Лига Сисадминов

Привет всем!

На волне "Как нас взломали и защифровали" и других постов по ИТ-безопасности хочу просто поделиться своими простыми правилами, которые доступны всем и помогут уменьшить вероятность подобных граблей.

1. Учётка Админа только одна, и только я знаю пароль, копия с паролем в запечатанном конверте хранится у босса в сейфе (на случай, если я умру :-)).

2. Учётки пользователей блокируются при вводе пяти раз неверных паролей и меняются каждый месяц.

3. Порт роутера, через который подключен сервер к Интернету, поменял на хитрый 4-х значный.

4. RDP-порт сервера поменял на хитрый 4-х значный.

5. Правило проброса (например, на Зикселях имеется простой интерфейс) RDP-порта на роутере работает по расписанию, т. е. по необходимости когда пользователям надо удалённо работать, например, в рабочее время они все на работе, а вечером с 19-00 до 22-00 могут поработать удаленно.

6. Самое ценное, это конечно, базы 1с, бекапы, которых делаются не только на другой комп в локальной сети, но и на флешку, у которой есть ответственное лицо: каждый день после архивации меняет с флешкой местами, которая лежит в не сгораемом сейфе в Организации.

7. Еще совсем недавно настроил Гугл.Диск, архивный бекап шифруется (например, PGP) и сливается на него.

P/S. За истину не претендую.

Всем добра, смышленых юзеров, адекватного начальства и отличного пинга!

Если вдруг в очередной раз ваша или наша система windows 10 начала проявлять следующие симптомы:

Экран застыл и не реагирует на манипуляции манипуляторов (устройства ввода / клавиатуры, мышь и др. устройства). Мышь при этом продолжает передвигаться.

Нажатие на Numlock не реагирует световой индикацией

Фоновые приложения при этом продолжают выполняться (например играет музыка), но новые приложения нет возможности запустить.

В событиях системы не регистрируются какие-либо ошибки или предупреждения прямо или косвенно касающиеся ситуации.

То данная статья как-раз для такого случая.

Итак:

Бывает, что при переходе на новую ОС, необходимо обновить базовую систему ввода-вывода (BIOS)

Для этого необходимо скачать его последнюю версию с сайта производителя мат. платы.

Устаревшая прошивка SSD диска может также вызывать такого рода проблемы.

Решение - скачать и обновить прошивку вашего SSD.

Многие драйверы позаимствованы от windows 7 / 8 / 8.1 и это часто и является причиной такого поведения.

Необходимо обновить драйвера устройств с сайта производителя данного оборудования для ОС Windows 10. Даже несмотря на то, что система возможно предупредит вас, что устанавливаемые драйвера старее уже имеющихся в системе. Установку начинаем с чипсета (+Intel MEI), далее устройства ввода-вывода (сетевой адаптер, модем, гаптоклон), продолжаем основной периферией вывода (видеокарта, аудио, принтер), далее устройствами ввода по необходимости (клавиатура, мышь и др.). Не забывайте перезагружать компьютер, когда этого просит установщик. В дальнейшем не устанавливайте обновления для драйверов из центра обновлений. Также можно отключить поиск данных обновлений через настройки системы или групповую политику

В некоторых случаях помогает команда сброса каталога обработчиков многоуровневого поставщика устройств.

Выполняем в командной строке с привилегиями администратора netsh winsock reset

В некоторых других случаях при установленном ПО Acronis * Backup.

Тут придется переустановить операционную систему и отказаться от использования данного ПО, либо смирится с таким поведением ОС.

Еще одна причина может быть в размере файла подкачки. По-умолчанию windows 10 сама выбирает оптимальный размер данного файла. Иногда она делает это некорректно даже для себя любимой.

Необходимо установить размер файла подкачки равным объему установленной в данный момент ОЗУ.

Установленные программы f.lux, Privatefirewall, Avira Antivirus, Dropbox (редко) также могут приводить к данной проблеме.

Необходимо удалить данное ПО и перезагрузить компьютер.

Возможна проблема управления питанием одного или нескольких устройств.

