pasja-informatyki.pl

Podobne dokumenty
Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

Konfigurowanie sieci VLAN

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Sieci Komputerowe Laboratorium 11. VLAN i VTP

Laboratorium z przedmiotu Sieci Komputerowe - Wirtualne sieci lokalne. Łukasz Wiszniewski

Co w sieci siedzi. Warstwa 2 - konfiguracja sieci VLAN. Routing między sieciami VLAN.

Na powyższym obrazku widać, że wszystkie 24 porty przełącznika znajdują się w tej samej sieci VLAN, a mianowicie VLAN 1.

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

dopełnienie wystarczy wpisać początek polecenia, np: en i nacisnąć klawisz TAB na klawiaturze, a system dopełni nam poleceni do enable,

Ćwiczenie Konfiguracja routingu między sieciami VLAN

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Ćwiczenie Konfiguracja routingu inter-vlan 802.1Q opartego na łączach trunk

Sieci VLAN. Podstawy konfiguracji. Paweł Malak malak.eu Spotkanie koła naukowego AEGIS, Poznao, wrzesieo 2013r.

Sieci komputerowe Zasada działania i konfigurowanie przełączników

Switch Cisco Catalyst 2960-Plus

Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI

Wirtualne sieci LAN. Opracowanio na podstawie materiałów kursu CCNA

VLAN-Cisco. 1. Login/Hasło. 2. Połączenie z Cisco: Cisco: admin admin. Jest możliwe połączyć się za pomocą polecania minicom lub telnet.

Ćwiczenie Wykrywanie błędów w routingu między sieciami VLAN


LABORATORIUM SIECI. Zakład Cyberbezpieczeństwa IT PW. Instrukcja do ćwiczenia: Switching, VLAN & Trunking Przedmiot: Sieci Lokalne (LAN)

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

ZiMSK. VLAN, trunk, intervlan-routing 1

pasja-informatyki.pl

pasja-informatyki.pl

Co w sieci siedzi. Warstwa 2 - konfiguracja

Sieci wirtualne VLAN UNIWERSYTET KAZIMIERZA WIELKIEGO. Laboratorium Sieci Komputerowych. ćwiczenie: 4

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

Działanie komputera i sieci komputerowej.

Switching, VLAN & Trunking 2

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Topologia sieci. Cele nauczania.

Ćwiczenie Konfiguracja VLAN i łącza trunk

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Sieci Cisco w miesiąc : podręcznik administratora / Ben Piper. Gliwice, copyright Spis treści

pasja-informatyki.pl

Ćwiczenie a Budowanie sieci z wykorzystaniem koncentratorów

Warsztaty z Sieci komputerowych Lista 3

Routing średniozaawansowany i podstawy przełączania

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Telefon AT 530 szybki start.

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Instrukcja do laboratorium 1

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

pasja-informatyki.pl

Tak wygląda taki kabel

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

Tytuł pracy : Sieci VLAN. Autor: Andrzej Piwowar IVFDS

VLANy tagowane. VLAN (ang. Virtual LAN) oznacza wirtualną sieć lokalną, która jest wydzielona logicznie z innej większej sieci.

Laboratorium LAN Switching & VLAN

Laboratorium Użycie wiersza poleceń w celu zebrania informacji na temat urządzeń sieciowych

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

router wielu sieci pakietów

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Instrukcja instalacji Encore ADSL 2 + WIG

Adresy w sieciach komputerowych

INSTRUKCJA OBSŁUGI USTAWIEŃ DYNAMICZNIE PRZEDZIELANYCH ADRESÓW IP W URZĄDZENIACH SYSTEMU IP-PRO ORAZ REJESTRATORACH MY-DVR

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

SIECI KOMPUTEROWE Adresowanie IP

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

4. Podstawowa konfiguracja

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

Telefon IP 620 szybki start.

