from electron 2 web

インターネットのリソースを無駄遣いして検索におけるUXを下げてごめんなさい

圧倒的文章力のNASAでゴミみたいなチラ裏のようなメモを量産してしまい全ての"Web開発者"にごめんなさい

vlan

VLAN

基本的なとこは省略。

802.1qについて

802.1qといえばVLANタギング。これはもう白く濁る=石灰水ぐらいの定石。

しかし内部的には全く分かってない

IEEE 802.1Q - Wikipedia

802.1qとISLの違い

デフォルトVLANが設定できるかどうか。802.1qのデフォルトはVLAN1(変更はできる)

islとか802.1qはトランキングプロトコルでトランキングプロトコルはタグを設定するプロトコル。というかタグそのもの。タグをクラス化した概念

ネイティブvlanは802.1qのみ存在する概念。ネイティブvlanはタグなしで通すのではなく、タグなしのフレームが来るとそのvlan(デフォルトはvlan1)と認識する。

vlanタグはトランクリンクを通るときのみ追加される

no switchport vlan 30 と打つとvlanはデフォルトのvlanに戻る。vlan30が削除されるわけではない

そのvlanが無い状態でswitchport vlan 30を打つとvlan30が強制的に作成される

switchport trunk allowed vlan関係は↓を参照

beginners-network.com

 ポートに関連付けられた VLAN が削除された場合、ポートは非アクティブとなり、それ以降ネットワークと通信できなくなります。ポートが非アクティブ状態であることを確認するには、show interfaces switchport コマンドを使用します。

管理vlan

管理用トラフィックを流すVLAN. 管理VLAN用に用意された管理インターフェースにIPアドレスを  割り当てることにより、Catalystスイッチに対しtelnetアクセスしたりSNMPにより監視することができます。 vtyポートも管理vlanの中に入ってる。

  • vty

telnetを受け付ける仮想ポート。 こんなん4月からやってる超初心者レベルだしもう20回以上は調べてるのにいまだにわかったような分からないようなって感じ。辛い。

スイッチやルーター自身もtelnetが打てる。

DTP

dynamic trunk protocol:使用するトランキングプロトコルを設定するプロトコル。ISLはCisco特有のもののためCisco特有でこのようなプロトコルを使用しなければいけないと予想。

ちなタイマン

分かりやすい。ありがとうございます。

ameblo.jp

VTP

DTPはトランクモードvlan間の端と端の設定を自動で合わせるcisco独自規格。一つのvlan(サーバーモード)の設定をClientモードのvlanにコピる。ただしI/Fとvlanの関係は伝達されない。

サーバーモードのvlanが変わった時のイベント駆動型の送信の他、5分間隔の定期送信もする。VTPの停止はできない

VTP管理ドメインのスイッチ内のみvtpを流す。なのでVTPを使うときには最初にVTP管理ドメインを使用する必要がある。

VTPには3つのモードが有る。

  • host,client

省略。

他のswから受け取ったVTPをそのまま下流のポートに垂れ流す。自身はシカトする。VTPを無効にしたい時はトランスペアレントモードを使用する。

STP

STPには主に3つの利点がある。

まあ有名だわな

  • Macテーブルが不安定に

なる

  • ユニキャストの再送

循環してるswが一つも相手に送るMacを知らない状態だと相手に送った時にデータが重複して2回同じものが送られる。ー>アプリケーションエラー

Rapid STPなんていうのもある。収束時間は2~10秒ほど。

STPにおけるポートの状態

スパニングツリーのrootはルートブリッジという。スイッチのスパニングツリーでもルートブリッジって言うらしい。

ルートブリッジの算出にはプライオリティ+MACアドレスの一番低い値がなる。

自分をルートとしてみてるの笑える↓

30 Minutes Networking No.SW10

その後各スイッチはルートポートと指定ポートを割り出し、それら以外を全部ブロックする。

  • フォワーディングステート

通常状態。フォワーディングステートのポートはSTPtreeの一部を形成する。

STP以外のフレームを処理しない。送信しないし受信もしない。

BPDUを受信し、システムモジュールに転送しますが、システムモジュールから受信したBPDUは送信しません。 ネットワーク管理メッセージを受信して応答します。

P-VLAN

プライベートvlanは一つのvlanの中にさらにvlanを作る機能です。PVLAN=プライベートvlan。プライベートvlanはホテルやマンションなどで実際に使われている技術です。

PVLANはパケトレでは使用できません!!!

プライベートvlanの中の存在:

  • プライマリVLAN

親vlan。つまりもとのvlan

  • セカンダリVLAN

    • 独立(隔離)vlan

    プライマリvlanのみと通信できる。

    • コミュニティvlan

    同一コミュニティ&プライマリvlanに通信できる。

news.mynavi.jp

どうもvlanを分ける技術とかいいながら普通のvlanと変わらない気がするのは俺だけ?本来のvlanを内部で分けるんじゃなくて違うvlan同士をpvlanの規則にのっとって動作させるんだよね?

俺が予想してたのはvlan(e.g.100)を内部で区切ってセカンダリvlan(e.g.100.1)とか100.2みたいな感じで分けるのかと思ってたら どうもvlan100と101をつなげるみたいな?

とか思うのはvlanをあまり使いこなせてないからなのかな?

VLANホッピング攻撃

そのまんまvlanをまたぐ攻撃。

ありがたい。ありがたすぎる。神。↓

ping-t.com

 【対処方法】    ①未使用ポートを全てaccessポートにする(デフォルトではtrunk)
   ②未使用ポートを全てshutdown
   ③未使用VLANをポートにマッピング
   ④native vlanをデータVLANと区別する(nativeが1なら、他のクライアントの所属をVLAN 2~にする)
   ⑤switchport nonegotiate
   ⑥switchport allowed vlan ~で許可VLANを限定

そのうちパケトレでvlanホッピングのシミュレーションをやってみたい。


所感:ほんとはvxlanとかもやりたいけど明らかにネットワーク上級者向けだし、初心者にはキツイ。もともとテスト勉強用だしな。