CCNA තිස් හතරවන පාඩම VLAN (Virtual Local Area Network) - switch iii

CCNA තිස් හතරවන පාඩම VLAN (Virtual Local Area Network)

                             switch-i පාඩමේදි අපි කථා කලා switch එකක ක්‍රියාකාරීත්වය හා එහි එක් එක් ක්‍රියාකාරී අවස්ථාවන් පිළිබදව. එහිදී එක් අවස්ථාවකදී frame flood කිරීමක් ගැනත් සදහන් කලා මතක ඇති. frames switch එක තුලදි flood කිරීමේදී සිදුවන්නෙ යම් කිසි ආකාරයක broadcast වීමකුයි (හැබැයි මෙය hub එක තුලදි නිතරම සිදුවන broadcast ක්‍රියාවලියට සමාන ක්‍රියාවක් නෙමෙයි). තවත් ආකාරයකින් කියනවනම් switch එකකට devices සම්බන්ධ කරපුවාම සමහර අවස්ථාවලදි එය පෙරනිමිතියෙන්ම one broadcast domain එකක ගතිලක්ෂණ පෙන්වනව කියන එකයි. 

                  network එකක කුමන හෝ අවස්ථාවක broadcast වීමක් සිදුවෙනවනම් එයින් අනිවාර්යෙන්ම network එකේ කාර්යක්ෂමතාවට යම්කිසි සෘණාත්මක බලපෑමක් එල්ලවෙනව. අපි switch ගැන හොදාකාරවම දන්න තවත් දෙයක් තියෙනව. ඒ තමයි switch එකට සම්බන්ධ කරන්න පුළුවන් එකම LAN(Local Area Network) එකක පිහිටන ලෙස සැකසුම් කල devices පමණයි. තවත් විදියකින් කියනවනම් තනි subnet එකකට අයත් devices පමණයි, switch එකකට සම්බන්ධ කරල එම devices අතර තොරතුරු හුවමාරු කරගත හැකි ආකාරයට සම්බන්ධතාවයක් ගොඩනගාගන්න හැකිවෙන්නෙ. හරියට පහලින් පෙන්නල තියෙනව වගේ..

ඉහත පිංතූරය බැළුවම පැහැදිලිවම තේරුම් ගන්න පුළුවන් switch එකට සම්බන්ධ කරන සියළුම devices එකම network range එකක පිහිටන ලෙස IP address සැකසුම් කල devices විය යුතු බව. ඉහතින් කියපු කාරණය තවත් හොදින් තේරුම් ගන්නත් VLAN සංකල්පය අවබෝධ කරගන්නත් පහත උදාහරණය සළකා බලමු.
                  අපි හිතමු මහල් තුනකින් යුක්ත ගොඩනැගිල්ලක එකම department එකේ උප කොටසක් සෑම මහලකම පිහිටල තියෙනව කියල. එක් එක් department වලට අයත් computers පිහිටල තියෙන්නෙ එම department එකට අදාල segment එක යටතෙයි. තවත් පැහැදිලිව කියනවනම් department තුන එකිනෙකට වෙන්වු LAN තුනක් විදියටයි තියෙන්නෙ (එක් එක් department එකට වෙන්වු වෙනමම IP range එකක් යටතේ). සමහර අවස්ථාවලදි මෙම department අතර තොරතුරු හුවමාරු කරගැනීමටත් අවශ්‍යයැයි සිතමු. එහෙනම් එවනි network එකක් අපට පහතින් පෙන්නල තියෙන විදියට නිර්මාණය කරගන්න පුළුවන් නේද....

                      ඔබ හොදින් රූපය බැළුවනම් කොතරම් broadcast domain ප්‍රමාණයක් ඉහත  network එක තුල නිර්මාණය වෙලා තියෙනවද කියල තේරුම් ගන්න පුළුවන් වේවි. ඒ වගේම කොතරම් network devices ප්‍රමාණයක් network එක නිර්මාණය කිරීමට යොදාගෙන තියෙනවද කියල අදහසක් ගන්න පුළුවන් නේද. 
                         ඉහතින් සදහන් කල කරුණු නිසා සිදුවන අවාසි සහගත බව නැති කරන්න තමයි switch සමග VLAN කියන සංකල්පය හදුන්වල දුන්නෙ. එහෙමනම් switch එකක් සදහා VLAN සැකසුම් කිරීම මගින් අපි බලාපොරොත්තු වෙන්නෙ switch එකත් සමග network එක තුල සිදුවන broadcast අවම කරගැනීමත්, එකම LAN එකේ නොපිහිටන (වෙනස් network/segment වල පිහිටන) ලෙස සැකසුම් කරන ලද devices Switch එකට සම්බන්ධ කල හැකි ආකාරයට switch එක පරිවර්තණය කිරීමත් යන ප්‍රධාන කාරණා දෙකයි. මීට අමතරව VLAN සැලසුම් සහිතව network එකක් design කිරීම තුලින් පහසුවෙන් network එකක් පැතිරී ඇති ප්‍රමාණය පුළුල් කිරීමට හැකිවීම, අමතර ආරක්ෂාවක් network එකට සැලසීම, network එක පාලනය කිරීමේ හා හැසිරවීමේ පහසුව යන කාරණා සදහන් කරන්න පුළුවන්.
                   ඔබට VLAN භාවිතය ගැන දැනුමක් තිබුනනම් ඉහත උදාහරණයෙදි කථාකරපු network එක පහසුවෙන්ම පහත ආකාරයට සැලසුම් කරන්න හැකිවේවි....