Необходимо перейти к панели управления, электропитание и установить параметры: отключение жесткого диска через 0 мин., Параметры USB - Параметр временного отключения USB порта - Значение - Запрещено, PCI Express - управление питанием состояния связи Откл.

С видеокартами Nvidia

Если используется видеокарта Nvidia, то лучше всего переустановить драйвер используя Advanced Install режим и отметив пункт clean install. Также после установки рекомендуется настроить схему электропитания на "максимальную производительность".

Иногда также помогает отключение опции процессора C1E в настройках BIOS материнской платы.

В ту же копилку о настройке процессора, иногда может помочь отключение опции "Intel(R) C-STATE Technology" или "Enhanced C-States" наравне с "Core C6 States" в параметрах процессора в биосе.

Если вы обладатель ноутбука Sony VAIO, вам может помочь отключение мульти жестов.

Перейдите в панель управления - мышь - настройки - настройки - отключите самую верхнюю опцию мульти жестов.

Возможно Windows 10 установлена не в "родном" режиме UEFI.

Вам необходимо включить UEFI Native mode и активировать в BIOS режим безопасной загрузки (Secure Boot)

Кому-то сможет помочь установка новых драйверов для WiFi адаптера. Именно для Windows 10. Если адаптер старый и проблема имеет место, то лучше попробовать с его отключения и в случае если это помогло, заменить его.

В некоторых случаях помог банальная проверка системного диска на ошибки. Учтите что в зависимости от объема диска и количества ошибок проверка может затянуться и на 24 часа кряду.

Пуск - выполнить - chkdsk /r /f /v

Можно попробовать отключить службы определения местоположения.

Пуск - Настройки - Местоположение - Служба определения местоположения - Откл.

На случай если совсем ничего не помогает и только в этом случае, можно попробовать отключить динамические такты.

Для этого необходимо в административной командной строке выполнить bcdedit /set disabledynamictick yes

Ребят. Была найдена вот такая хрень в количестве овердофига. Судя по всему это какой то коннектор. Одна часть острая и полая, как игла. Второй конец пластиковый (сквозного отверстия нет, что бы провод продеть). У основания острого конца имеются следы пайки, и торчит кусок откушенного алюминиевого одножильного провода.

Что это за хрень и куда её применять?

Предыдущая часть.

После долгих раздумий о судьбах мира и созерцания пупка было принято волевое решение продолжить писать всякое. Однако я считаю, что для дальнейшего продвижения в дебри эзернет простого резонерства на тему фреймов, без ухода хотя бы немного в практическую плоскость, недостаточно, нужно добавлять хотя бы зачатки того, зачем это все. А если отбросить разные сантименты, то на вопрос зачем же все это, ответ будет однозначным - в подавляющем большинстве случаев для передачи IP.

И здесь для дальнейшего движения в правильном направлении об этом самом IP нужно бы хоть немного рассказать.

Тут я начну не с истории, а с практики. Представьте обычную советскую семью поклонников продукции эплл, у них в квартире наверняка есть устройства, которые что-то передают по IP. Предлагаю рассмотреть пылесос, который по заполнению мусорника отправляет в облако эппл соответствующие фоточки голой хозяйки данные о необходимости почистить или заменить пакет, ну и периодически шлет сообщения о необходимости замены расходников на новые оригинальные. Ну или в крайнем случае утюг, утюг может быть был бы даже лучше, но пусть все-таки будет пылесос. Облако в свою очередь шлет что надо в АНБ хозяйке на айфон. Большая часть коммуникаций работает в IP сетях. А IP сети, прошу прощения за тавтологию, в свою очередь в ethernet сетях.

Что же делает пылесос, когда ему надо передать информацию?! (Предлагаю профантазировать о модели пылесоса с подключением к таймкапсулю по вайфаю).

Предположим, что все автоматизировано, как положено в эппл и пылесос автоматически подключается к сети и получает настройки для сетевого подключения. Внутри пылесоса для функционирования передачи данных в облака при такой схеме должен быть предусмотрен какой-то компьютер-контроллер, который содержит программно-аппаратные средства для осуществления контроля параметров работы пылесоса, обработки данных и передаче данных куда нужно. Как минимум нам интересны сетевая карта вайфая (сетевой интерфейс) и операционная система с tcp/ip стеком.