Laboratorium - Używanie wiersza poleceń systemu IOS do obsługi tablic adresów MAC w przełączniku

Laboratorium Badanie topologii i budowa małej sieci

Warsztaty z Sieci komputerowych Lista 3

Rozdział 5: KONFIGURACJA ROUTERÓW ZA POŚREDNICTWEM IOS

Ataki na VLANy oraz STP opracowali inż. Krzysztof Szewczyk inż. Mateusz Witke inż. Damian Tykałowski inż. Mariusz Zalewski

Laboratorium 2 Sieci Komputerowe II Nazwisko Imię Data zajęd

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Instrukcja do laboratorium 1. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

Packet Tracer - Podłączanie routera do sieci LAN

Ćwiczenie Rozwiązywanie problemów związanych z trasami statycznymi IPv4 oraz IPv6 Topologia

Xesar. Uruchomienie Karta sieciowa

MASKI SIECIOWE W IPv4

pasja-informatyki.pl

Instrukcja do laboratorium 2. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

Transkrypt:

VLAN - wprowadzenie 2017 pasja-informatyki.pl Sieci komputerowe Konfiguracja przełącznika CISCO VLAN Damian Stelmach

VLAN - wprowadzenie 2018 Spis treści VLAN - wprowadzenie... 3 Konfiguracja VLAN (Port Based)... 5 Konfiguracja VLAN (TAG VLAN TRUNK)... 8 Protokół VTP... 11 Native, management, black hole VLAN... 14 Ruting w sieciach VLAN... 17 Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 2

VLAN - wprowadzenie 2018 VLAN - wprowadzenie VLAN (ang. Virtual Local Area Network) to technologia sieciowa, która pozwala w ramach jednej fizycznej sieci lokalnej tworzyć wiele sieci logicznych (sieci wirtualnych), opisana w standardzie 802.1Q. Owa technologia działa w warstwie drugiej modelu OSI, tak więc konfigurowana i wdrażana jest na przełącznikach sieciowych. Obecnie praktycznie każdy, zarządzalny przełącznik pozwala na tworzenie takich wirtualnych sieci LAN. Te wirtualne sieci są od siebie odseparowane, bez rutera nie jest możliwa pomiędzy nimi komunikacja, doskonale zatem nadają się w sytuacji kiedy chcemy odizolować od siebie urządzenia, które nie powinny się ze sobą komunikować. Dobrym przykładem jest sieć szkolna. Mamy przecież w takiej sieci komputery uczniowskie, komputery nauczycieli no i pozostałe wykorzystywane przez administrację. Dzięki VLAN możemy odizolować od siebie komputery uczniów, nauczycieli oraz administracji bez konieczności fizycznej ingerencji w sieć. Wszystko to możemy załatwić za pomocą odpowiedniej konfiguracji na przełączniku. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 3

VLAN - wprowadzenie 2018 Technologia VLAN oferuje znacznie więcej możliwości niż tylko separacja portów. Jej wdrożenie, nawet w stosunkowo niewielkiej sieci, przynieść może wiele korzyści, do najważniejszych z nich należy zaliczyć: ograniczony ruch rozgłoszeniowy każda sieć VLAN tworzy oddzielną domenę rozgłoszeniową; łatwiejsze nadawanie uprawnień dla różnych sieci VLAN można tworzyć osobne Listy Kontroli Dostępu; łatwiejsze wdrażanie Quality of Service (priorytety dla usług sieciowych) osobna sieć VLAN może transportować np. ruch tylko z telefonii VoIP; bezpieczeństwo użytkownicy o różnych uprawnieniach mogą być odseparowani od siebie, ale także od sieci zarządzania (sieć zarządzania to VLAN utworzony na potrzeby konfiguracji urządzeń sieciowych); logiczny podział sieci komputery, które powinny znajdować się w logicznych sieciach mogą być podłączone do różnych przełączników. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 4

