlanname: Faqat kiritilgan VLAN nomiga tegishli ma’lumotlarni ko‘rsatadi.

Izoh:
id vlan-id va name vlanname kalit so‘zlarining chiqish natijalari bir xil, lekin ular mos ravishda VLAN identifikatori yoki nomi bo‘yicha filtrlanadi.

1-Example: Quyida ushbu ixtiyoriy kalit so‘zlarning ishlatilishi ko‘rsatilgan va har bir buyruq natijasi tasvirlangan.

  • Masalan, show vlan brief — qisqa va faqat port-VLAN mosligini ko‘rsatadi, boshqa ortiqcha ma’lumotlarni tashlab ketadi.

Access Portlar

Access portlar boshqariladigan switchning asosiy qurilish bloklari hisoblanadi. Access port faqat bitta VLANga tayinlanadi. U belgilangan VLANdan o‘ziga ulangan qurilmaga yoki qurilmadan o‘sha switchdagi bir xil VLANdagi boshqa qurilmalarga trafik uzatadi. 802.1Q teglar access portlar orqali uzatilgan yoki qabul qilingan paketlarda mavjud emas.

Catalyst switchlari odatda switch portlarini VLAN 1 uchun Layer 2 access port sifatida sozlaydi. Portni qo‘lda access port sifatida sozlash uchun quyidagi buyruq ishlatiladi:
switchport mode access
Portni ma’lum bir VLANga ulash uchun quyidagi buyruq ishlatiladi:
switchport access {vlan vlan-id | name vlanname}

Yangi dasturiy ta’minot versiyalarida VLANlarni access portga nom orqali bog‘lash imkoniyati qo‘shilgan, ammo konfiguratsiyada ular raqamli formatda saqlanadi.

1.4-Example: Quyida Gi1/0/15 va Gi1/0/16 switch portlari Guests uchun VLAN 99 ga access port sifatida sozlanishi ko‘rsatilgan. E’tibor bering, oxirgi konfiguratsiyada ikkala port uchun ham raqamli format saqlangan, hatto buyruqlar turli xil tarzda kiritilgan bo‘lsa ham.

Example-1.4

Trunk Portlar

Trunk portlar bir nechta VLANlarni tashiy oladi. Trunk portlar odatda bir nechta VLANlar o‘rtasida aloqa o‘rnatish kerak bo‘lganda ishlatiladi, masalan, switch va boshqa switch, router yoki firewall o‘rtasida, bitta port orqali.

Uzoq trunk ulanish orqali kelgan paket qabul qilinganda, sarlavhalar tekshiriladi, trafik tegishli VLANga bog‘lanadi, so‘ngra 802.1Q sarlavhalari olib tashlanadi va trafik ushbu VLAN uchun MAC manzil asosida keyingi portga yo‘naltiriladi.

ESLATMA: Virtualizatsiya joriy etilishi bilan ba’zi serverlar operatsion tizim uchun gipervizor ishlatadi va turli VLANlarga ega bo‘lgan virtual switchni o‘z ichiga oladi. Bu serverlar trunk port orqali ulanishni ta’minlaydi.

Trunk portlarni sozlash:
Catalyst switchlarida trunk portlar quyidagi interfeys buyrug‘i yordamida statik ravishda belgilanadi:
switchport mode trunk

Misol 1-5: Quyida Gi1/0/2 va Gi1/0/3 trunk portga aylantirilishi ko‘rsatilgan.

SW1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)# interface gi1/0/2 SW1(config-if)# switchport mode trunk SW1(config-if)# interface gi1/0/3 SW1(config-if)# switchport mode trunk

Trunk portlarni tekshirish uchun show interfaces trunk buyrug‘i haqida to‘liq tarjima:

show interfaces trunk buyrug‘i tarmoq qurilmalari o‘rtasidagi ulanishni tekshirish uchun bir necha bo‘limdan iborat qimmatli ma’lumotlarni taqdim etadi:

  1. Birinchi bo‘lim:
    • Trunk port bo‘lgan barcha interfeyslar ro‘yxatini, ularning holatini, EtherChannel bilan bog‘lanishini va VLANning native VLAN ekanligini ko‘rsatadi.
    • Native VLANlar keyingi bo‘limda tushuntiriladi.
    • EtherChannel esa 5-bobda ("VLAN Trunks va EtherChannel Bundles") ko‘rib chiqiladi.
  2. Ikkinchi bo‘lim:
    • Trunk portda ruxsat etilgan VLANlar ro‘yxatini ko‘rsatadi.
    • Trunk portlardagi trafikni minimallashtirish uchun VLANlarni faqat ma’lum switchlarga cheklash mumkin. Bu shuningdek, broadcast trafikni ham cheklash imkonini beradi.
    • Yana bir qo‘llanilish holati — tarmoq ulanishlari o‘rtasida yukni muvozanatlash (load balancing), bunda tanlangan VLANlar bir trunk portga, boshqa VLANlar esa boshqa trunk portga ruxsat etiladi.
  3. Uchinchi bo‘lim:
    • Switchda forwarding state holatida bo‘lgan VLANlarni ko‘rsatadi.
    • Bloklangan holatda bo‘lgan portlar ushbu bo‘limda ko‘rsatilmaydi.