                       දැන් අපි මෙතැන් සිට ඉගෙන ගනිමු VLAN සැකසුම් බාවිතයෙන් කොහොමද  ඉහත අකාරයේ හොද කාර්යක්ෂම network එකක් නිර්මාණය කරගන්නෙ කියල.

VLAN හදුනාගැනීම:
                VLAN සැකසුම් කිරීම සරලව ක්‍රියාකාරකම් හරහා මෙතන් සිට අවබෝධ කරගමු. පළමු ක්‍රියාකාරකම විදියට පහත ආකාරයේ network එකක් packet tracer තුල නිර්මාණය කරගන්න.
ක්‍රියාකාරකම් 01:
          බාගත කරගන්න-: packet tracer file

ඉහත ක්‍රියාකාරකමේ switch එකට සම්බන්ධ කර ඇති සෑම PC එකකටම එකිනෙකා අතර තොරතුරු හුවමාරු කරගන්න පුළුවන් (තහවුරු කරගැනීම සදහා PC අතර ping කර බලන්න). switch එකකට සම්බන්ධ කරල තියෙන devices අතර සම්බන්ධතාවයක් ගොඩනගාගන්න නම් එම devices එකම segment එකක් තුල පිහිටන්න ඕන කියල පාඩම මුලදිම අපි තේරුම් ගත්ත. switch ක්‍රියාකාරීත්වයට සම්බන්ධ අළුත් දෙයක් දැන් අපි ඉගෙන ගන්නයි යන්නෙ. ඒ තමයි switch එකකට සම්බන්ධ devices වලට එකම segment එක තුළ පිහිටන විදියට IP address සැකසුම් කලත් switch එක තුලදි එම devices සම්බන්ධ කරන ලද interfaces එකම VLAN එකක් තුල පිහිටන්නෙ නැතිනම් එම devices සම්බන්ධතාවයක් ගොඩනැගීමට නොහැකි වෙනව. එහෙනම් දැන් තවත් ප්‍රෂ්ණයක් මතුවෙනව. ඒ තමයි අපේ පළමු ක්‍රියාකාරකමේ switch එකට සම්බන්ධ devices කොහොමද අපි එම interfaces එකම VLAN එකක් තුල පිහිටන විදියට සැකසුම් කරන්නෙ නැතිවත් සම්බන්ධතාවක් ගොඩනගාගත්තෙ කියල. ඒකට හේතුව අපේ VLAN පාඩමේ පළමු command එකත් ඉගෙන ගන්න ගමන්ම කථා කරමු..
Switch#show vlan brief
                             මේ command එක හරහා පුළුවන් දැනනට switch එකේ පවතින VLAN සැකසුම් සාරාංශගතව බලාගන්න. එහෙම බැළුවාම අපට පහල ආකාරයෙන් VLAN තොරතුරු පෙන්වාවි (රතු පාටින් සළකුණු කර ඇති කොටසට පමණක් අවධානය යොමුකරන්න).

