###
  • インターネット
  • プログラム
  • ゲーム
  • 問題点
  • ウィンドウズ
  • ソーシャルメディア
  • アンドロイド
  • iOS

    • メールサーバーをインストールします。 最高の Linux メール サーバー

    14.04.2019 プログラムとサービス

    VLAN (Virtual Local Area Network、仮想ローカル エリア ネットワーク) は、1 つの物理ネットワーク インターフェイス (イーサネット、Wi-Fi インターフェイス) 上に複数の仮想ローカル ネットワークを作成できるようにするルーターやスイッチの機能です。

    VLAN は、より大きな LAN の一部です。 イーサネット、WI-FI インターフェイスで異なるサブネットを分離するための最も単純なメカニズム。 VLAN を構成するには、ネットワーク スイッチ (ネットワーク スイッチ (スイッチ、スイッチ) の選び方) が VLAN テクノロジーと 802.1q プロトコルをサポートしている必要があります。

    VLAN の利点:

      ブロードキャスト ドメインの数は増加しますが、各ブロードキャスト ドメインのサイズは減少します。これにより、ネットワーク トラフィックが減少し、ネットワーク セキュリティが向上します (単一の大きなブロードキャスト ドメインにより、両方の効果が結びつきます)。

      管理者のサブネット作成の労力が軽減されます。

      ネットワークを物理的ではなく論理的に分離できるため、機器の量が削減されます。

      管理を改善する さまざまな種類渋滞。

    VLAN 用語

      ネイティブ VLAN とは - これは 802.1Q 標準の概念であり、すべてのフレームがタグなしで送信されるスイッチ上の VLAN を指します。 トラフィックはタグなしで送信されます。 デフォルトでは、これは VLAN 1 です。Cisco などの一部のスイッチ モデルでは、別の VLAN をネイティブとして指定することでこれを変更できます。

      学期 タグなし: どの VLAN にも割り当てられていないすべてのパケットを受信できるのは 1 つの VLAN だけです (3Com、Planet、Zyxel の用語で - タグなし、シスコの用語では - ネイティブVLAN)。 スイッチは、タグのないすべての受信フレームにこの VLAN のタグを追加します。

      トランク VLAN は、タグ (パケットに追加されるラベル) が異なる複数の VLAN チャネルが送信される物理チャネルです。 トランクは通常、VLAN デバイスの「タグ付きポート」間 (スイッチ間、またはスイッチ間) に作成されます。 (シスコのドキュメントでは、「トランク」という用語は、リンク アグリゲーション、ポート トランキングなど、複数の物理チャネルを 1 つの論理チャネルに組み合わせたものを指します)。 ルーター (第 3 層スイッチ) は、ネットワークのバックボーンとして機能します。 ネットワークトラフィック異なる VLAN。

      簡単に言うと、vlan は物理チャネル (ケーブル) 内の論理チャネルであり、トランクは 1 つの物理チャネル (ケーブル) 内の論理チャネル (vlan) のセットです。

    VLAN は次の方法で識別できます。

      ポルト (最も頻繁に使用されます)。 ポート番号に基づいた VLAN を使用すると、VLAN 内の特定のポートを識別できます。 ポートは個別に、グループで、行全体で、さらにはトランク プロトコルを介して異なるスイッチ間で定義できます。 これは、VLAN を定義するために最も簡単で最も一般的に使用される方法です。 これは、ワークステーションが TCP/IP 動的構成プロトコル (DHCP) を使用する場合のポートベースの VLAN 実装の最も一般的な使用法です。 以下は、ポートに基づいた VLAN の図です。

      MAC アドレス - アドレス (非常にまれです)。 VLANベース Macアドレス ah を使用すると、ユーザーがある場所から別の場所に移動した場合でも、同じ VLAN 上にいることができます。 この方法では、管理者が各デバイスの MAC アドレスを決定する必要があります。 ワークステーションそしてこの情報をスイッチに入力します。 ユーザーが MAC アドレスを変更した場合、この方法のトラブルシューティングは非常に困難になる可能性があります。 構成の変更はネットワーク管理者の承認を受ける必要があるため、管理上の遅延が発生する可能性があります。

      ユーザーID (非常にまれ)

    VLAN Linux および D-Link DGS-1100-08P

    DGS-1100-08Pのセットアップ。 最初のポートに接続しましょう。 IP 10.90.91.2 を割り当てましょう。 3 つの VLAN を作成しましょう: vlan1 (ポート 1 (タグ付き)) はサービス用、つまりスイッチの設定専用、vlan22 (ポート 1 (タグ付き)、ポート 2、3、4 (タグなし))、vlan35 (ポート 1 (タグ付き); ポート 5、6 (タグなし))。 ポート 7 と 8 は使用されず、ポート設定 (速度: 無効) メニューで無効にされます。
    将来的には、D-Link DGS-1100-08P (IP 10.90.91.2) は vlan1 経由でのみ管理できることを指摘します。つまり、この場合は システム管理者 DGS-1100-08P の最初のポートに接続する必要があります(別のポートに接続すると、スイッチは 10.90.91.2 へのアクセスを許可しません)。

      eth4 ネットワーク カード ポートにバインドされた vlan22 という名前の VLAN を作成します。 IP:192.168.122.254 を割り当てましょう。 ip link add link eth4 name vlan22 type vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

      スイッチ設定専用のサービス VLAN:

      ip link add link eth4 name vlan44 type vlan id 1 ip addr add 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 up ip link add link eth4 name vlan35 type vlan id 35 ip addr add 192.168.35.254/ 24 dev vlan34 ifconfig vlan35 up

    • ファイル ls -l / proc/ net/ vlan/ total 0 -rw------ 1 root root 0 Aug 17 15:06 config -rw----- ファイルで作成された VLAN のパラメーターを確認します。 -- 1 ルート root 0 8 月 17 日 15:06 vlan1 -rw------ 1 ルート root 0 8 月 17 日 15:06 vlan22

      vconfig による VLAN の作成と /etc/network/interfaces による自動ロードは機能しなかったため、スタートアップ ファイルを作成し、サーバーのスタートアップに追加します。 vlan_create.sh #!/bin/sh -e ip link add link eth4 name vlan22 type vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