Konfiguracja VLAN (Port Based) 2018 Konfiguracja VLAN (Port Based) Konfiguracja sieci VLAN na przełączniku zazwyczaj składa się z dwóch etapów. Pierwszy etap to utworzenie sieci VLAN, drugi natomiast to dodanie portów do poszczególnych sieci VLAN. Na przełącznikach CISCO, VLAN y tworzymy oczywiście wydając odpowiednie polecenia w konsoli: Switch> enable Switch# conf t Switch(config)# vlan 10 Switch(config-vlan)# name pierwszy Switch(config-vlan)# vlan 20 Switch(config-vlan)# name drugi Pierwsze polecenie to przejście do trybu uprzywilejowanego, drugie z kolei to uruchomienie trybu konfiguracji globalnej. W tym trybie wydajemy polecenie vlan 10, które to pozwala na utworzenie sieci VLAN o numerze 10. Tworząc sieci VLAN musimy nadać im identyfikatory, czyli oznaczenia liczbowe. Zakres, w jakim możemy się poruszać to w liczby od 1 do 1005 (to jest tak zwany zakres podstawowy) z tym, że liczby 1 oraz 1002, 1003, 1004, 1005 są zarezerwowane dla domyślnych sieci VLAN (ang. default VLAN s), które zdefiniowane są na przełącznikach fabrycznie i ich wykorzystywać nie możemy. Kolejnym krokiem jest nadanie nazwy dla sieci VLAN (nie jest to konieczne, ale dla lepszej organizacji pracy lepiej taką nazwę nadać) polecenie name nazwa_sieci załatwi sprawę. Nie wychodząc z trybu Switch(config-vlan)# wydajemy polecenie vlan 20 to utworzy nam kolejną sieć, tym razem o numerze 20. Na koniec nadajemy nazwę dla tej sieci i gotowe. Przechodzimy do konfiguracji portów. Musimy je teraz dodać do poszczególnych sieci VLAN. W przykładowej topologii komputery z sieci VLAN 10 podłączone są do portów 1 i 2, komputery z VLAN 20 do portów 11 i 12. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 5

Konfiguracja VLAN (Port Based) 2018 W trybie konfiguracji globalnej wydajemy takie polecenia: Switch(config)# interface range fastethernet 0/1-2 Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# exit Switch(config)# interface range fastethernet 0/11-12 Switch(config-if-range)# switchport access vlan 20 Pierwsze polecenie to przejście do zbiorczej konfiguracji portów 1 i 2, następne to dodanie tych portów do sieci VLAN 10. Dalej mamy polecenie wyjścia z trybu konfiguracji porów 1 i 2, a następnie przejście do konfiguracji portów 11 i 12. Ostatnie polecenie to dodanie tych portów do sieci VLAN 20. Od teraz urządzenia z dwóch sieci są od siebie odseparowane i nie mogą się wzajemnie ze sobą komunikować. Informacje o sieciach VLAN na przełącznikach CISCO zapisywane są w pliku VLAN.DAT. Plik ten tworzony jest przy pierwszej konfiguracji sieci VLAN i przechowywany w pamięci flash urządzenia. Aby sprawdzić czy taki plik na przełączniku został utworzony, możemy wydać w trybie uprzywilejowanym polecenie show flash. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 6

Konfiguracja VLAN (Port Based) 2018 Zawartość tego pliku, tak więc szczegóły dotyczące konfiguracji VLAN, sprawdzić możemy wydając również w trybie uprzywilejowanym polecenie show vlan. Taką prostą separację portów, czasami niektórzy producenci urządzeń sieciowych nazywają Port Based. Tak więc nie zdziwcie się, jeśli będziecie kiedyś konfigurować jakiś prosty przełącznik zarządzalny innej firmy, że zamiast pojęcia VLAN, separacja portów będzie nazywana właśnie Port Based. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 7

Konfiguracja VLAN (TAG VLAN TRUNK) 2018 Konfiguracja VLAN (TAG VLAN TRUNK) Tworzenie wirtualnych sieci, oprócz separacji portów (urządzeń), pozwala również logicznie łączyć urządzenia w sieci, bez względu na ich fizyczne położenie. Oczywistym jest, że komputery uczniów czy nauczycieli nie muszą znajdować się w tym samych pomieszczeniach. Pracownie komputerowe uczniów znajdują się również często na różnych kondygnacjach, tak samo jak komputery nauczycieli. Za pomocą technologii VLAN możemy bez ingerencji w fizyczną sieć, spowodować, że będą one pracowały w ramach logicznych sieci, bez zmiany ich fizycznego położenia. I tutaj uwaga, jeśli przełącznik nie wspiera w pełni technologii VLAN ze standardem 802.1Q, a obsługuje tylko Port Based, to takiej konfiguracji nie uda się przeprowadzić. Będzie ona możliwa tylko na urządzaniach, które w pełni obsługują standard 802.1Q czyli standard opisujący działanie sieci VLAN oraz tak zwane ramkowanie (ang. tagging). Weźmy dla przykładu taką topologię: Mamy tutaj dwa przełączniki. Możemy sobie założyć, że jeden znajduje się na parterze, drugi na 1 piętrze. Na parterze oraz 1 piętrze mamy zarówno pracownie komputerowe oraz klasy, w których pracują komputery dla nauczycieli. Po odpowiedniej konfiguracji urządzenia z pracowni na parterze oraz na 1 piętrze będą należeć do jednej, logicznej sieci VLAN 10, komputery nauczycieli z kolei, będą w jednej sieci o identyfikatorze 20, pomimo tego, iż fizycznie podłączone są do dwóch różnych urządzeń. Pierwszy przełącznik, ten na dole (S1) już jest częściowo skonfigurowany, nasze poprzednie działania załatwiły sprawę, to znaczy mamy na nim utworzone sieci VLAN oraz dodane porty. Musimy teraz skonfigurować jeszcze port, który łączy ten przełącznik z przełącznikiem na 1 piętrze. W technologii CISCO port przełącznika, który łączy się z innym przełącznikiem i transportuje Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 8

