420 likes | 554 Views
Wprowadzenie. Sieć VLAN jest logiczną grupą stacji i urządzeń sieciowych. Sieci VLAN można tworzyć na podstawie stanowisk lub departamentów w firmie, niezależnie od miejsca , w którym fizycznie znajdują się użytkownicy.
E N D
Wprowadzenie Sieć VLAN jest logiczną grupą stacji i urządzeń sieciowych. Sieci VLAN można tworzyć na podstawie stanowisk lub departamentów w firmie, niezależnie od miejsca, w którym fizycznie znajdują się użytkownicy. Urządzenia w sieci VLAN komunikują się tylko z urządzeniami znajdującymi się w tej samej sieci VLAN. Połączenie między sieciami VLAN zapewniają routery.
Definicja wg. miesięcznika NetWorld Wirtualne sieci LAN – umożliwiają wirtualne grupowanie stanowisk pracy, niezależnie od tego, gdzie fizycznie znajdują się w sieci. Administrator sieci może fizycznie podzielić całą sieć na elementy logiczne, nie zważając na to, w jakim segmencie sieci są zlokalizowane różne stanowiska pracy. Technologia sieci VLAN jest pomocna przy wprowadzaniu różnego rodzaju zmian, takich jak definiowanie nowych stanowisk pracy, usuwanie ich z sieci, kontrolowanie pakietów rozgłoszeniowych, itp. Bardzo istotną zaletą tych sieci jest to, że administrator może grupować serwery w jednym miejscu. Ułatwia to znakomicie zadanie zarządzania tymi serwerami, świadczącymi swe usługi wielu grupom roboczym, z których każda reprezentuje wirtualną sieć LAN. Wprowadzenie
Po co to??? Sieci VLAN mogą zwiększyć skalowalność i bezpieczeństwo sieci oraz usprawnić zarządzanie nią. Routery w sieciach VLAN filtrują ruch rozgłoszeniowy, zapewniają bezpieczeństwo i poprawiają wydajność sieci. Bez sieci VLAN trudno jest przenieść użytkownika z jednego biura do drugiego. Może to wymagać ponownej konfiguracji routera, wprowadzenia zmian w kablach połączeniowych oraz ponownej konfiguracji adresu IP na hoście. Natomiast host podłączony do przełącznika umożliwiającego obsługę sieci VLAN pozostaje po prostu w tej samej sieci VLAN, domenie rozgłoszeniowej lub podsieci.
Sieci VLAN a sieci fizyczne Sieć VLAN jest logiczną grupą stacji, usług i urządzeń sieciowych, które nie są ograniczone fizycznym segmentem sieci LAN.
Jeden router – trzy domeny rozgłoszeniowe Sieć VLAN jest logiczną grup stacji, usług i urządzeń sieciowych, które nie są ograniczone fizycznym segmentem sieci LAN.
Rodzaje sieci VLAN • Można wyróżnić dwa rodzaje sieci VLAN: • Statyczne • Dynamiczne
Statyczne sieci VLAN Statyczne sieci VLAN o noszą nazwę sieci członkowskich VLAN opartych na portach (ang. port-centric). W momencie, gdy urządzenie jest dołączane do sieci, automatycznie przyjmuje ono członkostwo w sieci VLAN tego portu, do którego zostało podłączone.
Dynamiczne sieci VLAN Do tworzenia dynamicznych sieci VLAN służy oprogramowanie CiscoWorks 2000 lub CiscoWorks for Switched Internetworks.
Określanie przynależności do sieci VLAN - sieci VLAN oparte na portach (statyczne); - sieci VLAN oparte na adresach MAC; - sieci VLAN oparte na protokołach.
Konfigurowanie statycznych sieci VLAN Statyczna konfiguracja sieci VLAN polega na ręcznym przypisywaniu portów przełącznika do sieci VLAN. Można to skonfigurować bezpośrednio w przełączniku za pomocą interfejsu CLI. Porty te zachowują przypisaną im konfigurację sieci VLAN do momentu ręcznej jej zmiany.
Konfigurowanie statycznych sieci VLAN • maksymalna liczba sieci VLAN zależy od przełącznika; • VLAN 1 • jedną z domyślnie zainstalowanych fabrycznie sieci VLAN jest VLAN1; • domyślną siecią VLAN Ethernet jest VLAN1; • rozgłaszanie protokołów: CDP (ang. Cisco Discovery Protocol) odbywa się przez sieć VLAN 1; • adres IP przełącznika domyślnie znajduje się w domenie rozgłoszeniowej sieci VLAN1;
Konfigurowanie statycznych sieci VLAN • Tworzenie sieci VLAN w przełączniku jest łatwym zadaniem. • Jeśli jest używany przełącznik zarządzany przy użyciu poleceń systemu IOS, do wejścia w tryb konfigurowania sieci VLAN można użyć polecenia vlan database w uprzywilejowanym trybie EXEC. • W razie potrzeby można także skonfigurować nazwę sieci VLAN. • Switch#vlan database • Switch(vlan)#vlan numer_sieci_VLAN • Switch(vlan)#exit
Konfigurowanie statycznych sieci VLAN Sekwencje konfiguracyjne mogą różnić się w zależności od typu i serii urządzenia. Podane poniżej sekwencje dotyczą nowszych serii urządzeń sieciowych a także działają w programie PacketTracer. Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 2 Switch(config-vlan)#name test Switch(config-vlan)#exit Może także wystąpić sekwencja poleceń set
Konfigurowanie statycznych sieci VLAN Po wyjściu z tego trybu konfiguracja sieci VLAN zostanie zastosowana w przełączniku. Następnym krokiem jest przypisanie sieci VLAN do jednego lub wielu interfejsów. Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan numer_sieci_VLAN
Sprawdzanie konfiguracji Zalecaną zasadą jest sprawdzenie konfiguracji sieci VLAN za pomocą poleceń: show vlan show vlan brief show vlan idnumer_id
Usuwanie VLAN i konfiguracji VLAN dla przełącznika Procedura usuwania ustawień VLAN z konfiguracji portu jest podobna do tej, która służy do usuwania polecenia z routera. No po przypisaniu VLAN dla interfejsu FastEthernet 0/9 za pomocą polecenia switchport access vlan 300 aby usunąć tę sieć VLAN z interfejsu, wystarczy użyć tego polecenia w postaci ze słowem kluczowym no: no switchport access vlan 300 Do usunięcia sieci VLAN z przełącznika można użyć następującego polecenia: Switch#vlan database Switch(vlan)#no vlan 300 Po usunięciu sieci VLAN wszystkie przypisane do niej porty staną się nieaktywne. Będą one jednak do niej przypisane, dopóki nie zostaną przypisane do innej sieci VLAN.