    残念なことに、現代の企業や組織の多くは、ネットワーク インフラストラクチャ内の仮想 LAN (VLAN、VLAN) の組織として、最新のローカル エリア ネットワーク (LAN) スイッチによって提供される、このような便利で、多くの場合単に必要な機会を実際には利用していません。 何が原因でそうなったのかを言うのは難しい。 おそらく、VLAN テクノロジーによってもたらされる利点、その見かけの複雑さ、またはネットワーク デバイス間の相互運用性を保証しない「粗雑な」ツールの使用に対する抵抗感についての情報が不足している可能性があります。 さまざまなメーカー(ただし、VLAN テクノロジーは 1 年前から標準化されており、アクティブ ネットワーク機器の主要メーカーはすべてこの標準をサポートしています)。 したがって、この記事では VLAN テクノロジーについて説明します。 ここでは、VLAN を使用する利点、VLAN を構成する最も一般的な方法と VLAN 間の相互作用、およびいくつかの有名メーカーのスイッチを使用する場合の VLAN 構築の機能について説明します。

    なぜこれが必要なのか

    VLANとは何ですか? これは、ネットワークに接続されたコンピュータのグループであり、何らかの基準に従ってブロードキャスト メッセージを送信するために論理的にドメインに結合されます。 たとえば、企業の組織構造 (部門別、および部門別) に従ってコンピュータのグループを割り当てることができます。
    部門)、または共同プロジェクトまたはタスクの作業に基づいて。

    VLAN を使用すると、主に 3 つの利点があります。 これは大幅に増加しています 効率的な使用従来の LAN よりも帯域幅が広く、セキュリティ レベルが向上 発信された情報不正アクセスを防止し、ネットワーク管理を簡素化します。

    VLAN はネットワーク全体を論理的にブロードキャスト ドメインに分割するため、VLAN のメンバーは、物理ネットワーク上のすべてのコンピューターではなく、同じ VLAN の他のメンバーにのみ情報を送信します。 したがって、 ブロードキャストトラフィック(通常、サーバーがその存在と機能をネットワーク上の他のデバイスにアナウンスすることによって生成されます) は、ネットワーク上のすべてのステーションにブロードキャストされるのではなく、事前に定義されたドメインに限定されます。 これにより、コンピュータの論理グループ間でネットワーク帯域幅が最適に分散されます。異なる VLAN に属するワークステーションとサーバーは、お互いを「認識せず」、相互に干渉しません。

    特定の VLAN 内でのみ通信が行われるため、異なる仮想ネットワークのコンピュータは他の VLAN で発生したトラフィックを受信できません。 プロトコル アナライザやネットワーク監視ツールを使用して、ユーザーが希望する VLAN 以外の VLAN 上のトラフィックを収集すると、重大な課題が生じます。 そのため、VLAN 環境では、ネットワーク上で送信される情報が不正アクセスからより確実に保護されます。

    VLAN を使用するもう 1 つの利点は、ネットワーク管理が簡素化されることです。 これは、ネットワークへの新しい要素の追加、移動、削除などのタスクに特に当てはまります。 たとえば、VLAN ユーザーが別の部屋に移動すると、たとえそれが企業の別のフロアや別の建物にあったとしても、 ネットワーク管理者ケーブルを再接続する必要はありません。 職場からそれに応じて設定するだけで済みます ネットワークハードウェア。 さらに、一部の VLAN 実装では、管理者の介入を必要とせずに、VLAN メンバーの移動を自動的に制御できます。 ネットワーク管理者は、職場を離れずに、ネットワーク経由で新しい論理ユーザー グループを作成したり、グループに新しいメンバーを追加したりする操作を実行することもできます。 これだけでかなりの節約になります 作業時間管理者は、他の同様に重要なタスクを解決するために使用できます。

    VLAN を構成する方法

    部門レベルのスイッチと ワーキンググループ通常、デバイス内で VLAN を編成するには、ポート、MAC アドレス、または第 3 層プロトコルに基づく 3 つの方法のいずれかを使用します。 これらのメソッドはそれぞれ、オープンソース インタラクション モデルの 3 つの下位レベルの 1 つに対応します。 OSIシステム: それぞれ物理、チャネル、ネットワーク。 VLAN を編成する 4 番目の方法は、ルールに基づいています。 現在はほとんど使用されていませんが、VLAN 構成の柔軟性が向上し、近い将来デバイスで広く使用される可能性があります。 VLAN を構成する上記の各方法と、その長所と短所を簡単に見てみましょう。

    ポートベースの VLAN。 この方式の名前が示すように、VLAN は、選択した物理スイッチ ポートを論理的に組み合わせることによって編成されます。 たとえば、ネットワーク管理者は、1、2、5 の番号が付いたスイッチ ポートが VLAN1 を形成し、3、4、6 の番号が付けられたポートが VLAN2 を形成するように指定できます。複数のコンピュータを 1 つのスイッチ ポートに (たとえば、ハブを介して) 接続できます。 これらはすべて同じ VLAN、つまりそれらにサービスを提供するスイッチ ポートが割り当てられている VLAN に属します。 この VLAN メンバーシップの厳密なバインディングは、仮想ネットワークを構成するポートベースの方法の欠点です。

    MAC アドレスに基づく VLAN。 この方法では、各 VLAN が持つ一意の 16 進数のリンクレベル アドレスに基づいて VLAN を構築できます。 ネットワークアダプターサーバーまたはネットワークワークステーション。 これは、異なる VLAN に属するデバイスを 1 つのスイッチ ポートに接続できるため、前の方法と比べて VLAN を編成するためのより柔軟な方法です。 さらに、あるスイッチ ポートから別のスイッチ ポートへのコンピュータの移動はスイッチによって自動的に追跡され、ネットワーク管理者の介入なしに、移動されたコンピュータの特定の VLAN への所属を維持できます。 その仕組みは非常にシンプルです。スイッチは、コンピュータの MAC アドレスと仮想ネットワーク間の対応表を維持します。 コンピュータが別のスイッチ ポートに切り替わるとすぐに、コンピュータが移動した後に送信された最初のフレームのヘッダーの送信元 MAC アドレス フィールドとテーブル内のデータを比較し、スイッチは移動されたコンピュータが VLAN に属していると正しく結論付けます。 不利益 この方法 VLAN の構成は、VLAN の設定の最初の複雑さであり、エラーが多く発生します。 MAC アドレスのテーブルはスイッチによって自動的に作成されますが、ネットワーク管理者はすべてを調べて、特定の 16 進数の MAC アドレスが特定のワークステーションに対応することを判断し、それを対応する仮想ネットワークに割り当てる必要があります。 確かに、その後の MAC アドレスに基づく VLAN の再構成に必要な労力は、ポートに基づく VLAN の場合よりも大幅に少なくなります。