В момент включения пылесос подключится к вайфай сети, запросит и получит настройки сетевого подключения, в числе которых скорее всего:

1. IP адрес

2. Маску сети

3. Шлюз по умолчанию

4. IP адреса ДНС серверов

В L3 схеме сети это будет выглядеть так:

Отличия вайфай сети от эзернета я пока рассматривать не буду, просто пока примем, что вайфай в таймкапсуле работает в режиме точки доступа, который эмулирует эзернет. Эзернет на схеме показан как труба, к которой подключены маршрутизатор и пылесос, так в схемах сетей обозначают разные шинные топологии.

Итак что же произошло при получении пылесосом настроек сети? Сетевой интерфейс пылесоса произвел автонастройку параметров, необходимых для полноценной передачи данных в соответствии с информацией, полученной от dhcp сервера таймкапсуля. Предположим он получил от домашнего маршрутизатора (таймкапсуля)

1. IP адрес - 192.168.0.100

2. Маску сети - 255.255.255.0

3. Шлюз по умолчанию - 192.168.0.1

4. IP адреса ДНС серверов - 192.168.0.1, 8.8.8.8

Итак зачем все это нужно.

IP адрес - идентификатор хоста в IP сети, уникальное в сети 32хбитное число, представляемое для удобства человека чаще всего как набор из 4х 8мибитных десятичных чисел (байтов или октетов). Октет это восьмиразрядное двоичное число, например 11111111. В большинстве случаев сейчас байт тоже восьмиразрядное двоичное число, поэтому в данном контексте они тождественны.

192.168.0.100 - 11000000101010000000000001100100 или 3232235620 (в десятичной системе), или 11000000.10101000.00000000.01100100 с разделением октетов точками.

Тут нужно опять сделать отступление. Представьте, что вам нужно перемножить 2 числа -

LXXVIII * CXI, для многих задача покажется невыполнимой, потому что я привел числа, записанные римскими цифрами, а данная система записи чисел - непозиционная.

В то врtмя как мы привыкли использовать арабские цифры и позиционную систему записи чисел с основанием в 10.

LXXVIII * CXI = 78 * 111 = 78*100+78*10+78*1 = 7800+780+78 = 7000+800+700+80+70+8 =

= 7000+1500+150+8=8658, ну или в столбик. Эти все итерации в примере возможны потому, что каждая цифра может обозначать разные числа, находясь в разных позициях, позиции определяют соответствующие степени основания системы счисления (для нас привычно степени 10ти - 10^0 - единицы, 10^1 - десятки, 10^2 -сотни и т.д.), а цифра в позиции определяет их количество. То есть 111 = 1 единица + 1 десятка + 1 сотня.

Эти же принципы используются в системах счисления с другим основанием (двоичной, восьмеричной, шестнадцатиричной), нас будет интересовать двоичная система.

В двоичной системе основание не 10, а 10, шутка, а нет, не шутка - основание 2 то есть в двоичной записи - 10, цифр соответственно не 10 (0-9), а 2 (0,1), переход в числа в следующую позицию осуществляется при исчерпании цифр в текущей позиции. То есть как в десятичной системе, пока можно увеличивать число изменяя цифру в позиции, количество позиций не изменяется. Например число будет одноразрядным, пока для единиц хватает цифр - 1, 2, 3, 4, 5, 6, 7, 8, 9, а вот цифры закончились, дальше для увеличения числа нужно изменять разряд. 10,11,12..99, опять закончились цифры уже в десятках, опять добавляем разряд, и следующее число - 100.

Еще раз в двоичной системе цифр только 2 (0,1), поэтому натуральный ряд чисел выглядит так - 1, 10, 11, 100, 101, 110, 111 и т. д. Его не трудно перевести на человеческий (десятичный), это соответственно 1, 2, 3, 4, 5, 6, 7.

Еще раз:

1-1

2-10

3-11 (почти 99)

4-100

5-101 (дальше как с 909)

6-110 (а тут как с 990)

7-111 (а это похоже на 999).