Konfiguracja VLAN (TAG VLAN TRUNK) 2018 ramki VLAN nazywa się portem TRUNK. Port TRUNK to nic innego jak jedno, fizyczne łącze, które może transportować ramki z wielu sieci wirtualnych. U innych producentów możemy nie spotkać pojęcia TRUNK, a VLAN tagowany. Tak czy inaczej oba oznaczają to samo, a chodzi w nich o oznaczanie (tagowywanie) ramek, które jako oznaczone transportowane są łączem pomiędzy przełącznikami. Ramka poniżej, to zwyczajna ramka Ethernetowa: W takiej ramce nie ma wzmianki o sieciach VLAN i taka ramka przekazywana jest do komputera z przełącznika (ang. untag vlan). Ramki transportowane pomiędzy przełącznikami, na których zaimplementowano sieci VLAN są odpowiednio oznaczone (otagowane) i wyglądają tak: Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 9

Konfiguracja VLAN (TAG VLAN TRUNK) 2018 Widać w takiej ramce dwa dodatkowe pola umieszczone pomiędzy sekcją źródłowy adres MAC, a polem określającym długość ramki. Te dwa dodatkowe pola są właśnie wspomnianym tagiem, czyli informacją że ramka została poprzez przełącznik zmodyfikowana i odpowiednio oznaczona. Pole TPID zawsze zawiera tę samą wartość 0x8100. Jest to informacja że ramka została otagowana zgodnie ze standardem opisującym działanie sieci VLAN czyli wspomnianym już 802.1Q. To drugie pole, pole TCI zawiera przede wszystkim identyfikator sieci VLAN, ten numer który nadaje się podczas tworzenia sieci, a także znacznik priorytetu oraz oznaczenie rodzaju standardu sieci LAN, najczęściej jest to 0 oznaczające sieć ETHERNET. Taka właśnie ramka transportowana jest pomiędzy przełącznikami, kiedy porty je łączące pracują w trybie TRUNK lub TAG VLAN. Wracamy do konfiguracji przełącznika. W trybie uprzywilejowanym, na pierwszym urządzeniu, wydajemy następujące polecenia: Switch(config)# interface gigabitethernet 0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan 10,20 Pierwsze polecenie to przejście do trybu konfiguracji portu, na którym przełącznik na parterze spięty jest z tym na 1 piętrze. Dalej mamy polecenie uruchamiające tryb TRUNK, no i na koniec polecenie, które pozwala transportować ramki VLAN ów o numerze 10 i 20. Dokładnie te same czynności należy wykonać na drugim urządzeniu!!! Po odpowiedniej konfiguracji przełącznika na 1 piętrze wszystko powinno działać i urządzenia powinny móc się komunikować tylko w ramach swoich, logicznych sieci. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 10