    レイヤ 3 プロトコルに基づく VLAN。 この方法は、部門やワークグループの切り替えではほとんど使用されません。 これは、主要な LAN プロトコル (IP、IPX、AppleTalk) 用のルーティング ツールが組み込まれているバックボーン ルーティング スイッチでは一般的です。 この方法では、特定の VLAN に属するスイッチ ポートのグループが特定の IP サブネットまたは IPX ネットワークに関連付けられます。 ここでの柔軟性は、同じ VLAN に属する別のポートへのユーザーの移動がスイッチによって監視され、再構成が必要ないという事実によって提供されます。 この方法の利点は、スイッチが分析するため、VLAN 構成が簡単であることです。VLAN 構成は自動的に実行できます。 ネットワークアドレス各 VLAN に割り当てられたコンピュータ。 さらに、すでに述べたように、レイヤー 3 プロトコルに基づいて VLAN を構成する方法をサポートするデバイスにはルーティング ツールが組み込まれており、これにより、 追加資金。 この方法には、おそらく 1 つだけ欠点があります。 高価それが実装されているスイッチ。

    ルールベースの VLAN。 スイッチには、VLAN を構築するためのメカニズムとして、事前に定義されたフィールド、さらにはスイッチを通過するパケットの個々のビットを詳細に分析する機能があると想定されます。 この方法により、実際に提供されるのは、 無限の可能性複数の基準に基づいて仮想ネットワークを作成します。 たとえば、指定された製造元のネットワーク アダプタがインストールされているコンピュータを持つすべてのユーザーを VLAN に含めるという原則によっても同様です。 柔軟性が非常に高いにもかかわらず、ルールベースの VLAN 構成プロセスは非常に手間がかかります。 さらに、複雑なルールが存在すると、スイッチの処理能力のかなりの部分がパケット分析に費やされるため、スイッチのスループットに悪影響を及ぼす可能性があります。

    802.1x プロトコルを使用する場合、ユーザーまたはデバイスの認証データに基づいてデバイスを VLAN に自動的に移動することもできます。

    分散VLANの構築

    最近の LAN には複数のスイッチが含まれることがよくあります。 同じ VLAN に属するコンピュータは、異なるスイッチに接続できます。 したがって、トラフィックを適切にルーティングするには、スイッチに接続されているデバイスの VLAN メンバーシップに関する情報を交換するメカニズムが必要です。 以前は、各メーカーがそのような情報を交換するための独自のメカニズムをデバイスに実装していました。 たとえば、3Com はこのテクノロジーを VLT (Virtual LAN Trunk) と呼び、Cisco Systems はこれを ISL (Inter-Switch Link) と呼びます。 したがって、分散 VLAN を構築するには、1 つのメーカーのデバイスを使用する必要がありました。 タグ付き VLAN を構築するための標準である IEEE 802.1Q が採用されると、状況は根本的に改善され、現在 VLAN の世界を支配しています。 特に、スイッチ間で VLAN 情報を交換するためのメカニズムも規制します。 このメカニズムを使用すると、スイッチ間で送信されるフレームに、特定の VLAN のメンバーシップを示すフィールドを追加できます。 現在、LAN スイッチの主要メーカーはすべて、自社のデバイスで 802.1Q 標準をサポートしています。 したがって、今日ではすでに構築することが可能です 仮想ネットワーク異なるメーカーのスイッチを使用する場合。 ただし、後で説明するように、802.1Q に従って動作する場合でも、異なるメーカーのスイッチが提供する VLAN の構成機能はまったく同じではありません。

    VLAN 間の相互作用の構成

    異なる VLAN にあるコンピュータは相互に直接通信できません。 このようなやり取りを整理するには、ルーターを使用する必要があります。 以前は、このために通常のルーターが使用されていました。 さらに、ルーターにはできるだけ多くの物理的なネットワークが必要でした。 ネットワークインターフェース、VLAN の数。 さらに、スイッチはルーターに接続するために各 VLAN から 1 つのポートを割り当てる必要がありました。 ルーターのポートのコストが高いことを考慮すると、このようなソリューションのコストは非常に高額でした。 さらに、従来のルーターでは、VLAN 間のデータ転送に大幅な遅延が発生していました。 現在、VLAN 間でデータを転送するには、ポートあたりの価格が低く、通信チャネルの速度でトラフィックのハードウェア ルーティングを実行するルーティング スイッチが使用されています。 ルーティング スイッチは IEEE 802.1Q 標準にも準拠しており、分散 VLAN 間の通信を組織するには、異なる VLAN に対応するデバイスをネットワークに接続する各ワークグループ スイッチに接続するポートを 1 つだけ使用する必要があります。 つまり、最新のルーティング スイッチの 1 つのポートを介して、異なる VLAN のデバイス間で情報を交換できます。

    異なる VLAN のコンピュータによる共有ネットワーク リソースの使用

    非常に興味深いのは、異なる VLAN に属するコンピュータの共有ネットワーク リソース (ネットワーク サーバー、プリンタなど) へのアクセスを整理する機能です。 この可能性の利点は明らかです。 まず、異なる VLAN のコンピュータ間で直接データ交換を行う必要がない限り、ルーターやルーティング スイッチを購入する必要はありません。 異なる VLAN のコンピュータ間の対話は、すべてまたは複数の VLAN がアクセスできるネットワーク サーバーを通じて確保できます。 第 2 に、VLAN を使用する利点をすべて維持しながら、VLAN ごとに個別にサーバーを購入する必要はなく、共通のサーバーを使用できます。