Теперь попробуем подвести это к IP адресам, то есть к их частям - октетам. Возьмем последние октеты наших устройств (таймкапсуль-маршрутизатор - 192.168.0.1, пылесос - 192.168.0.100), то есть 1 и 100, и переведем их в двоичную систему с сохранением количества цифр в октете.

1 - 00000001 (1)

100 - 01100100 (1100100)

Чтобы количество цифр сохранялось равным 8ми (это важно), в части чисел нужны лидирующие нули.

Далее нужно понять зачем все это. А все это для маршрутизации.

У каждого компьютера, оборудованного сетевым интерфейсом с настроенным IP есть таблица маршрутизации, которая создается после настройки IP адреса на интерфейсе и некоторых дополнительных параметров.

Посмотрим как выглядит такая таблица у пылесоса, после настройки сети.

После добавления IP адреса 192.168.0.100 и маски сети 255.255.255.0 к интерфейсу в таблицу маршрутизации добавилось 2 записи:

1. - 192.168.0.100 255.255.255.255 - локальный адрес

2. - 192.168.0.0 255.255.255.0 - сеть непосредственно подключена к интерфейсу

После добавления шлюза по умолчанию - 192.168.0.1 в таблицу маршрутизации добавилась 1 запись:

3. - 0.0.0.0 0.0.0.0 - через шлюз 192.168.0.1.

Итого, еще раз, в таблице маршрутизации пылесоса появилось 3 записи:

1. - 192.168.0.100 255.255.255.255 - локальный адрес

2. - 192.168.0.0 255.255.255.0 - сеть непосредственно подключена к интерфейсу

3. - 0.0.0.0 0.0.0.0 - через шлюз 192.168.0.1.

Записи обычно сортируются по возрастанию, так что при просмотре это будет выглядеть так:

0.0.0.0 0.0.0.0 - через шлюз 192.168.0.1.

192.168.0.0 255.255.255.0 - сеть непосредственно подключена к интерфейсу

192.168.0.100 255.255.255.255 - локальный адрес

Вот как это выглядит,например, в windows 7:

$ netstat -nr
===========================================================================
Список интерфейсов
14...6c 71 d9 84 cb 57 ......Atheros AR9485WB-EG Wireless Network Adapter
13...74 d0 2b b0 64 a7 ......Qualcomm Atheros AR8161/8165 PCI-E Gigabit Ethernet Controller (NDIS 6.20)
12...6c 71 d9 84 cb 56 ......Устройства Bluetooth (личной сети)
1...........................Software Loopback Interface 1
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
27...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес  Маска сети  Адрес шлюза  Интерфейс  Метрика
0.0.0.0  0.0.0.0  192.168.0.1  192.168.0.100  20
192.168.0.0  255.255.255.0  On-link  192.168.0.100  276
192.168.0.100  255.255.255.255  On-link  192.168.0.100  276
192.168.0.255  255.255.255.255  On-link  192.168.0.100  276
127.0.0.0  255.0.0.0  On-link  127.0.0.1  306
127.0.0.1  255.255.255.255  On-link  127.0.0.1  306
127.255.255.255  255.255.255.255  On-link  127.0.0.1  306
255.255.255.255  255.255.255.255  On-link  127.0.0.1  306

Здесь кроме тех маршрутов, что я перечислял выше, есть еще несколько, но про них позже.

Теперь надо сказать несколько слов откуда эти маршруты взялись и что с ними можно делать. Представьте, что пылесосу нужно отправить какие-то данные хосту 8.8.8.8, на котором находится публичный ДНС гугла, ну типа "привет, пока, пшел вон, тупая железяка!", так сказать приветствие от IoT компании эппл, сервису компании гугл. Для отправки данного месседжа, его необходимо поместить в IP пакет с соответствующими заголовками, по минимуму как-то так:

1. IP адрес отправителя

2. IP адрес получателя

3. Тип данных

4. TTL и т. д.

Хост готовит пакет, в котором IP адрес отправителя - 192.168.0.100, IP адрес получателя - 8.8.8.8, остальное пока не важно. Далее встает вопрос куда же это отправлять? За ответом хост отправляется выбирать из собственной таблицы маршрутизации маршрут, по которому отправить пакет.