Protokół VTP 2018 Protokół VTP Implementacja sieci VLAN w dużych środowiskach sieciowych nie zawsze jest tak łatwa, prosta i przyjemna, jak nasza implementacja, którą zrealizowaliśmy. Jeśli w sieci fizycznej występuje wiele sieci wirtualnych, dodatkowo często pojawiają się nowe, co wcale nie jest rzadkością, przyklepywanie za każdym razem zamian do przełączników może być nieco kłopotliwe. Z pomocą przychodzi nam protokół VTP (ang. VLAN Trunking Protocol), którego zadaniem jest przekazywanie przełącznikom informacji o sieciach VLAN. Wystarczy dokonać odpowiedniej konfiguracji, a dane o sieciach wirtualnych będą przekazywane kolejnym urządzeniom. Protokół VTP działa w architekturze klient serwer, tak więc jeden z przełączników w naszej sieci musi pełnić rolę serwera VTP, pozostałe będą klientami tej usługi. Konfiguracja protokołu VTP na przełącznikach CISCO jest bardzo prosta. Domyśle każdy przełącznik pracuje w trybie serwera VTP, tak więc na przełączniku, który w naszej sieci ma pełnić taką rolę musimy tylko skonfigurować łącze TRUNK, a także utworzyć domenę VTP oraz nadać jej hasło. Zakładając, że nasz serwer VTP będzie podłączony z klientem VTP na pierwszym porcie Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 11

Protokół VTP 2018 Gigabitowym, konfiguracja będzie wymagała następujących poleceń wykonanych w trybie konfiguracji globalnej: Switch(config)# interface gigabitethernet 0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# exit Switch(config)# vtp domain domena.vtp Switch(config)# vtp password cisco Pierwsze polecenie pozwala przejść do tryby konfiguracji pierwszego portu Gb, którego tryb pracy zmieniamy następnie na TRUNK (drugie polecenie). Dalej w trybie konfiguracji globalnej wydajemy polecenie, które tworzy domenę VTP (jej nazwa może być dowolna), a na koniec nadajemy jeszcze hasło dla tej domeny. Efekt naszych działań widoczny jest po wprowadzeniu polecenia show vtp status w trybie uprzywilejowanym. Konfiguracja klienta (klientów) VTP wygląda z kolei następująco: Switch(config)# interface gigabitethernet 0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# exit Switch(config)# vtp mode client Switch(config)# vtp domain domena.vtp Switch(config)# vtp password cisco Polecenie pierwsze to oczywiście przejście do konfiguracji portu, którym klient VTP łączy się z serwerem VTP, następnie ustawienie trybu pracy jako TRUNK. Kolejne polecenie to wyjście z trybu Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 12

Protokół VTP 2018 konfiguracji szczegółowej pierwszego portu Gb, a dalej mamy już ustawienie trybu pracy jako klient VTP, potem podanie domeny VTP no i hasła. Po kilku sekundach na kliencie VTP pojawią się sieci VLAN, te same, które skonfigurowane zostały na serwerze VTP. Korzystając z protokołu VTP pamiętać musimy o dwóch kwestiach. Po pierwsze, VTP nie kopiuje informacji o przynależności portów do danej sieci VLAN, to trzeba już skonfigurować ręcznie. Po drugie, tworzenie nowych sieci VLAN nie jest możliwe na kliencie VTP, można takie nowe sieci tworzyć tylko na serwerze VTP. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 13

Native, management, black hole VLAN 2018 Native, management, black hole VLAN VLAN natywny (ang. native VLAN), zwany czasem VLAN em pierwotnym jest to rodzaj sieci wirtualnej, która obsługuje tak zwany ruch nieoznakowany, czyli przesyła ramki, które nie mają identyfikatora VLAN. Łącza trunkowe, czasami nazywane magistralami 802.1Q, potrafią obsługiwać ruch pochodzący właśnie z różnych sieci VLAN, ruch oznakowany, otagowany, ale również ruch z poza sieci VLAN. Jeśli do łącza trunk trafi taka nieoznakowana ramka to zostaje przekazana właśnie do pierwotnej, czyli natywnej sieci VLAN. Ten Native VLAN został zdefiniowany w standardzie 802.1Q po to, aby zapewnić kompatybilność wsteczną w sieciach, gdzie czasem stosuje się jeszcze koncentratory, ale może być czasem wykorzystywany do transportu danych sterujących różnych protokołów sieciowych. Domyślnym natywnym VLAN em w przełącznikach CISCO jest VLAN 1, ten do którego należą wszystkie porty przełącznika przed implementacją sieci wirtualnych. Dobrą praktyką związaną z bezpieczeństwem sieci jest przeniesienie natywnego VLAN u do innej sieci niż domyślna, najlepiej do takiej, która odseparowana jest od innych sieci VLAN, oczywiście tylko wtedy kiedy ten natywny vlan nie przenosi jakiegoś faktycznego ruchu, który w sieci jest pożądany. W większości opracowań dotyczących bezpieczeństwa sieci CISCO znajdziemy informacje, że jako VLAN natywny ustawić powinniśmy VLAN o numerze 99, ale to tak naprawdę nie ma znaczenia jaki numer zostanie wybrany. Aby zmienić ustawienie dotyczące natywnej sieci VLAN, należy w trybie konfiguracji portu, który jest TRUNK iem ( w przypadku naszej sieci to port GigabitEthernet 0/1) wydać następujące polecenie: Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 14