    異なる VLAN のユーザーに 1 つのサーバーへのアクセスを許可する最も簡単な方法は、サーバーに複数のネットワーク アダプターをインストールし、これらの各アダプターを異なる VLAN に属するスイッチ ポートに接続することです。 ただし、このアプローチには VLAN の数に制限があり (多くのネットワーク アダプターをサーバーにインストールできません)、サーバー コンポーネントに厳しい要件が課されます (ネットワーク アダプター ドライバーには RAM の量の増加が必要で、サーバーに大きな負荷がかかります)。 CPU やサーバー I/O バスなど)、コストの節約には役立ちません (複数のネットワーク アダプターや追加のスイッチ ポートを使用する)。

    IEEE 802.1Q 標準の登場により、すべてまたは複数の VLAN に関連する情報を 1 つのスイッチ ポート経由で送信できるようになりました。 前述したように、これを行うために、スイッチ (または 802.1Q をサポートする他のデバイス) は、フレームが特定の VLAN に属するかどうかを一意に決定するフィールドを、ネットワーク経由で送信されるフレームに追加します。 このポートには、全 VLAN 共通のサーバを 1 本の通信回線で接続できます。 このための唯一の条件は、サーバーがどの VLAN から要求が来たのか、それに応じて応答の送信先を認識できるように、サーバーのネットワーク アダプターが 802.1Q 標準をサポートしている必要があることです。 これは、3Com、Hewlett-Packard、Cisco Systems の管理部門スイッチとワークグループ スイッチの VLAN 間でサーバーが分割される方法です。

    結論

    ご覧のとおり、VLAN は、管理、データ送信セキュリティ、アクセス制御の問題を解決できる強力なネットワーク組織ツールです。 情報リソースネットワーク帯域幅の使用効率が大幅に向上します。

    COMPLETE Company 技術部門責任者、オレグ・ポドゥコフ氏

    この記事では、具体的な機器の例を使用して、VLAN テクノロジーのセットアップの特徴を明らかにします。

    こんにちは、親愛なる訪問者。 今日は、いつものように、私たちの良き伝統に従って、面白いことをお話します。 そして今日の話は、VLANと呼ばれるローカルネットワークの素晴らしいものについての話になります。 このテクノロジーには実際には非常に多くの種類があり、すべてについては説明しませんが、当社が直面している問題を解決するものについてのみ説明します。 このテクノロジーは、この地域の IT アウトソーシング業務で当社のスペシャリストによって何度も使用されていますが、今回はすべてがもう少し興味深いものでした。 私たちが使用しなければならなかった機器は、いくぶん「必要なものがそぎ落とされた」ものでした (以前の同様のタスクが D リンク DES-1210-28 スイッチでリリースされました)。 しかし、まず最初に。

    それは何ですかVLAN?

    論理 (「仮想」) ローカル エリア ネットワークである VLAN は、物理的な場所に関係なく、あたかもブロードキャスト ドメインに接続されているかのように対話する、共通の要件セットを持つホストのグループです。 VLAN は物理 LAN と同じ特性を持っていますが、同じ物理ネットワーク上にない場合でも、エンド ステーションをグループ化できます。 この再構成は、デバイスを物理的に移動する代わりに、ソフトウェア ベースで実行できます。

    このテクノロジーを使用すると、次の 2 つのタスクを実行できます。

    1) デバイスをグループ化する リンクレベル(つまり、同じ VLAN 内にあるデバイス)、物理的には異なるネットワーク スイッチ(たとえば、地理的に離れた場所にある)に接続できます。

    2) 同じスイッチに接続されているデバイス (異なる VLAN にある) を区別します。

    つまり、VLAN を使用すると、個別のブロードキャスト ドメインを作成できるため、ネットワーク上のブロードキャスト トラフィックの割合が減ります。

    ポート- ベースVLAN

    ポートベース VLAN – ポートのグループ、または 1 つの VLAN の一部であるスイッチ上のポートです。 このような VLAN のポートはタグなし (タグなし) と呼ばれます。これは、ポートから送受信されるフレームにラベルや識別子がないためです。 このテクノロジーを簡単に説明すると、VLAN はスイッチ内にのみ存在します。 このテクノロジーを D リンク DGS-1100-24 マネージド スイッチで検討します。

    IEEE 802.1Q

    IEEE 802.1Q は、VLAN メンバーシップ情報を伝えるためにトラフィックにタグを付ける手順を記述したオープン標準です。 これを行うには、VLAN メンバーシップに関する情報を含むタグがフレームの本文に配置されます。 なぜなら タグがフレームのヘッダーではなく本文に配置されると、VLAN をサポートしないデバイスはトラフィックを透過的に、つまり VLAN へのバインドを考慮せずに渡します。

    ちょっとした中毒、つまりフレームにタグを配置する手順はインジェクションと呼ばれます。

    タグのサイズは4バイトです。 これは次のフィールドで構成されます。

    • タグプロトコル識別子 (TPID、タグ付けプロトコル識別子)。 フィールドサイズは 16 ビットです。 タグ付けにどのプロトコルが使用されるかを示します。 802.1Q の場合、値は 0x8100 です。
    • 優先度。 フィールドサイズは 3 ビットです。 IEEE 802.1p 標準で、送信トラフィックの優先順位を設定するために使用されます。
    • 正規フォーマット インジケーター (CFI、正規フォーマット インジケーター)。 フィールドサイズは1ビットです。 MACアドレスの形式を示します。 0 - 正規、1 - 非正規。 CFI は、次の間の互換性のために使用されます。 イーサネットネットワークそしてトークンリング。
    • VLAN 識別子 (VID、VLAN 識別子)。 フィールドサイズは 12 ビットです。 フレームがどの VLAN に属しているかを示します。 可能な値の範囲は 0 ~ 4095 です。