හොදින් බලන්න අපි විසින් කිසිදු VLAN සැකසුමක් සිදුකලේ නැතත් VLAN id එක 1 වන "default" යනුවෙන් නම්කරන ලද Fa0/1 සිට Fa0/24 දක්වා port අතුලත් වු active තත්වයේ පවතින VLAN එකක් switch එක තුල අඩංගු වන බව. එහෙනම් දැන් අපට හිතාගන්න පුළුවන් නේද ඉහත ක්‍රියාකාරකම හරහා switch එකට සම්බන්ධ කරන ලද devices අතර සම්බන්ධතාවයක් ගොඩනගා ගත්තෙ එම devices සම්බන්ධ interfaces එකම VLAN එකක් තුළ පිහිටිය නිසා කියල. එයින් කියවෙන්නෙ අපි cisco switch එකක් බාවිතා කරද්දි දැනුවත්ව හෝ නොදැනුවත්ව VLAN බාවිතා කරනව කියලයි.
                    "show vlan brief" command එක හරහා දැකපු switch එකෙහි ඇති සියළු interfaces ඇතුලත් පෙරනිමිතියෙන්ම සැකසුන VLAN එක native VLAN එක යනුවෙන් හදුන්වනව. පාඩම මුලදිම සදහන් කලා switch එක කියන්නෙ one broadcast domain එකක් කියල. ඒකට හේතුව තමයි switch එක තුල පෙරනිමිතියෙන්ම සියළුම interfaces, native VLAN එකට අන්තර්ගතව තිබීම. switch එකට devices සම්බන්ධ interfaces එකම VLAN එකකට නැතුව network design එකට අනුව VLAN කිහිපයකට බෙදා වෙන්කරන්නට හැකිනම් ඉහතින් කථා කරපු switch එක තුල සිදුවන broadcast වල යම් කිසි පාලනයක් සිදුවෙනව. එයට හේතුව තමයි VLAN එකක් ක්‍රියාකාරන්නෙ separate broadcast domain එකක් විදියට වීමයි. පාඩමේ ඉදිරි කොටස් වලදි separate broadcast domain එකක් කියන්නෙ මොකද්ද කියල පැහැදි අවබොධයක් ලැබේවි.   
ඒ අතරම මතක තබාගන්න පහල command එක හරහාත් අපට switch එකෙහි අන්තර්ගත VLAN තොරතුරු ටිකක් සවිස්තරව බලාගන්න පුළුවන්.
Switch#show vlan

Separate broadcast domain ක්‍රියාකාරීත්වය හදුනා ගැනීම:
                පාඩම මුලදිම VLAN සැකසුම් මගින් switch එකහරහා සිදුවන broadcast අවම කරගත හැකි බව සදහන් කලා. එත් කොහොමද මේ broadcast අවම කරගැනීම සිද්ධවෙන්නෙ කියල පහත ක්‍රියාකාරකම හරහා අවබෝධ කර ගනිමු.
ක්‍රියාකාරකම් 02:
          බාගත කරගන්න-:packet tracer file (VLAN සැකසුම් කිරීමට පෙර )
                                        packet tracer file (VLAN සැකසුම් කල පසු)

මෙම ක්‍රියාකාරකමේ switch එකට සම්බන්ධ සියළු pc එකම network (segment) එකකට අයත්  බව ඔබට දැකගන්න පුළුවන්. එයින් කියවෙන්නෙ switch එකට සම්බන්ධ සෑම pc එකක් අතරම තොරතුරු හුවමාරු කරගත හැකි බවයි. දැන් අපි බලමු Fa0/1 හා Fa0/2 native VLAN එක තුලද Fa0/3 හා Fa0/4 VLAN2 තුලද Fa0/23 හා Fa0/24 VLAN3 තුලද සිටින ආකාරයට switch එකට සැකසුම් කරගන්නෙ කොහොමද කියල. 
               VLAN switch interfaces සදහා සැකසුම් කිරීමේදී ප්‍රධාන පියවරයන් දෙකක් අපට ක්‍රියාත්මක කරන්න වෙනව.

1. VLAN එක නිර්මාණය කිරීම (අවශ්‍යනම් ඔබට VLAN එක සදහා නමක්ද සැකසුම් කල හැකියි).
2. switch port mode එක සැකසීම හා අවශ්‍යය interface එක VLAN එකට සම්බන්ධ කිරීම. 

Fa0/1 හා Fa0/2 පෙරනිමිතියෙන්ම native VLAN එක තුල අඩංගු වන නිසා එම interface දෙක සදහා VLAN සැකසුම් කිරීමට අවශ්‍ය වෙන්නේ නැහැ. එම නිසා අනෙක් interfaces ඇතුලත් කිරීමට VLAN2 හා VLAN3 නිර්මාණය කරමු. පහත command එක හරහා switch එක තුල VLAN නිර්මාණය කල හැකියි.
Switch(config)#vlan <vlan_ID> (මෙම command එකෙන් පසු switch එක VLAN configuration mode එකට පැමිණෙයි).
සාදන ලද VLAN එක සදහා නමක් සැකසීම.
Switch(config-vlan)#name <vlan_name>
VLAN එකට ඇතුල් කිරීමට අවශ්‍ය interface එකට ඇතුල් වීම.
Switch(config)#interface <port_no>
switchport mode එක access යනුවෙන් සැකසීම.
Switch(config-if)#switchport mode access
VLAN එක තුලට interface එක ඇතුලත් කිරීම.
Switch(config-if)#switchport access vlan <vlan_id>
එහෙනම් ඉහත command සේරම එකතු කරල පහතින් පෙන්වල තියෙන ආකාරයට ක්‍රියාකාරකම් 02 අදාල VLAN සැකසුම් සිදුකරන්න පුළුවන්.