Native, management, black hole VLAN 2018 Switch(config-if)# switchport trunk native vlan 99 Wykonanie tego polecenia spowoduje, że ruch nieoznakowany trafiać będzie do sieci VLAN o numerze 99. Warto zaznaczyć, że tej sieci nie znajdziecie w pliku VLAN.DAT, gdyż tak naprawdę nie została ona stworzona. Takie polecenie kieruje tylko ruch nieoznakowany, ale nie tworzy nam sieci VLAN o numerze 99. Jeśli w realnej sieci VLAN natywny będzie potrzebny, no to zanim wykonane zostanie takie polecenie, to należy utworzyć ręcznie sieć o odpowiednim identyfikatorze. Pamiętać należy o tym, że taką modyfikację, czyli zmianę natywnej sieci VLAN na inną niż domyślna, wykonać należy na wszystkich przełącznikach w sieci. Aby sprawdzić czy VLAN natywny został zmieniony, należy wykonać polecenie, w trybie uprzywilejowanym show interface trunk: VLAN zarządzający (ang. management VLAN), to rodzaj sieci wirtualnej, która utworzona jest na przełącznikach sieciowych po to aby odseparować ruch, tak zwany zarządzający (ang. management traffic), od faktycznego ruchu sieciowego, który generują komputery użytkowników. W pierwszym odcinku pokazałem jak konfigurować urządzenia za pomocą fizycznego połączenia z wykorzystaniem kabla konsolowego. To oczywiście jest dobra, skuteczna i zarazem bezpieczna metoda konfiguracji urządzeń sieciowych, ale oczywiście nie jedyna. Urządzenia sieciowe można również konfigurować za pomocą protokół zdalnego dostępu takich jak Telnet czy też SSH. Jeśli chcemy konfigurować nasze urządzania z poziomu właśnie protokołu zdalnego dostępu no to jasne jest, że komputer administratora musi być podłączony do jednego a portów takiego przełącznika. W takiej sytuacji dobrą praktyką jest utworzenie osobnego VLAN u, do którego podłączone są tylko urządzenia administratorów. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 15

Native, management, black hole VLAN 2018 Ostatnim typem specjalnych rodzajów sieci VLAN jest VLAN typu czarna dziura (ang. black hole VLAN). Biorąc pod uwagę fakt, że w sieciach komputerowych jako cel nadrzędny powinniśmy obierać siebie bezpieczeństwo, coś musimy teraz zrobić z naszymi nieużywanymi portami. Te nieaktywne, nieużywane porty możemy dodać do jakiegoś fałszywego VLAN u, w którym nie pracują żadne maszyny. Dzięki temu nawet jeśli jakiś intruz się do niego dostał, nie będzie mógł za wiele namieszać. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 16

Ruting w sieciach VLAN 2018 Ruting w sieciach VLAN Wiele ze środowisk sieciowych, gdzie implementuje się sieci wirtualne, akceptuje, a czasami wręcz narzuca konieczność komunikacji pomiędzy stacjami znajdującymi się w różnych sieciach VLAN. Pojawia się zatem pytanie jak taki ruch umożliwić skoro stacje są od siebie odseparowane. No i tutaj z pomocą przychodzą nam 3 metody, dzięki którym możemy takie zadanie zrealizować. Pierwsza z nich zakłada użycie przełącznika warstwy 3, czyli takiego, który oprócz funkcji typowego przełącznika warstwy 2, potrafi również realizować funkcję rutingu. Druga metoda, zakłada użycie rutera i spięcie go z przełącznikiem tyloma przewodami ile sieci VLAN ma obsługiwać. No i jest jeszcze trzecia metoda, która zakłada użycie tylko jednego przewodu łączącego ruter z przełącznikiem, a na tym routerze skonfigurowanie tak zwanych subinterfejsów czyli podintefejsów w ramach jednego fizycznego portu. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 17