    802.1Q のポート

    ポートは次のいずれかのモードになります。

    • タグ付きポート (CISCO 用語では、トランクポート) - タグ付きパケットの通過を許可するポート 示された数字 VLAN ですが、同時にパケットにいかなるマークも付けません
    • タグなしポート (CISCO 用語ではアクセス ポート) - ポートは指定された VLAN のタグなしトラフィックを透過的に渡します。トラフィックが指定された VLAN の外側の他のスイッチ ポートに送信される場合、そのポートはこの VLAN の番号でタグ付けされていることがすでに表示されています。 。
    • ポートはどの VLAN にも属さず、スイッチの動作には関与しません。

    例。 利用可能 オフィススペース、人事部門が 2 つのフロアに分かれているため、従業員と従業員を分離する必要があります。 共有ネットワーク。 スイッチは2つあります。 一方ともう一方に VLAN 3 を作成し、VLAN の 1 つに含まれるポートを Untagget Port として指定します。 スイッチがフレームの宛先がどの VLAN であるかを認識するには、トラフィックが別のスイッチの同じ VLAN に送信されるポートが必要です。 たとえばポートを 1 つ選択し、Taget として指定してみましょう。 VLAN 3 に加えて他の VLAN があり、VLAN 3 にある PC-1 が PC-2 を検索する場合、ブロードキャスト トラフィックはネットワーク全体に「移動」せず、VLAN 3 内でのみ送信されます。到着したフレームは渡されます。 MAC テーブルを介して受信者のアドレスが見つからない場合、そのようなフレームは送信元の VLAN のすべてのポートと VLAN ラベルが付いた Tagget ポートを介して送信され、別のスイッチがポートのグループへのブロードキャストを再現します。 VID フィールドで指定されます。 この例では VLAN について説明します。1 つのポートは 1 つの VLAN にのみ存在できます。

    IEEE 802.1広告

    802.1ad は、デュアル タグを記述するオープン標準 (802.1q と同様) です。 Q-in-Q、またはスタック VLAN とも呼ばれます。 以前の標準との主な違いは、外部と内部の 2 つの VLAN が存在することです。これにより、ネットワークを 4095 の VLAN ではなく 4095x4095 に分割できるようになります。

    シナリオは異なる場合があります。プロバイダーは、VLAN 番号付けスキームに影響を与えずにクライアントのトランクを「転送」する必要がある場合、プロバイダーのネットワーク内のサブインターフェイス間で負荷を分散する必要がある場合、または単純に番号が足りない場合などです。 最も簡単な方法は、同じタイプの別のタグを作成することです。

    非対称VLAN

    D-Link の用語や VLAN 設定には、非対称 VLAN という概念があります。これは、1 つのポートが複数の VLAN に存在できる VLAN です。

    ポートの状態が変化する

    • タグ付きポートは以前と同様に機能します
    • 複数のポートをUntaggedとして複数のVLANに割り当てることが可能になります。 それらの。 1 つのポートがタグなしとして複数の VLAN で同時に動作します
    • 各ポートには別の PVID パラメータがあります。これは VLAN ID であり、このポートからのトラフィックがタグ付きポートやスイッチの外部に送信される場合にマークするために使用されます。 各ポートは PVID を 1 つだけ持つことができます

    したがって、デバイス内では 1 つのポートが同時に複数の VLAN に属することができますが、同時に、タグ付き (TRUNK) ポートから出るトラフィックには PVID に設定した番号がマークされるという事実がわかります。

    制限事項: 非対称 VLAN を使用している場合、IGMP スヌーピングは機能しません。

    での VLAN の作成D-リンクDGS-1100-24。

    利用できるもの。 2 つのスイッチのうち 1 つは D リンク DGS-1100-24 で、スイッチ No. 2 がそれに接続されています。 スイッチ 2 は、ユーザー マシン (絶対にすべて) に加え、サーバー、デフォルト ゲートウェイ、およびネットワーク ストレージを接続します。

    タスク。 サーバー、ゲートウェイ、ネットワーク ストレージにアクセスできるように、人事部門を一般環境から制限します。

    さらに、D リンク DGS-1100-24 スイッチが箱から取り出したばかりです。 デフォルトでは、ほとんどのマネージド スイッチは Dリンクアドレスは 10.90.90.90/8 です。 私たちは物理的に交換機の前にいることや住所を変更することに興味はありません。 存在する 特別なユーティリティ D-Link SmartConsole ユーティリティ。ネットワーク上でデバイスを見つけるのに役立ちます。 インストール後、ユーティリティを起動します。

    構成に進む前に、ポートを適切に切り替えましょう。

    1) 人事部門のポートをスイッチ No.2 からスイッチ No.1 に切り替えます。

    2) サーバー、ゲートウェイ、ネットワークストレージをスイッチ No.2 からスイッチ No.1 に切り替えます。

    3) スイッチ No.2 をスイッチ No.1 に接続します。

    このような切り替えの後、次の図が表示されます。サーバー、ゲートウェイ、ネットワーク ストレージ、人事部門はスイッチ 1 に接続され、他のすべてのユーザーはスイッチ 2 に接続されます。

    「検出」ボタンをクリックします

    ボックスをチェックし、歯車アイコンをクリックしてスイッチ設定ウィンドウを開きます。 アドレス、マスク、ゲートウェイを設定した後、パスワードを書き込みます。デフォルトでは admin です。

    「VLANの追加」をクリックし、VLAN名とポートを指定します。

    「適用」をクリックします

    必要なVLANを作成したら、「保存」、「構成の保存」をクリックして設定を保存します。

    したがって、VLAN 3 はポート 01 ~ 08、15 ~ 24 にアクセスできません。したがって、スイッチ 2 に接続されているサーバー、ゲートウェイ、ネットワーク ストレージ、VLAN2 およびその他のクライアントにアクセスできません。 ただし、VLAN 2 はサーバー、ゲートウェイ、ネットワーク ストレージにはアクセスできますが、他のマシンにはアクセスできません。 そして最後に、他のすべてのマシンはサーバー、ゲートウェイ、ネットワーク ストレージを認識しますが、ポート 05、06 は認識しません。]

    したがって、機器の機能に関する一定の知識と IT アウトソーシングのスキルがあれば、D-Link DGS1100-24 スイッチのような低価格の機器でもクライアントのニーズを満たすことができます。

    皆さん、平和があなたとともにありますように!