Switch(config)#vlan 2
Switch(config-vlan)#name VLAN2
Switch(config-vlan)#exit
Switch(config)#interface Fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface Fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#vlan 3
Switch(config-vlan)#name VLAN3
Switch(config-vlan)#exit
Switch(config)#int fa0/23
Switch(config-if)#switchp mod acc
Switch(config-if)#switchp acc vla 3
Switch(config-if)#exit
Switch(config)#int fa0/24
Switch(config-if)#switchp mod acc
Switch(config-if)#switchp acc vla 3
Switch(config-if)#exit
Switch(config)#do write
Building configuration...
[OK]

switch එකට කල VLAN සැකසුම් හරියටම switch එකට apply වෙලාද කියල කලින් ඉගෙන ගත්තු "show vlan brief" command හරහා දැන් අපට බලාගන්න පුළුවන්.

Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/5, Fa0/6
                                                Fa0/7, Fa0/8, Fa0/9, Fa0/10
                                                Fa0/11, Fa0/12, Fa0/13, Fa0/14
                                                Fa0/15, Fa0/16, Fa0/17, Fa0/18
                                                Fa0/19, Fa0/20, Fa0/21, Fa0/22
2    VLAN2                            active    Fa0/3, Fa0/4
3    VLAN3                            active    Fa0/23, Fa0/24
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
Switch#

දැන් පැහැදිලිව පේනව Fa0/3, Fa0/4 VLAN2 වලටත් Fa0/23, Fa0/24 VLAN3 වලටත් ඇතුලත් වෙලා තියෙනව. දැන් ඔබට පුළුවන් එක VLAN එකක ඉදල තවත් VLAN එකක ඇති PC එකකට ping කරල බලන්න. ping reply ලැබෙන්නෙ නැහැ නේද. එයට හේතුව තමයි එකිනෙකට වෙන් වු VLAN අතර switch එක හරහා සම්බන්ධ විය නොහැකි වීමයි. මේ ක්‍රියාකාරකමෙන් බලාපොරොතතු වුනේ VLAN හරහා broadcast අවම කරගැනීම සිදුකරගන්නෙ කොහොමද කියල අවබෝධ කරගැනීමයි. එහෙනම් දැන් ඔබට පැහැදිලි වෙන්න ඕන switch එකකට සම්බන්ධ සියළු devices එකම segment එකක් තුළ පිහිටියත් ඒවා එකම VLAN එකකට අයත් නැත්තම් එම devices අතර සම්බන්ධතාවයක් ගොඩනගාගත නොහැකි බව. ඒ අතරම පැහැදිලි වන අනිත් කාරනය තමයි එකම VLAN එකට අයත් devices අතර සම්බන්ධතාවයක් ගොඩනගාගත හැකි බව. එයට හේතුව තමයි එක VLAN එකක් single broadcast domain එකක් විදියට ක්‍රියාකිරීම. තවත් පැහැදිලිව කියනවනම් VLAN3 වල තිබෙන PC-5 වලින් PC-1 වලට ping කලොත් switch එක මගින් එම ping request එක broadcast කරන්නෙ VLAN3 වලට අයත් interface හරහා පමණයි. එම නිසා PC-5 වලට PC-1 සමග සම්බන්ධතාවක් ගොඩනගාගන්න නොහැකිවෙනව. එමගින් අපට පැහැදිලි වෙනව VLAN නිසා switch එකක broadcast කරන පරාසය අඩුවෙන බව.  
                                    දැන් බලමු එකිනෙකට වෙන්වු segment සහිතව switch එකකට VLAN සැකසුම් සිදුකරන ආකාරය. VLAN මගින් VLAN එකට අයත් සියළුම ports single broadcast domain එකක් තුල හසුරුවන නිසා එකිනෙකට වෙන්වු segment සහිතව devices switch එකට සම්බන්ධ කර ඒවා වෙන් වෙන්වු VLAN තුල පිහිටුවිය හැකියි. මෙහිදී සැලසෙන වැදගත්ම කාර්යය තමයි එක් segment එකක් මගින් සිදුකරන broadcast කිරීම එම segment එක අයත් VLAN එක තුළට පමණක් සීමා වීම.
ක්‍රියාකාරකම්03:
          බාගතකරගන්න-:packet tracer file

ක්‍රියාකාරකම් 03 අදාල VLAN සැකසුම් switch එක සදහා අපට පහල ආකාරයට සිදුකල හැකියි. 