Ruting w sieciach VLAN 2018 Metoda ta zwana jest ruter na patyku (ang. router on a stick) i to tę metoda zaimplementujemy w naszej sieci. Konfiguracja na ruterze takiego rozwiązania jest bardzo prosta. Zanim jednak przystąpimy do realizacji, warto przygotować sobie adresację IP dla urządzeń w naszej sieci. Na potrzeby tego Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 18

Ruting w sieciach VLAN 2018 przykładu przyjmiemy, że sieć VLAN 10 będzie miała adres 10.0.10.0/24, sieć VLAN 20 natomiast 10.0.20.0/24. Urządzenia w sieciach mogą mieć adresy z zakresu od 2 do 254, adresy 10.0.10.1 oraz 10.0.20.1, będą adresami podintefejsów rutera. W trybie konfiguracji globalnej wykonujemy na ruterze następujące polecenia: Router(config)# interface gigabitethernet 0/0.1 Router(config-subif)# encapsulation dot1q 10 Router(config-subif)# ip address 10.0.10.1 255.255.255.0 Router(config-subif)# exit Router(config)# interface gigabitethernet 0/0.2 Router(config-subif)# encapsulation dot1q 20 Router(config-subif)# ip address 10.0.20.1 255.255.255.0 Router(config-subif)# exit Router(config)# interface gigabitethernet 0/0 Router(config-if)# no shutdown Pierwsze polecenie tworzy nam pierwszy podinterfejs (ang. subinterface) na interfejsie GigabitEthernet 0/0 (na tym interfejsie mamy podłączony przełącznik). Dalej w ramach pierwszego podinterfejsu uruchamiamy standard 802.1Q dla sieci VLAN 10, a następnie nadajemy adres oraz maskę. W kolejnym kroku opuszczamy konfiguracje pierwszego podinterfejsu i dalej tworzymy drugi. Ponownie uruchamiamy standard 802.1Q, tym razem dla sieci VLAN 20 oraz nadajemy adres IP wraz z maską. Na koniec opuszczamy tryb konfiguracji podinterfejsu drugiego, przechodzimy do trybu konfiguracji fizycznego interfejsu GigabitEthernet 0/0 i uruchamiamy go (polecenie no shutdown). Zanim wybrzmią fanfary, musimy jeszcze na przełączniku podłączonym do rutera, ustawić tryb TRUNK na porcie, który łączy oba urządzenia. W trybie konfiguracji globalnej na przełączniku wykonujemy następujące polecenia: Switch(config)# interface gigabitethernet 0/2 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan 10,20 Pierwsze polecenie to przejście do trybu konfiguracji szczegółowej portu, którym przełącznik połączony jest z ruterem. Drugie to uruchomienie trybu TRUNK na tym interfejsie, no i polecenie trzecie, które pozwala przesyłać ramki z VLAN 10 i 20. Od tej pory urządzenia z różnych sieci VLAN mogą się ze sobą komunikować. Wykonana przez nas konfiguracja załatwiana jeszcze jedną sprawę. Gdyby ten ruter posiadał dostęp do neta, to również komputery z całej naszej sieci taki dostęp by miały. Mówię o tym dlatego, że niekiedy jest to jedyna możliwość, aby urządzenia pracujące w różnych sieciach VLAN miały dostęp do Internetu. U niektórych producentów możemy czasami spotkać się z funkcjonalnością MultiVLAN, Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 19

Ruting w sieciach VLAN 2018 która pozwala konkretny port przełącznika, np. ten do którego podłączony jest ruter, przypisać do większej ilości sieci VLAN niż tylko jedna, dzięki czemu ruter, bez konieczności konfiguracji rutingu miedzy VLANmi da dostęp do Internetu stacjom w sieci. Większość przełączników CISCO, w tym ten, który konfigurowaliśmy takiej funkcjonaliści nie posiada, pozwala na przyłączenie portu tylko do jednej, konkretnej sieci VLAN, co skutkuje tym, że aby umożliwić dostęp wszystkim urządzeniom do Internetu czy też do konkretnego serwera w sieci, konieczna jest implementacja routingu między VLANmi. Sieci Komputerowe Przełączniki sieciowe CISCO - VLAN Strona 20

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres