Tuossa aiemmin kyselin, voiko tuolla ohjelmalla testata sitä pitääko VLANit kuten haluttu, testata kupariportista, testata wifistä.
Ja jos tukee, niin mitkä on rautavaatimukset.
Jos ei taasen tue, niin millä sen ethernetin VLAN pitävyyden voisi testata ? noin yleisesti (aloittajalle voi riittää jokin muu) jotain sellaista helppoa kyselen, mikä ei vaatisi hirvesti osaamista. eli helpot ohjeet testiympäristön rakentamiseen ja käyyttöön.
Kirjoittaessa tuli mieleen että tarvitaanko siihen kaksi verkkokorttia?
Jos skannailet vain IP osoitteita jokin käyttöjärjestelmän takaa, niin se on vain se näkymä mitä siellä IP mailmassa käyttöjärjestelmän IP pinojen takaa näkyy ja jos testaa portista toiseen, niin "näkyvyys" voi olla ihan eri kuin se että uuden laitteen kytkee.
Hieman pidempi vastaus nyt kun pääsin vihdoin koneen äärelle
TLDR: lataa GNS3 ja labraa verkko, testaa siirtämällä koneita yms yms
https://www.gns3.com/
https://visualsubnetcalc.com/ -> kätsy L2 verkkojen jakotyökalu.
Ehkä helpoin tapa toteuttaa testit on kaksi laitetta eri aliverkoissa. Eli otetaan seuraava tavoite, laite A ei saa keskustella laite B:n kanssa.
Laite A: 192.168.110.10/24
Laite B: 192.168.115.10/24
Vaikka laitteet ovat eri aliverkoissa, ne voivat silti kommunikoida keskenään jos laitat esim laite B:lle aliverkon maskiksi /16 eli 255.255.0.0, se voi kommunikoida laite A:n kanssa. Eli aliverkot eivät luo tietoturvaa, vain ainostaan loogisia tapoja eriyttää esim kuvitteellisessa yrityksessä eri toimipisteitä toisistaan. Aliverkotusta tarvitaan myös reitityksen toimintaan yms yms.
Nyt laitetaan VLAN:t käyttöön seuraavasti:
Laite A: VLAN1100 192.168.110.10/24
Laite B: VLAN1150 192.168.115.10/24
Oletetaan myös että laitteiden välillä ei ole mitään palomuuria vaan pelkästään L2 kytkin.
Laitteet eivät voi kommunikoida keskenään koska jokainen VLAN on oma "
L2 broadcast domain", eli teknisesti kytkin ei anna X VLAN:ssa olevien laitteiden selvittää Y VLAN:ssa olevien laitteiden MAC osoitteita ARP taulusta.
Sitten testaamiseen:
Aseta laitteille seuraavat IP:t ja kytke ne eri VLAN:n kytkimessä:
Laite A: VLAN1 192.168.1.10/24
Laite B: VLAN2 192.168.1.11/24
Asenna molempiin laitteisiin Wireshark työkalu sekä Zenmap (jos käytät windowsia, kätsy GUI nmap:lle).
Käynnistä Wireshark ja aloita molemmilla laitteilla ethernet verkon pakettien tallentaminen.
Aja nyt laitteella A komento ping 192.168.1.11. Wiresharkissa näkyy välittömästi paketti jonka protokolla on "ARP"
Eli siis laite A lähettää kytkimelle (sekä koko L2 broadcast domainiin eli VLANiin) kyselyn missä on IP 192.168.20.2.
Jos laite ei ole samassa L2 verkossa (eli tässä tapauksessa eri VLAN:ssa), niin vastausta ei tule koskaan. Eli tällä on helppo todeta ovatko laitteet eri VLAN:ssa.
Tilanne muuttuu jos sinulla on reititin välissä. (HUOM! pitää vaihtaa eri L2 boradcast osoitteet muuten muuri ei tiedä mihin reitittää paketit
) Eli tässä esimerkissä on liitetty VLAN:n trunkkina esim pfsense reitittävä muuri väliin ja molemmille VLAN:lle on luotu pfsensessä oma interface käyttäen VLAN Tag:jä:
Jokaisella kytkimellä on ARP taulu, josta kytkin sitten katsoo että onko kyseiseen IP:n jo minulla MAC osoitetta. Jos MAC osoitetta ei ole omassa taulussa, se lähettää koko kyseisen framen uudelleen koko verkkoon.
Reititin täten saa tämän kyseisen framen koska kytkin oli kytketty reitittimeen (tai kytkin ja reititin ovat toisissaan kiinni VLAN:n trunkilla yhden tai useamman kaapelin yli).
Reititin sitten ottaa tämän framen vastaan, katsoo siihen frameen liitetyn IP osoitteen jota alkuperäinen laite on kysellyt, katsoo löytyykö kyseistä IP avaruutta paikallisesta reittitaulusta.
Jos IP on paikallisessa reittitaulussa -> ohjaa frame kyseisen reittitaulun "porttiin" L2 broadcastina, ja siitä frame menee kyseisen VLAN:n kytkimelle ja siitä edelleen kytkimen ARP taulun avulla kohdekoneelle.
Ja vielä tähän lisäksi voidaan sitten laittaa pfsense muuriin estona että VLAN1 ei saa kommunikoida VLAN2:n kanssa (eli "default deny" sääntö). Tällöin paketit eivät ikinä mene VLAN:lta toiselle.
Ja tähän vielä lisäksi vaikka muuri sallisi paketin, voidaan estää kohdekoneella esim ICMP pakettiin vastaukset, jolloin kone mikä yrittää pingata toista konetta, vastausta ei tule ikinä takaisin.