Misol 1-6: Quyida show interfaces trunk buyrug‘ining ishlatilishi va har bir bo‘limning izohi ko‘rsatilgan. Bu buyruq trunk portlarning holatini tekshirish uchun muhimdir.

Native VLANs

IEEE 802.1Q standartiga ko‘ra, trunk port orqali uzatiladigan yoki qabul qilinadigan 802.1Q VLAN tegiga ega bo‘lmagan barcha trafik native VLAN bilan bog‘lanadi. Odatiy holatda, native VLAN bu VLAN 1.

Native VLANning ishlash prinsipi:

  • Agar switchda ikkita access port VLAN 10 ga ulansa va trunk portning native VLANi 10 bo‘lsa, trunk portga ulangan qurilma (host) access portdagi qurilmalarga muammosiz ulanishi mumkin.
  • Native VLAN ikkala trunk portda mos kelishi kerak. Agar mos kelmasa, trafik noto‘g‘ri VLANga o‘tib ketishi mumkin. Bu esa tarmoq muhandislari uchun chalkashlikka olib keladi va tavsiya etilmaydi.

Native VLANni o‘zgartirish:

  • Native VLAN portga xos sozlama bo‘lib, quyidagi buyruq bilan o‘zgartiriladi: switchport trunk native vlan vlan-id

Tavsiya:

  • Cisco xavfsizlik bo‘yicha qattiq sozlamalar tavsiyalariga ko‘ra, native VLANni VLAN 1 bo‘lmagan boshqa VLANga o‘zgartirish kerak.
  • Eng yaxshisi, native VLAN sifatida foydalanilmaydigan VLANni tanlash (masalan, unga hech qanday qurilma ulanmagan bo‘lishi kerak).

Allowed VLANs

Trunk portda VLANlarni cheklash:

  • VLANlar trunk portlardan o‘tishini cheklash tarmoq trafikini optimallashtirishning samarali usuli hisoblanadi.
  • Agar ikkita qurilma trunk orqali ulanishi kerak bo‘lsa, lekin VLAN trunk portda ruxsat etilmagan bo‘lsa, tarmoqda ulanish muammolari paydo bo‘lishi mumkin.

Allowed VLANlarni sozlash:

  • Trunk orqali o‘tishga ruxsat etilgan VLANlar quyidagi buyruq orqali belgilanadi: switchport trunk allowed vlan vlan-ids

Misol 1-7: VLANlarni trunk portga cheklash

Quyida Gi1/0/1 trunk portga faqat VLAN 1, 10, 20 va 99 o‘tishini ta'minlash konfiguratsiyasi keltirilgan:

SW1# show run interface gi1/0/1
interface GigabitEthernet1/0/1
 switchport trunk allowed vlan 1,10,20,99
 switchport mode trunk

Qo‘shimcha sozlama opsiyalari:

Buyruqning to‘liq sintaksisi:

switchport trunk allowed {vlan-ids | all | none | add vlan-ids | remove vlan-ids | except vlan-ids}
  • all: Barcha VLANlarni trunk orqali ruxsat etadi.
  • none: Hech qanday VLANga ruxsat bermaydi.
  • add vlan-ids: Joriy ruxsat etilgan VLANlar ro‘yxatiga yangi VLANlarni qo‘shadi.
  • remove vlan-ids: Joriy ruxsat etilgan VLANlar ro‘yxatidan ko‘rsatilgan VLANlarni olib tashlaydi.
  • except vlan-ids: Ko‘rsatilgan VLANlardan tashqari barcha VLANlarga ruxsat beradi.

Muhim eslatma:

  • add va remove kalit so‘zlari ssenariylar (skriptlar) uchun eng yaxshi usuldir.
  • Xatolikdan saqlanish: Ba’zida switchport trunk allowed vlan vlan-ids buyrug‘i faqat yangi VLANlarni kiritish uchun ishlatiladi, lekin bu mavjud VLAN ro‘yxatini to‘liq o‘chirib yuboradi. Bu natijada boshqa VLANlar uchun trafik yo‘qolishiga olib kelishi mumkin. Shuning uchun, mavjud VLANlarni qo‘lda tahlil qilish kerak.
Bilol Axmadov
January 25, 16:44
0 views
0 reactions
0 replies
0 reposts