Switch(config)#vlan 2
Switch(config-vlan)#name Accounts
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#name Stores
Switch(config-vlan)#exit
Switch(config)#vlan 4
Switch(config-vlan)#name IT
Switch(config-vlan)#exit
Switch(config)#interface fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)#interface fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)#interface fa0/23
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 4
Switch(config-if)#exit
Switch(config)#interface fa0/24
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 4
Switch(config-if)#exit
Switch(config)#exit

%SYS-5-CONFIG_I: Configured from console by console
Switch#write
Building configuration...
[OK]
Switch#

කලින් විදියටම ඉහතින් කල සැකසුම් නිවරදිද කියල "show vlan brief" command එක හරහා අපට බලාගන්න පුළුවන්.

Switch#show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22
2    Accounts                         active    Fa0/1, Fa0/2
3    Stores                           active    Fa0/3, Fa0/4
4    IT                               active    Fa0/23, Fa0/24
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
Switch#

                         දැන් අපිට පුළුවන් සාර්ථකව switch එකකට එකිනෙකට වෙනස්වු segment සදහා VLAN සැකසුම් සිදුකරන්න. ඒ කියන්නෙ දැන් එක් මහලකට එක් switch එකක් බැගින් පමණක් බාවිතා කරල ඒ ඒ department වලට අදාල devices එකම switch එකකට සම්බන්ධ කල හැකි බව අපි දන්නව. නමුත් යම් කිසි අවස්ථාවක අපට අවශ්‍යය උනොත් එක් department එකකට තවත් department එකක් හා සම්බන්ධ තාවය ඇතිකරන්න, අන්න එවනි දෙයක් VLAN සැකසුම් සිදුකල switch එකක් හරහා සිදුකරගන්න නොහැකියි. එවනි අවස්ථාවක තමයි inter VLAN routing කරලියට එන්නෙ. ඒ අතරම අපට අවශ්‍යය උනොත් එක් switch එකක ඇති stores department එකට සම්බන්ධ devices වලට තවත් switch එකක ඇති stores department එකක් හා සම්බන්ධ කරන්න යන කටයුතු අපි ඊලග පාඩමෙන් උගනිමු. එතෙක් ඔබ සැමට ...     

*****ජය ශ්‍රී*****

                           

CCNA තිස් තුන්වන පාඩම Switching design model and Port security (Switch- ii)

CCNA තිස් තුන්වන පාඩම Switching design model and Port Security

සැලකිය යුතුයි: switching model යනු switches network එක තුල පිහිටුවන ආකාරය අනුව සකස් කරන ලද සංකල්පයක් පමණි. මෙය කිසිවිටකත් OSI layers හෝ TCP/IP models සමග සැසදීමෙන් වලකින්න..

             Switching model යටතෙ අපි කතාකරන්නෙ සැලසුම් සහගතව නිවරදිව switch යොදාගෙන යමකිසි ගොඩනැගිල්ලක් හෝ ඊට සමාන පසුබිමක් සහිත පෙදසක් network කිරීමේදී යොදාගන්නා සැකැස්මකටයි. මෙය බොහෝ දුරට වාණිඡ්‍යමය වශයෙන් යම් කිසි කාර්යයක් කිරීම සදහා network එකක් සැලසුම් කිරීමේදී හොදින් සලකා බලන කටයුත්තක් විදියට හදුන්වන්න පුළුවන්. CISCO switching model යටතේ ස්ථර (layer) තුනකට අනුව තමයි network එක තුල switches එකිනෙක ස්ම්බන්ධ කරීම සිදුකරන්නෙ.
switching design model එක තුලින් ප්‍රධාන වශයෙන් බලාපොරෙත්තු වෙන්නෙ switch අතර පවත්නා සම්බන්ධතාව බිදවැටීමේ සම්බාවිතාවය අවම කිරීමයි. පහල රූපය බැළුවම ඒක ගොඩක් පහැහැදිලි වෙයි.

ඉහත රූපයෙ විදියට switching model තුලදි එක් switch එකක් තවත් switch එකක් සමග සම්බන්ධතා කිහිපයක් හරහා තමයි සම්බන්ධ වෙලා තිබෙන්නෙ. එම නිසා කලින් කථාකරපු switch අතර පවත්නා සම්බන්ධාතාව බිදවැටීම කියන කාරණය මෙහිදී අවම කරගන්න පුළුවන් වෙනව. දැන් බලමු ඉහතින් පෙන්නල තියෙන switching model වල එක් එක් layers ටිකක් සවිස්තරව.

1. Access layer switches: මෙම layer එක තුල පිහිටන switches වලට තමයි end user computers හෝ users ල බාවිතා කරන වෙනත් network devices සම්බන්ධ කරන්නෙ. මේ පාඩමේදි ඉගෙන ගන්න switch port security සරකසුම් කරන්නෙ මේ layer එක තුල පිහිටවනු ලුබු switch වලටයි.
2. Distribution layer switches: ඉහතින් කථාකරපු Access layer switches, Core layer switches වලට සම්බන්ධ වෙන්නෙ මේ layer එක තුල පිහිටවන switches හරහායි. ඉදිරි පාඩම් වලදි ඉගෙන ගන්න VLAN වල වැදගත් කාර්යයක් සිදුකරන්නෙ මේ layer එකේ ඇති switch හරහායි.
3. Core layer switches: මුළු LAN (Local Area Network) එකේම කොදුනාරටිය විදියට ක්‍රියාකරන switches අයත් වෙන්නෙ මේ layer එක තුලටයි. මෙම layer එක තුල ස්ථාපනයට යොදාගන්න switches ගොඩක් වේගවත්ව (high end /core switches) හා නිවරදිව තීරණගැනීමේ හැකියාවක් ඇති switches වෙනව. බොහෝදුරට මෙම switches එකිනෙකට fiber cable හරහා සම්බන්ධ වෙලයි තිබෙන්නෙ.

Switch Port Security

                switching-1 පාඩමේදි අපි ඉගෙන ගත්ත source mac-address එක බලල switch එකක විවිධ තීරණ ගන්නා බව. port security වලදිත් switch එක විවිධ තීරණ ගැනීම සදහා යොදාගන්නෙ  source mac-address එකයි. switch එකට port security සැකසුම් කරල තියෙන ආකාරය අනුව switch එක වෙතට එන frame එකක source mac-address එක ආරක්ෂිතයි (secure) කියල නිගමනය කරන්න පුළුවන්නම් එය network එක වෙත යොමු කිරීමටත් අනාරක්ෂිතයි කියල නිගමනය කලොත් ඒ සදහා ගන්නා ක්‍රියාමාර්ගත් port security හරහා අපට switch එකට සැකසුම් කරන්න පුළුවන්.

               switch එකකට port security සැකසුම් කිරීමෙන් බලාපොරොත්තු වන්නෙ switch එකේ එක් interface (port) එකක් හරහා කලින් සැකසුම් කරන ලද mac-address එකක් ඇති device එකකට හෝ කිහිපයකට පමණක් frame transmit කිරීමට ඉඩ ලබාදීමයි. මේසේ කලින් සැකසුම් කරන ලද (switch interface එකට සම්බන්ධ කිරීමට අවසර දෙන ලද) mac-address එක secure mac-address විදියට හදුන්වනව.

උදාහරණයක් විදියට මේ විදියට හිතමු.....

            ආයතනයක කළමණාකරු ඉන්න කාමරයෙ තියෙන බිත්තියට සවිකරන ලද network port එකට (මෙම බිත්තියට සවිකරන ලද network port එක patch panel එක හරහා switch එක හා සම්බන්ධව පවතී) කළමණාකරුගේ  laptop එක පමණක් සම්බන්ධ කර ආයතනයේ පිහිටුවා ඇති LAN (Local Area Network) එක සමග සම්බන්ධ වීමටත් වෙනත් කිසිදු network device එකක් එම network port එකට සවි කලද LAN එක හා සම්බන්ධතාවය ගොඩනගා ගැනීමට අවසර නොදීමටත් අවශ්‍යයි නම් එවනි අවස්ථාවක තමයි switch port security කරලියට එන්නෙ. මේ උදාහරණෙ හැටියටනම් secure mac address එක විදියට switch interface එකට හදුන්වා දෙන්නෙ කළමණාකාර තුමාගෙ laptop එකේ mac-address එකයි. 
                          යම් කිසි හෙයකින් port security සැකසුම් වලදී ඇතුලත් කරන ලද secure mac-address එකට අසමාන mac-address එකක් ඇති device එකක් port security සැකසුම්කරන ලද interface එක හා සම්බන්ධ වෙන්න හැදුවොත්, එනම් එම port එකට අදාල ආරක්ෂාව කඩකිරීමක් (security violation) සිදු උවහොත් එහිදී එම secure mac-address සැකසුම් කරන ලද interface එක හැසිරිය යුතු අන්දම අපට තුන් අකාරයකට අදාල switch port එකට සැකසුම් කරන්නන පුළුවන්.

1. Shutdown: switch port එකකට port security සැකසුම් කල පසුව යම් security violation එකක් සිදුඋවහොත් පෙරනිමිතියෙන්ම switch එක කරන්නෙ එම interface එක shutdown කරන එකයි. එනම් එම port එක disable තත්වයට පත්වෙනව. එවිට නැවත manually එම Interface එක enable කරන තුරු එම interface එක හරහා කිසිදු device එකක් switch එකට සම්බන්ධ කර අවශ්‍ය සම්බන්ධතාවය ලබාගන්න බැහැ.
2. Restrict: මෙම සැකසුම ඇති අවස්ථාවේදී යම් security violation එකක් සිදුඋවහොත් එම interface එක හා සම්බන්ධ device එකෙන් එවන සිවළුම frames drop කරනු ලබනව. මෙහිදී එම interface එක shut down කිරීමක් සිදුවන්නේ නැහැ. නමුත් switch log එකෙහි එම security violation එකට අදාල යම් තොරතුරු සටහන් වීමක් සිදුවෙනව. switch privilege mode වල "show log" command එක මගින් අපට පුළුවන් switch log සටහන් බලන්න.
3. Protect: මෙම අවස්ථාවෙදි security violation එකක් සිදුඋවහොත් port security සැකසුම් කරන ලද interface එක හරහා ඇතුලත් වන සියළු frames drop කර දමනව. මෙහිදී log සටහන් වීමක් හෝ interface disable වීමක් සිදුවන්නේ නැහැ.

පහත උදාහරණයත් සමග දැන් පියවරෙන් පියවර බලමු කොහොමද switch port security සැකසුම් කරන්නෙ කියල.

PC-1 හැර වෙනත් device එකක් Fa0/1 interface එක හරහා network එක සමග සම්බන්ධ කල නොහැකි ලෙසත් එසේ සම්බන්ධ කලොත් Fa0/1 interface එක shutdown වන ලෙසටත් සැකසුම් කරන්න.
පළමු පියවර:
switch configuration mode එක හරහා Fa0/1 interface එකට ඇතුළු වීම.
sw(config)#interface fa0/1
දෙවන පියවර:
switchport mode එක access බවට පත්කිරීම(VALN වලදී switchport mode ගැන ඉගෙන ගනිමු).
sw(config-if)#switchport mode access
තුන්වන පියවර:
පෙරනිමිතියෙන් interface එකට අදාල switchport portsecurity disable ව පවතින නිසා එය enable කිරීම.
sw(config-if)#switchport port-security  
හතරවන පියවර:
secure mac-address එක interface එකට හදුන්වා දීම.

sw(config-if)#switchport port-security  mac-address <device mac-address>

දැන් ඉහතින් පියවරෙන් පියවර සදහන් කරපු සැකසුම් සියල්ල පහත ආකාරයට අපට switch එකට සැකසුම් කිරීම මගින් උදාහරණයේ සදහන් කල කාර්යය සම්පුර්ණ කරගත හැකියි.

sw(config)#interface fa0/1
sw(config-if)#switchport mode access
sw(config-if)#switchport port-security
sw(config-if)#switchport port-security  mac-address 000c.8535.d902

           අපි හිතමු Fa0/1 වලට දැන් සම්බන්ධ කරල තියෙන device එකේ mac-address එක secure mac-address කරන්න ඕනෙ කියල. නමුත් අපිට එම device එකේ mac-address එක හොයාගන්නත් අපහසුයි කියල. අන්න ඒ වගේ අවස්ථාවල ප්‍රෙයා්ජනයට ගන්න හොද command එකක් CISCO IOS තුල අඩංගු කරල තියෙනව. පහත command එක මගින් අදාල interface එකට සම්බන්ධ කරල තියෙන device එකේ mac-address එක secure mac-address එක විදියට ස්වයංක්‍රියවම port security වලට එකතු කර ගන්නව(පහත command එක අප ඉහතින් හතරවන පියවරේදී සදහන් කල command එක වෙනුවට බාවිතා කරන්න පුළුවන්).
sw(config-if)#switchport  port-security mac-address sticky 
                     මෙම command එක මගින් සිදුවන්නේ port security සැකසුම් කරන ලද interface එක හරහා පැමිණෙන පළමු frame එකේ source mac-address එක secure mac-address එක විදියට හදුනාගැනීමයි.
දැන් ඔබට පුළුවන් පහත රූපෙන් පෙන්නල තියෙන විදියට PC-1 එක switch එකත් එක්ක තිබෙන සම්බන්ධතාව ඉවත් කරල PC-3 switch එකේ Fa0/1 එකට සම්බන්ධ කරල බලන්න.

• බාගත කරගන්න: packet tracer file

ඔබ හරියට ඉහතින් කරපු සැකසුම් කලානම් ඉහත රූපයෙ සදහන් වන විදියට PC-3 switch එක හා සම්බන්ධ නොවී (රතු පාටින් link පෙන්වීම) තිබිය යුතුයි.
           දැන් අපි switch එකේ interface Fa0/1 වල තොරතුරු බැළුවොත් දැකගන්න පුළුවන් එම interface එක down(shutdown) වෙලා තිබෙනව. තවත් විශේෂ දෙයක් තියෙනව ඒ තමයි මේ interface එක shutdown වෙලා තිබෙන්නෙ "err-disabled" කියන ආකාරයටයි.