Выбор маршрута происходит просто - из таблицы выбирается маршрут для которого выполняются следующие условия:

1. IP адрес получателя входит в диапазон адресов, описанных сетевым адресом и маской сети

2. Из нескольких подходящих маршрутов выбираются те, у которых маска сети максимальна

3. Из оставшихся выбираются те, у которых метрика минимальна.

Теперь нужно понять, зачем нужны маски и как все это работает.

Для этого нужно еще одно лирическое отступление о битовых операциях, в википедии все описано очень хорошо, немногое необходимое про истину и ложь все должны были в школе изучить, но все таки остановлюсь на этом немногом.

Итак в большинстве машинных языков наряду с арифметическими операциями используются также разные операции логические. Логику сейчас в школе не изучают, что прискорбно, но нам нужен минимум.

Чаще всего эквивалентом истинности чего-либо в вычислениях является двоичная единица, а эквивалентом лжи - ноль.

Теперь к сути операций, сначала Логическое И (умножение или AND):

Истина И Истина = Истина, Ложь И (Истина или Ложь) = Ложь, (если есть хоть немного лжи, то все целиком - ложь) или так:

1 И 1 = 1, 1 И 0 = 0, 0 И 1 = 0, 0 И 0 = 0, или так:

1 * 1 = 1, 1 * 0 = 0, 0 * 1 = 0, 0 * 0 = 0.

То есть если один из операндов - ноль, результат тоже ноль.

Далее Логическое ИЛИ (сложение или OR):

Истина ИЛИ Истина = Истина, Истина ИЛИ Ложь = Истина, Ложь ИЛИ Ложь = Ложь (если есть хоть немного истины, то все целиком - истина) или так:

1 ИЛИ 1 = 1, 1 ИЛИ 0 = 1, 0 ИЛИ 1 = 1, 0 ИЛИ 0 = 0, или так:

1 + 1 = 1 (сумма, конечно, 2, но главное, что она больше нуля, то есть результат суммирования не 0), 1 + 0 = 1, 0 + 1 = 1, 0 + 0 = 0.

То есть если один из операндов - единица, то результат тоже единица.

Логическое НЕ (отрицание или инверсия, или NOT):

НЕ Истина = Ложь, а НЕ Ложь = Истина, или так:

НЕ 1 = 0, а НЕ 0 = 1.

То есть после операции результат будет противоположным операнду.

Теперь вернемся к маскам. Маски представляют собой некий числовой трафарет (похожий на решетку Кардано), который нужен для необходимых в маршрутизации IP пакетов расчетов.

Чаще всего это набор единиц слева направо в 32х-разрядном двоичном числе. Например:

10000000000000000000000000000000 - маска /1 (1 единица) или 128.0.0.0,

11000000000000000000000000000000 - маска /2 (2 единицы) или 192.0.0.0,

11100000000000000000000000000000 - маска /3 (3 единицы) или 224.0.0.0,

11111111.00000000.00000000.00000000 - маска /8 (8 единиц) или 255.0.0.0,

11111111.11111111.00000000.00000000 - маска /16 (16 единиц) или 255.255.0.0,

11111111.11111111.11111111.00000000 - маска /24 (24 единицы) или 255.255.255.0.

Маски (32 бита) накладывается на IP адреса (32 бита), чтобы производить разнообразные расчеты.

В нашем примере с пылесосом маска 255.255.255.0 накладывается на IP адрес интерфейса - 192.168.0.100 для расчетов записей, добавляемых в таблицу маршрутизации:

Повторю еще раз 192.168.0.100 это в двоичной системе -

11000000.10101000.00000000.01100100,

а 255.255.255.0 -

11111111.11111111.11111111.00000000.

Итак на первом этапе стек рассчитывает из комбинации адреса и маски адрес IP сети, непосредственно подключенный к интерфейсу при помощи побитовой операции И:

11000000.10101000.00000000.01100100 И

11111111.11111111.11111111.00000000 =

11000000.10101000.00000000.00000000 или 192.168.0.0.

Расчетный адрес подсети соответственно - 192.168.0.0 с маской 255.255.255.0, нужно отметить, что в знакоместах адреса биты, закрытые единицами маски, не изменились, а в знакоместах закрытых нулями все единицы изменились на нули.

Далее производится операция инвертирования маски - НЕ

11111111.11111111.11111111.00000000 =

00000000.00000000.00000000.11111111

это 0.0.0.255.

Данное число называется wildcard. Это эквивалент количества адресов в данной сети.

Таким образом минимальный адрес в сети, подключенной к вайфай интерфейсу пылесоса -

192.168.0.0, а максимальный (192.168.0.0+0.0.0.255) - 192.168.0.255.

Для адресов из данного диапазона пылесос будет отправлять IP пакеты непосредственно в интерфейс, а хосты с адресами из данного диапазона будут соответственно доступны пылесосу непосредственно, то есть без промежуточных шлюзов.

Все это нужно, чтобы при настройке интерфейса добавить в таблицу маршрутизации запись, указанную ранее:

192.168.0.0 255.255.255.0 - сеть непосредственно подключена к интерфейсу.

А также чтобы определять принадлежность произвольного адреса назначения в IP пакете определенной сети из таблицы маршрутизации.

Например 8.8.8.8 совершенно точно не входит в 192.168.0.0 255.255.255.0, но в таблице маршрутизации была еще одна запись:

0.0.0.0 0.0.0.0 - через шлюз 192.168.0.1,

Как понимать что такое сеть 0.0.0.0 0.0.0.0.

Давайте посчитаем.

Адрес 0.0.0.0 это:

00000000.00000000.00000000.00000000, маска такая же:

00000000.00000000.00000000.00000000, после операции И, получим

00000000.00000000.00000000.00000000, это 0.0.0.0 - адрес сети (а также и минимальный адрес в данной сети), после инверсии маски:

00000000.00000000.00000000.00000000, получим

11111111.11111111.11111111.11111111, то есть 255.255.255.255 (wildcard, количество адресов в сети), после арифметического сложения адреса сети и wildcard (0.0.0.0+255.255.255.255) получим 255.255.255.255 - максимальный адрес в сети.

После данных операций становится понятно, что сеть 0.0.0.0 0.0.0.0 (короткая запись с маской, указывающей на количество единиц маски, - 0.0.0.0/0) содержит все IPv4 адреса в сети IP. Адреса 8.8.8.8, 192.168.0.1 и 192.168.0.100 являются частью данной сети.

Продолжение следует...

С кучей боксовых коробок Windows 10 Pro в комплекте пришла не менее маленькая куча загрузочных флешек на 16 гигов USB 3, на которых лежит дистриб x86 и x64 размером 8 124 Мб.  Вот таких:

Раскукоженная:

Номер на обратной стороне.

Решил прошить эти защищённые от записи флешки, не складирования ради, у меня за время работы накопителей выше крыши, а для хорошего дела - раздать коллегам, которые потеряли/не купили/сломали свои хранилки всякого.

В этой теме, нашёл вот такой пост со ссылками на инструкцию. Ничего не вышло, программа выдавала вот такое окно и ничего не делала:

С такими настройками:

Инфо по флешке:

Volume: E:

Controller: Phison PS2307

Possible Memory Chip(s): Not available

Flash ID: 983A98A3 7651

Chip F/W: 01.02.55

Firmware Date: 2015-11-06

ID_BLK Ver.: 1.3.0.0

MP Ver.: MPALL v3.34.0C

VID: 0951

PID: 16AA

Manufacturer: KDI-MSFT

Product: Windows 10

Query Vendor ID: KDI-MSFT

Query Product ID: Windows 10

Query Product Revision: PMAP

Physical Disk Capacity: 15502147584 Bytes

Windows Disk Capacity: 15484321792 Bytes

Internal Tags: 2P6P-8784

File System: FAT32

Relative Offset: 1024 KB

USB Version: 3.00 in 2.00 port

Declared Power: 300 mA

ContMeas ID: 02AE-03-00

Microsoft Windows 10 x64 Build 14393

По другим советам, где надо было шить другой прошивкой и на 3 процентах обрывать, я максимум чего добился, что одна флешка стала кирпичом, скорее всего не окончательно. Люди говорят, что что-то можно замкнуть или еще что-то сделать.

Всё это делал на 10 Pro x64 через порты USB2 и 3.

Дабы больше не портить флешки ищу совета ЧЯДНТ, раньше такого не делал.

Комменты для минусов приложу, минусите наздоровье)

Первая часть

Вторая часть

VLAN — Virtual Local Area Network

Сегодня мы поговорим про эту полезную вещь. Очень многие о ней слышали, но не все из них представляют, что это такое зачем оно нужно.

Основные термины:

Сетевая топология — способ описания конфигурации сети, схема расположения и соединения сетевых устройств.

Физическая топология — описывает реальное расположение и связи между узлами сети.

Логическая топология — описывает хождение сигнала в рамках физической топологии.

Общая идеология:

VLAN переводится как «виртуальные локальные сети». Эта штука работает на канальном уровне модели OSI. Она позволяет делать

1) Локальную сеть, физически состоящую из нескольких железок (aka коммутаторов), но которая видится как сеть, в которой одна многопортовая железка.

2) И наоборот, на одной железке можно уместить несколько сетей так, что они не будут видеть друг-друга. Как будто мы попилили коммутатор на несколько маленьких свитчиков.

3) Комбинацию из 1 и 2:

То есть, мы можем создавать логическую топологию сети не зависимо от физической топологии.

Тут надо отступить чуть в сторону. Никто не запрещает вам создать несколько локальных сетей без всяких VLAN и компы из одной сети будут видеть друг-друга (см. картинку ниже)

На картинке выше комп с адресом 172.16.1.1 вполне увидит комп 172.16.1.2 без всяких дополнительных настроек. Также как и все компы с адресами из сетки 192.168.1.0/24 увидят друг друга. Но все эти компы из обеих сетей будут находится в одном широковещательном домене (в изначальном смысле этого термина – второй уровень модели OSI). То есть, все широковещательные запросы (например, DHCP), направленные на MAC-адрес FF:FF:FF:FF:FF:FF попадут на все порты. А вот если вы разделите сеть на VLAN’ы, то у вас будет свой широковещательный домен на каждый VLAN.

Когда и зачем это нужно:

1) Когда вы создаёте 50 локальных сетей на 47 коммутаторах, то есть когда ваша сеть начинает загибаться под массой широковещательных запросов. Например, как говорят учебники, сеть общежития. Советую прочитать про broadcast storm

2) Когда вы параноик хотите защититься от arp-spoofing атак

3) Когда вы сталкиваетесь с IP-телефонией и моделью подключения комп-телефон-свич (то есть, 2 устройства на одном порту и нужно разделать их трафик). Телефонию в принципе принято выносить в отдельный VLAN не зависимо от типа подключения телефонов. В общем случае, когда на порт приходит по некоторым признакам разный трафик, который не должен смешиваться. Например, интернет, телефония и некоторый прямой канал с дружественной фирмой от провайдера.

4) Когда вы хотите развести всех этих людей по подсетям. Бухи налево, юристы прямо, маркетологи направо. Может, им не стоит видеть друг друга в целях безопасности, кто знает?

Как всё происходит: на устройстве создается VLAN, в него добавляются порты, которые в этот VLAN входят. Порты бывают тегированные и нетегированные. Тег – это некоторая метка (число), которая идентифицирует принадлежность трафика к VLAN. Помечать трафик нужно, когда в одном проводе передается трафик нескольких VLAN’ов (см. картинку).

Здесь :

VLAN1 — зеленый, в него входят порты 1, 7, 12, 14, 16 на switch1 и порты 1, 3, 4, 7, 8, 9, 11, 15 на switch2.

VLAN2 — синий, в него входят порты 3, 4, 6, 8, 9, 11, 13, 15, 16 на switch1 и порты 2, 5, 8, 13, 14, 16 на switch2.

VLAN3 — красный, в него входят порты 2, 5, 10, 16 на switch1 и порты 6, 8, 10, 12 на switch2.

Можно было бы соединить свитчи тремя патч-кордами (пунктирные линии) по одному на каждый VLAN, но не всегда это возможно и здорово (например, когда ваши свитчи расположены на разных этажах или когда VLAN’ов много, а свободных портов мало).

Сейчас свитчи соединены патч-кордом, который воткнут в 16 порт на первом свитче и в 8 порт на втором. Чтобы по нему могли ходить пакеты всех трёх VLAN'ов и не перемешиваться, патч-корд должен быть воткнут в тегированные порты. Порты 16 на первом и 8 на втором свитче — тегированные, каждый из них принадлежит всем трём VLAN'ам (также говорят и наоборот – три VLAN есть в этих портах). На входе в эти порты метка ставится (если нету), но на выходе не снимается.

Порты, помеченные одним цветом — нетегированные, в них нет меток, так как метки внутри одной сети не нужны. То есть, метка на входе в порт снимается (если есть) и на выходе не ставится.

Обычные пользовательские компьютеры воткнуты в одноцветные порты и знать не знают про всю эту муть - всем управляет коммутатор (заботливо ставит метки, если трафик надо запихнуть в трехцветный провод и снимает метки, если надо отдать данные компу - чтоб бедняга не мучился). Linux умеет понимать VLAN'ы (при вашем желании), некоторые сетевухи с правильными дровами под виндой тоже. Но по умолчанию всё отдается коммутатору.

И вот у вас несколько VLAN’ов, все счастливы, но друг друга сети совсем не видят. А надо. Чтобы настроить между ними маршрутизацию, нужен (тссс!) маршрутизатор. Ну или хотя бы L3-switch.

Пара ссылок с красивыми картинками от cisco: раз и два.

По просьбам трудящихся подписчиков несколько команд:

VLAN на компе с Debian:

Можно настраивать с помощью vconfig или с помощью ip link.

Создать VLAN на интерфейсе eth0. Имя VLAN'a – eth0.80, оно по-хорошему должно быть именно в таком формате: интерфейс.тег, ну и тег тут 80, уже понятно:

# ip link add link eth0 name eth0.80 type vlan id 80

# ifconfig eth0.80 up

Добавить IP:

# ip a a 172.16.1.1/24 dev eth0.80

VLAN на D-Link:

Создать VLAN с названием 45 и тегом 45:

# create vlan 45 tag 45

Добавить нетегированные порты с 8 по 11:

# config vlan 45 add untagged 8-11

Добавить тегированный порт 14:

# config vlan 45 add tagged 14

Удалить 10 порт из VLAN:

# config vlan 45 delete 10

Посмотреть информацию о VLAN:

# show vlan

VLAN на Cisco

У Cisco тегированные порты называются транковыми (trunk), а нетегированные native. Предупреждение: vlan 1 занят под native vlan. Также на коммутаторах cisco есть interface vlan1, который является интерфейсом управления – на него назначаете IP, чтобы заходить на свичи по сети

создать VLAN:

# vlan 2

# name vlan2

Добавить тегированные порты:

# config vlan2 add tagged 2,25

# exit

Изменить что-то с VLAN'ом:

# interface vlan2

добавить IP:

# ip address 10.1.2.1 255.255.255.0

Чтоб перевести порт в тегированный режим:

$ conf t

# interface fa0/24

# switchport trunk encapsulation dot1q

# swichport mode trunk

Разрешить VLAN'ы 1 и 2:

# switchport trunk allowed vlan 1,2

Включение нетегированного VLAN'а:

# switchport trunk native vlan 1

Режим по умолчанию, в этом порту не может быть тегированных пакетов:

# interface fa0/1

# switcport access vlan 1

В рамках cisco еще полезно ознакомиться с протоколом VTP.

Ну и напоследок: не стоит наслушавшись цискокурсов или начитавшись статей пилить свою сеть на VLAN’ы, если вы не понимаете, зачем вам это надо. Если у вас в широковещательном домене пару сотен устройств и все в одной сети, то не стоит заморачиваться (это моё личное мнение).