    オリジナル: Postfix と Webmail を備えた完全なメール サーバーを Debian 9 にインストールする
    著者: マテイ セザール
    発行日: 2017 年 10 月 12 日
    翻訳: A. クリヴォシェイ
    翻訳日: 2017 年 11 月

    このガイドでは、Debian 9 にフル機能の Postfix メール サーバーをインストールして構成する方法を説明します。また、IMAP 電子メールを受信および作成するために Dovecot を使用してアカウント メールボックスをセットアップする方法についても説明します。 メールを操作するには、ユーザーは Rainloop Webmail Web インターフェイスを使用します。

    要件

    Debian 9 の最小限のインストール
    - 静的IPアドレスネットワークインターフェース用に設定された
    - ローカルまたは登録されたパブリック ドメイン名。

    このチュートリアルでは使用します アカウントセットアップ用のプライベート ドメイン メールサーバー、/etc/hosts ファイルを通じてのみ構成され、DNS 解決の処理に DNS サーバーは関与しません。

    ステージ 1: Debian での Postfix メール サーバーの事前設定

    1. 最初のステップでは、次のようにログインします。 ルート権限 Debian システムが最新のパッケージに更新されていることを確認してください インストールされているプログラム次のコマンドを使用して、すべてのセキュリティ パッチをインストールしました。

    # apt-get アップデート # apt-get アップグレード

    2. 次のステップでは、システム管理に使用するパッケージをインストールします。

    # apt-get installcurl net-tools bash-completion wget lsof nano

    3. 次に、お気に入りのテキスト エディタで編集するために /etc/host.conf ファイルを開いて、ファイルの先頭に次の行を追加して、DNS が最初に hosts ファイルを読み取れるようにします。

    ホストの順序付け、複数のバインド

    4. 次に、コンピュータの完全修飾ドメイン名 (FQDN) を設定し、ドメイン名とシステムの FQDN を /etc/hosts ファイルに追加します。 以下のスクリーンショットに示すように、システムの IP アドレスを使用してドメイン名と FQDN を解決します。

    IP アドレスとドメインを置き換えます。 次に、正しいホスト名が使用されるようにコンピュータを再起動します。

    # hostnamectl set-hostname mail.tecmint.com # echo "192.168.0.102 tecmint.com mail.tecmint.com" >> /etc/hosts # init 6

    5. 再起動後、次のコマンド シーケンスを使用して、ホスト名が正しく構成されていることを確認します。 hostname コマンドは、ドメイン名、FQDN、ホスト名、およびシステム IP アドレスを返す必要があります。

    # ホスト名 # ホスト名 -s # ホスト名 -f # ホスト名 -A # ホスト名 -i # cat /etc/hostname

    6. また、以下のコマンドを使用して、ドメインがローカル要求に正しく応答しているかどうかを確認します。 DNS サーバーは使用していないため、ドメインはネットワーク上の他のシステムから送信されたリモート クエリには応答しないことに注意してください。

    ただし、各 /etc/hosts ファイルにドメイン名を手動で追加すると、ドメインは他のシステムに応答するはずです。 また、/etc/hosts ファイルに追加されたドメインの DNS 解決は、host、nslookup、または dig コマンドを使用して機能しないことにも注意してください。

    # getent ahosts mail.tecmint.com # ping tecmint.com # ping mail.tecmint.com

    ステップ 2: Debian に Postfix メール サーバーをインストールする

    7. メール サーバーが正しく機能するために必要な最も重要なソフトウェアは、MTA エージェントです。 MTAは ソフトウェア、サーバークライアントアーキテクチャに基づいて構築されており、メールサーバー間でメールを転送します。

    このチュートリアルでは、Postfix をメール転送エージェントとして使用します。 公式リポジトリから Debian に Postfix をインストールするには、次のコマンドを実行します。

    # apt-get インストール接尾辞

    8. Postfix のインストール プロセス中に、一連の質問が表示されます。 最初の質問では、「インターネット サイト」オプションを選択します。 一般的なタイプ Postfix を設定するには、キーを押して続行し、以下のスクリーンショットに示すように、システムの電子メール名にドメイン名を追加します。

    ステップ 3: Debian で Postfix メール サーバーをセットアップする

    # cp /etc/postfix/main.cf(,.backup) # nano /etc/postfix/main.cf

    ここで、以下に示すように main.cf ファイルで Postfix を設定します。

    # コメント付きのより完全なバージョンについては、/usr/share/postfix/main.cf.dist を参照してください。 smtpd_banner = $myhostname ESMTP biff = no # .domain の追加は MUA の仕事です。 append_dot_mydomain = no readme_directory = no # http: を参照してください。 //www.postfix.org/COMPATIBILITY_README.html -- # 新規インストールではデフォルトで 2 になります。compatibility_level = 2 # TLS パラメータ smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/ private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:$(data_directory)/smtpd_scache smtp_tls_session_cache_database = btree:$(data_directory)/smtp_scache # postfix の /usr/share/doc/postfix/TLS_READ ME.gz を参照してください- smtp クライアントでの SSL の有効化に関する # 情報のドキュメント パッケージ smtpd_relay_restrictions = allowed_mynetworks allowed_sasl_authenticated defer_unauth_destination myhostname = mail.debian.lan mydomain = debian.lan alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases #morigin = /etc/mailname myorigin = $mydomain mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost リレーホスト = mynetworks = 127.0.0.0/8, 192.168.1.0/24 mailbox_size_limit = 0recipient_delimiter = + inet_interfaces = all #inet_protocols = all inet_protocols = ipv4 home_mailbox = Maildir/ # SMTP 認証設定 smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname smtpd_recipient_restrictions =許可_mynetworks,permit_auth_destination,permit_sasl_authenticated,reject

    myhostname、mydomain、mynetworks 変数を設定に従って置き換えます。

    postconf -n コマンドを実行して確認できます。 起こり得る間違いスクリーンショットに示されているように。

    # postconf -n

    10. 設定が完了したら、Postfix デーモンを再起動して変更を適用し、netstat コマンドを使用してメイン Postfix サービスがポート 25 に接続されていることを確認して、サービスが実行されていることを確認します。