පහතින් දැක්වෙන command එක හරහා switch එකට සැකසුම් කරන ලද port-security සාරාංශගතව පැහැදිලිව අපට බලාගන්න පුළුවන්.

sw#show port-security 
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)       (Count)        (Count)
--------------------------------------------------------------------
        Fa0/1        1          1                 1         Shutdown
----------------------------------------------------------------------

port-security සැකසුම් කරන ලද interface එක දන්නවනම් පහත command එක හරහා අපට පුළුවන් එම interface එකට අදාල port-security සැකසුම් සවිස්තරව බලාගන්න (උදාහරණයක් විදියට ක්‍රියාකාරකමේදී port-security සැකසුම් කරන ලද Fa0/1 port එක බලමු).  

sw#show port-security in
sw#show port-security interface Fa0/1
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 000D.BDA1.1B99:1
Security Violation Count   : 1

           මෙහිදී Last Source Address:Vlan යටතේ පෙන්වන්නෙ අවසන් වරට මෙම interface එකට සම්බන්ධ කරන ලද device එකයි. අපේ උදාහරණය විදියටනම් PC-3 වල mac-address එකයි.
දැන් බලමු කොහොමද secure mac-address සැකසුම් කරපු switch port එකකට වෙනත් device එකක් සම්බන්ධ කල පසු err-disabled උන interface එක නැවත active කරගන්නෙ කියල.පහල දක්වල තියෙන විදියට අපට interface එක නැවත යතාතත්වයට පත්කරගන්න පුළුවන්.
උදාහරණය මගින් පෙන්නල තියෙන්නෙ err-disabled උන Fa0/1 interface එක නැවත active කරගන්නනා ආකාරයයි. 

sw(config)#interface Fa0/1
sw(config-if)#shutdown
sw(config-if)#no shutdown

දැන් නැවතත් අපි active කරන ලද interface එකේ තොරතුරු බැළුවොත් පහත ආකාරයට එහි සදහන්ව තිබු err-disabled යන්න connected යනුවෙන් ඔබට දැකගත හැකි වේවි.

                         අපි කලින් උදාහරණ වලදි කථා කලේ switch එකේ ඇති interface එකකට එක් secure mac-address එකක් පමණක් සැකසුම් කරන ආකාරයයි. නමුත් අපට අවශ්‍යයිනම් switch interface එකකට secure mac-address කිහිපයක් සැකසුම් කරන්න, එය පහත command එක හරහා කරගන්න පුළුවන්.
sw(config-if)#switchport port-security maximum <mac-address ප්‍රමාණය>
පහත උදාහරණය බලන්න..

sw(config-if)#switchport port-security maximum ?
  <1-132>  Maximum addresses
sw(config-if)#switchport port-security maximum  5
sw(config-if)#

              ඉහතින් පෙන්නවන්නෙ එක් interface එකකට secure mac-address පහක් සැකසුම් කර ඇති ආකාරයයි. මෙහිදී තවත් දෙයක් අපට බලාගන්න පුළුවන්. ඒ තමයි ? සළකුණෙන් පසුව පෙන්නන ආකාරයට අපට එක් interface එකක් සදහා secure mac-address 132 දක්වා සැකසුම් කල හැකි බවයි. මෙහිදී අපි ඉගෙන ගත්තු command එක බාවිතා කල යුතු වන්නේ කලින් ඉගෙන ගත්තු ආකාරයට තුන්වන පියවරට පසුව හා හතරවන පියවරට පෙරයි. හරියටම කියනවනම් පහත පෙන්නල තියෙන විදියටයි....

sw(config)#interface Fa0/1
sw(config-if)#switchport mode access
sw(config-if)#switchport port-security 
sw(config-if)#switchport port-security maximum 5
sw(config-if)#switchport port-security mac-address 0090.2139.E515
sw(config-if)#

                   මෙහිදී maximum secure mac-address පහක් යනුවෙන් සැකසුම් කලත් එක් mac-address එකක් පමණයි interface එකට හදුනවල දීල තියෙන්නෙ. නමුත් interface එක මගින් sticky ආකාරයට එම interface එක හරහා පැමිණෙන frame වලින් ඉතිරි secure mac-address ප්‍රමාණය interface එකට automatically ලබාගනියි.
දැන් "show port-security" command එක හරහා ඉහතින් කල සැකසුම් පැහැදිලිව අපට බලාගන්න පුළුවන්.

sw#show port-security 
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)       (Count)        (Count)
--------------------------------------------------------------------
        Fa0/1        5          2                 1         Shutdown
----------------------------------------------------------------------
sw#

              මේ පාඩම තුලින් switching models පිළිබදවත් switch port-security ගැනත් හොදින් විමසා බැළුව. ඊලග පාඩමේදී VLAN පිළිබදව කථාකරමු. එතෙක් ඔබ සැමට..

*****ජය ශ්‍රී*****