Виртуальное разделение сегмента Ethernet-сети (VLAN)

План работы

I. Связь виртуального сетевого окружения с реальным сетевым оборудованием

В сетевом симуляторе GNS3 постройте сегмент сети из 2-х оконечных сетевых устройств (используйте элемент VPCS из списка оконечных устройств), подключенных к одному коммутатору.
Добавьте к сети элемент Cloud из списка оконечных устройств. Данный объект позволяет использовать реальные сетевые интерфейсы вашего компьютера наравне с виртуальными интерфейсами внутри лаборатории GNS3.
В настройках добавленного объекта Cloud добавьте к списку доступных интерфейсов интерфейс Ethernet-подключения вашего компьютера (введите название интерфейса или выберите из выпадающего списка).
Свяжите объект Cloud с виртуальным коммутатором, а реальный интерфейс вашего компьютера подключите к коммутатору D-Link DGS-1224T. Таким образом будет сыимитировано физическое подключение коммутатора в лаборатории GNS3 с реальным сетевым оборудованием.
Назначьте вашим виртуальным устройствам адрес из сети 192.168.0.0/24. Попробуйте послать ping виртуальному устройству, находящемуся в лаборатории GNS3 на другом компьютере. ICMP-сообщения должны достигнуть получателя.

II. Виртуальное разделение сегмента сети на основе VLAN

Предположим, что в полученном сетевом сегменте необходимо создать 2 изолированных друг от друга виртуальных сегмента (VLAN) и оба ваши виртуальных устройства должны находится в одном из сегментов.

Войдите в web-интерфейс управления коммутатором DGS-1224T (адрес 192.168.0.1/24, раздел меню DGS-1224T → Configuration → 802.1Q VLAN) и назначьте порту, к которому подключен ваш компьютер, один из идентификаторов виртуальной сети — 20 или 30.
Попробуйте послать ping от одного из ваших виртуаль устройств к виртуальному устройству:
1. в другом VLAN, ICMP-сообщения не должны достигнуть получателя.
2. в том же VLAN (например своему второму виртуальному устройству), ICMP-сообщения должны достигнуть получателя.

Предположим, что теперь возникла необходимость поместить одно из ваших устройств в один VLAN, а второе в другой.

В интерфейсе управления коммутатором назначьте вашему порту оба идентификатора VLAN — 20 и 30.
В настройках виртуального коммутатора в GNS3 назначьте одному из портов, к которому подключено оконечное сетевое устройство идентификатор VLAN 20 (тип "access"), а второму порту — 30 (тип "access"), порту, который подключен к реальному сетевому интерфейсу назначьте идентификатор VLAN 1 (тип "dot1q").
Попробуйте послать ping от одного из ваших виртуаль устройств к другому вашему виртуальному устройству, ICMP-сообщения не должны достигнуть получателя.

Замечание для работы в Windows

Обычно драйвер сетевого адаптера убирает из Ethernet-кадра метку VLAN. В этом случае для сетевых карт Realtek и Intel могут помочь следующие действия:

Обновить драйвер до последней версии.
В реестре по ключу HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00nn (где nn — это идентификатор вашего проводного Ethernet-интерфейса) пропишите следующие значения (тип DWORD):
- MonitorModeEnabled = 1
- MonitorMode = 1
- *PriorityVLANTag = 0
- SkDisableVlanStrip = 1

Способы модификации реестра для других производителей можно найти в вики проекта Wireshark.

TODO III. Маршрутизация между VLAN

Подключим каждую из созданных виртуальных сетей к интерфейсам маршрутизатора Cisco 1841. Для этого добавим к каждому из VLAN по одному порту коммутатора в не помеченном (untagged) режиме. Подключим порт VLAN'а №20 к интерфейсу маршрутизатора Fe0/0, а порт VLAN'а №30 к интерфейсу Fe0/1.

Вопросы

Что такое широковещательный домен? Зачем может быть необходимо разделение широковещательного домена в рамках одного сегмента сети?
Что такое VLAN? Какие существуют способы изоляции одной VLAN от другой? Что такое помеченный (tagged) и непомеченный (untagged) трафик?
Почему на шаге II.2.1 ICMP-сообщения не достигли получателя? Был ли отправлен хотя бы один ICMP-пакет?