    # systemctl restart postfix # systemctl status postfix # netstat -tlpn

    ステップ 4: Debian で Postfix メール サーバーを確認する

    11. Postfix がメールを処理できるかどうかを確認するには、まず次のコマンドを使用して mailutils パッケージをインストールします。

    # apt-get インストール mailutils

    12. 次に、ユーティリティを使用します。 コマンドラインメールの場合は、root アカウントにメールを送信し、以下のコマンドを使用してメールが正常に転送されたかどうかを確認します。このコマンドは、メール受信キューを確認し、root のホーム ディレクトリにある Maildir フォルダーの内容を出力します。

    # echo "メール本文"| mail -s "test mail" root # mailq # mail # ls Maildir/ # ls Maildir/new/ # cat Maildir/new/ メール送信による後置のテスト メール送信による後置のテスト

    13. 次のコマンドを使用してメール ログ ファイルの内容を確認することで、メールが postfix によってどのように処理されたかを確認することもできます。

    # tailf /var/log/mail.log

    ステップ 5: Debian に Dovecot IMAP をインストールして構成する

    14. Dovecot IMAP は、電子メール メッセージをローカル受信者のメールボックスに配信するために使用するメール配信エージェントです。 IMAP はポート 143 および 993 (SSL) で実行されるプロトコルで、複数の電子メール ユーザーの電子メールの読み取り、削除、または移動を行います。

    また、IMAP は、各メッセージのコピーがサーバーに確実に保存されるように同期機能を提供し、ユーザーがサーバー上に複数のディレクトリを作成し、それらのディレクトリにメッセージを移動して並べ替えることができます。

    上記は POP3 プロトコルには適用されません。 POP3 プロトコルでは、ユーザーがサーバー上に複数のディレクトリを作成してメールを分類することはできません。 メールを管理できるのは受信トレイだけです。

    メインの Dovecot サーバーと Dovecot IMAP パッケージを Debian にインストールするには、次のコマンドを使用します。

    # apt インストール dovecot-core dovecot-imapd

    15. Dovecot がシステムにインストールされたら、dovecot ファイルを編集します。 まず、/etc/dovecot/dovecot.conf ファイルを開き、次の行を見つけてコメントを解除します。

    聞く = *, ::

    16. 次に、/etc/dovecot/conf.d/10-auth.conf を開いて編集し、行を見つけて次のように変更します。

    Disable_plaintext_auth = auth_mechanisms なし = プレーン ログイン

    17. ファイル /etc/dovecot/conf.d/10-mail.conf を開き、電子メールの保存に Mbox 形式の代わりに Maildir を使用するために以下の行を追加します。

    メールの場所 = maildir:~/Maildir

    18.そして 最後のファイル編集用 - /etc/dovecot/conf.d/10-master.conf。 ここで、Postfix smtp-auth ブロックを見つけて、次の変更を加えます。

    # Postfix smtp-auth unix_listener /var/spool/postfix/private/auth (mode = 0666 user = postfix group = postfix)

    19. 上記の変更をすべて行った後、Dovecot デーモンを再起動して変更を適用し、ステータスを確認して、次のコマンドを使用して Dovecot がポート 143 に接続されていることを確認します。

    # systemctl restart dovecot.service # systemctl status dovecot.service # netstat -tlpn

    20. メール サーバーが正しく動作しているかどうかを確認します。これを行うには、新しいユーザー アカウントをシステムに追加し、次を使用して SMTP サーバーに接続します。 Telnetコマンドまたは netcat を選択し、以下に示すように新しいユーザーに電子メールを送信します。

    # adduser matie # nc localhost 25 # ehlo localhost メール送信元: root rcpt 宛先: matie データ件名: test メール本文。 やめる

    21. 手紙が新しいユーザーのメールボックスに届いているかどうかを確認します。

    # ls /home/test_mail/Maildir/new/

    22. あるいは、以下に示すように、IMAP を使用してコマンド ラインからユーザーのメールボックスに接続することもできます。 新着メールユーザーの受信トレイフォルダーにある必要があります。

    # nc localhost 143 x1 LOGIN matie user_password x2 LIST "" "*" x3 SELECT Inbox x4 ログアウト

    ステップ 6: Debian に Webmail をインストールして設定します。

    23. ユーザーは、Rainwop Webmail クライアントを使用して電子メールを管理します。 設置前 郵便局員 Rainloop はまず Apache HTTP サーバーをインストールし、 PHPモジュール Rainloop で必要な場合は、次のコマンドを使用します。

    # apt インストール apache2 php7.0 libapache2-mod-php7.0 php7.0-curl php7.0-xml

    24. インストール後 Apache Webサーバー/var/www/html/ ディレクトリに移動し、index.html ファイルを削除して、Rainloop Webmail をインストールします。

    # cd /var/www/html/ # rmindex.html #curl -sL https://repository.rainloop.net/installer.php | php

    25. Rainwoo Webmail クライアントをインストールした後、ドメイン IP アドレスに移動し、デフォルトの資格情報を使用して Rainloop Web 管理インターフェイスにログインします。

    http://192.168.0.102/?admin ユーザー: 管理者 パスワード: 12345

    26. 次のスクリーンショットに示すように、「ドメイン」メニューに移動し、「ドメインの追加」ボタンをクリックしてドメイン名設定を追加します。

    Rainloop 電子メールに正常にログインすると、以前にコマンド ラインから送信したメッセージが受信トレイ フォルダーに表示されるはずです。

    http://192.168.0.102 ユーザー: [メールで保護されています]パス: マチのパスワード

    27. 新しいユーザーを追加するときは、useradd コマンドに -m フラグを付けて使用し、ユーザーのホーム ディレクトリを作成します。 ただし、その前に、以下のコマンドを使用して各ユーザーの Maildir パス変数が設定されていることを確認してください。

    # echo "export MAIL=$HOME/Maildir" >> /etc/profile # useradd -m user3 # passwd user3

    28. root 宛てのすべての電子メールをシステムから特定のローカル電子メール アカウントにリダイレクトする場合は、以下のコマンドを実行します。 以下の図に示すように、root アカウント宛てのすべての電子メールがユーザーに転送されます。

    # echo "root: test_mail" >> /etc/aliases # newaliases

    これですべてです! システムにメール サーバーが正常にインストールされ、構成されているため、 ローカルユーザー電子メールで通信できた。 ただし、このメール構成は適切に保護されていないため、次の目的でのみ展開することをお勧めします。 小規模ネットワーク、あなたの完全なコントロール下にあります。

    Yandex や Mail.Ru などのサービスにアカウントを登録するだけで、簡単に無料のメールボックスをいくつでも簡単に取得できる今日では、メール サーバーのセットアップなどの問題は、多くのユーザーにとって煩わしいものではありません。

    ただし、この問題の少なくともいくつかの側面を知っておくと役立つ場合もあります。

    必要なとき

    平均的なユーザーにとって、メールの設定に関する基本的な知識が必要になる状況はそれほど多くありません。 それでも、それらはいつでも発生する可能性があります。

    • ブラウザから専用ブラウザに切り替える場合 別のプログラム。 実際、多くの点で、このようなクライアントは好ましいものです。電子メール プログラムとオーガナイザー、ノートブックを組み合わせて、より柔軟に管理することができます。 住所録メッセージを管理します。
    • 電子メール クライアントで予期しない障害が発生し、すべての設定が失われました。 あとはメールサーバーをインストールするだけです。 通常、セットアップにはそれほど時間と労力はかかりませんが、そうしないと、かなり長い間メールが届かない状態になる可能性があります。
    • 無料メールボックスは、管理者によって何の説明もなく破壊される可能性があります。 そして、率直に言って、そのような箱はビジネスパートナーの目には品格のないものに見えます。 したがって、サーバー上に専用のものを作成する必要があります。
    • プロバイダーが別のメールボックスを提供している場合は、このオファーを利用してみてはいかがでしょうか。

    Windowsメールサーバーのセットアップ

    DNS、IP データ、および同様の情報などの基本的な電子メール パラメーターは、プロバイダーによって直接発行されます。

    Windows OS の使用を開始するには、これに適したものをダウンロードする必要があります。 オペレーティング·システムクライアントを使用するか、組み込みクライアントを使用します。 まず、新しいアカウントを作成する必要があります。 原則として、ログインするには名前の入力、パスワードの設定、ログインも求められます。

    サポートを有効にする必要がある場合があります 郵便サービス Windows では、電子メール サービス コンポーネントのインストール セクションの [プログラムのアンインストール/追加] パネルを使用します。

    新しいメールボックスを作成するには、ユーザー名とパスワードを考え出す必要があります。

    SMTP ではポート番号 25、POP3 サーバーでは 110 を指定する必要があります。プロバイダーが他のパラメータを提供する場合は、それらを入力する必要があります。 使用しているメールクライアントがポート番号の入力を必要としない場合は、「受信サーバー」(POP3でもIMAPでも可)と「受信メールの名前」にはプロバイダーが発行したアドレスのみを残す必要があります。送信メッセージ用のサーバー」(通常は SMTP のみ)。

    もっと 微調整郵便 Windowsサーバー使用する電子メール アプリケーションによって大きく異なりますが、動作原理は同じです。 違いはオプションにあるかもしれません GUIそしてメニュー項目にも。

    無料メールから専用クライアントへの切り替え

    無料のままにしておく必要がある場合もありますが、クライアントとして使用する必要があります 別途申請。 これは、Yandex サービスのメール設定の例を使用して示すことができます。 メール サーバーは次のパラメータで設定されます。

    1. 受信メッセージの IMAP 設定:

    • メールサーバーアドレス: imap.yandex.ru;
    • 接続のセキュリティ設定で SSL を指定する必要があります。
    • ポート番号は993です。

    2. IMAP 経由で送信メッセージを設定するには、次の手順を実行します。

    • サーバーアドレスとして smtp.yandex.ru を指定します。
    • 接続セキュリティ パラメータでも SSL を設定する必要があります。
    • ポート番号は 465 に設定する必要があります。

    3. 送信メッセージの POP3 プロトコルについて:

    • サーバーアドレスとしてpop.yandex.ruを指定します。
    • SSL は、使用される接続のセキュリティ パラメータとして指定されます。
    • ポート番号は995です。

    4. POP3 経由で送信される送信メッセージの場合:

    • smtp.yandex.ru がメールサーバーアドレスとして示されます。
    • 使用される接続のセキュリティ パラメータでは、再び SSL が示されます。
    • ポート番号は465に設定されています。

    ユーザー名、アドレス、パスワードとして、Yandex 上のメールから既存のアドレスとパスワードを設定する必要があります。

    Mail.Ru サーバーのセットアップ

    場合によっては、Mail.Ru メール サーバーの設定について調べる必要があります。 一般に、セットアップは Yandex メールの場合で説明したものとまったく同じように見えます。 ただし、パラメータは次のようになります。

    • 満杯 電子メールアドレス(@ 記号を含む形式、たとえば [メールで保護されています]);
    • IMAP サーバーの場合は、imap.mail.ru が指定されます。
    • SMTP サーバーの場合は、smtp.mail.ru を指定します。
    • ユーザー名は既存のメールの完全な電子メール アドレスです。
    • パスワードは使用されるメールパスワードです。
    • IMAP: 番号 993 (SSL/TLS プロトコル用)。
    • POP3: 番号 995 (SSL/TLS プロトコル用)。
    • SMTP: 番号 465 (SSL/TLS プロトコル用)。
    • 認証パラメータで、送信されたレターのサーバーを認証することを示す必要があります。つまり、暗号化を行わない単純なパスワードです。

    一般に、設定は Yandex の場合とまったく同じですが、メール プレフィックスが追加されている点が異なります。 ほかの人のため 無料のサーバー同じパラメータを設定する必要がありますが、適切なプレフィックスを付けます。

    ご覧のとおり、メール サーバーのセットアップなど、一般的には複雑なことは何もありません。 初心者でもこのタスクに対処できます。 ただし、重大な障害が発生した場合でも、メールが届かなくなることはありません。

    Linux ツール、Apache、SQL などを使用して独自のメール サーバーを設定する作業には、情報技術の分野における深い知識が必要です。