Łącza trunkingowe Na wczesnym etapie rozwoju technologii sieci VLAN ich wdrażanie w obrębie całej sieci sprawiało duże trudności. Każdą należało skonfigurować ręcznie na wszystkich przełącznikach. Zarządzanie sieciami VLAN w dużych, rozbudowanych sieciach było bardzo skomplikowane. Dodatkowym utrudnieniem była niespójność funkcji obsługi sieci VLAN w przełącznikach oferowanych przez różnych producentów. Aby rozwiązać te problemy, opracowano technologię trunkingu sieci VLAN. Tworzenie łączy trunkingowych w sieci VLAN umożliwia konfigurowanie wielu sieci VLAN w obrębie jednej sieci fizycznej przez dodawanie do ramek specjalnych znaczników wskazujących, do której sieci VLAN należy dana ramka.
Łącza trunkingowe W technologii radiowej łącze trunkingowe to pojedyncza linia komunikacyjna, w której istnieje wiele kanałów przenoszących sygnały radiowe. Łącze trunkingowe to fizyczne i logiczne połączenie między dwoma przełącznikami, po którym odbywa się ruch w sieci.
Łącza trunkingowe W sieci przełączanej łącze trunkingowe to łącze punkt-punkt, które może obsługiwać kilka sieci VLAN. Celem stosowania łączy trunkingowych jest zmniejszenie liczby wykorzystywanych portów podczas budowania połączeń między dwoma urządzeniami implementującymi sieci VLAN. Łącza trunkingowe pozwalają skonfigurować wiele łączy wirtualnych w jednym łączu fizycznym.
Łącza trunkingowe Problemem jest rozróżnienie, które ramki należą do których VLAN we wspólnym łączu? Realizowane jest to za pomocą odpowiedniego znakowania rameklub filtrowania ramek. Filtrowanie ramek
Łącza trunkingowe – znakowanie ramek Protokoły łączy trunkingowych, które wykorzystują znakowanie ramek, charakteryzują się szybszym przesyłaniem ramek i są łatwiejsze w zarządzaniu. Każda ramka wysyłana za pośrednictwem łącza jest znakowana informacjami o sieci VLAN, do której należy
Znakowanie ramek Stosowanie VLAN wymaga odpowiedniego znakowania (modyfikacji) ramek.
Łącza trunkingowe – znakowanie ramek Istnieją różne schematy znakowania. Dwa najpopularniejsze schematy wykorzystywane w segmentach sieci Ethernet to ISL i 802.1Q: - ISL — protokół firmy Cisco - 802.1Q — standardowy protokół IEEE
Łącza trunkingowe – enkapsulacja ISL Ramka ISL enkapsuluje ramkę ethetnetową
Konfiguracja łącza trunkingowego Należy skonfigurować port jako port łącza trunkingowego; switch(config)#configure terminal switch(config)#interface fastethernet 0/1 switch(config-if)#switchport mode trunc Następnie należy określić sposób enkapsulacji: switch(config-if)#switchport trunc encapsulation isl lub dla 802.1Q: Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#end Na niektórych przełącznikach nie ma potrzeby określania enkapsulacji, bo np. dostępna jest tylko jedna.
Protokół VTP Protokół VTP (ang. VLAN Trunking Protocol) zapewnia obsługę dynamicznego informowania o dodaniu, usunięciu i zmianie nazwy sieci VLAN w całej strukturze przełącznika. Protokół VTP został opracowany przez firmę Cisco w celu rozwiązania problemów operacyjnych w przełączanych sieciach, w których skonfigurowano sieci VLAN. Jest to protokół firmy Cisco. Zalety VTP:
Protokół VTP VTP to protokół komunikacyjny, który umożliwia dodawanie, usuwanie i zmianę nazwy sieci VLAN, używając do tego ramek łączy trunkingowych warstwy 2. Pozwala on na scentralizowane wprowadzanie zmian, o których informacje są rozsyłane do wszystkich pozostałych przełączników w sieci. Komunikaty protokołu VTP są umieszczane w ramkach własnego protokołu Cisco — ISL lub protokołu IEEE 802.1Q, a następnie przekazywane za pośrednictwem łączy trunkingowych do kolejnych urządzeń. Protokół VTP działa z wykorzystaniem pojęcia tzw. domeny VTP Domena VTP składa się z jednego lub więcej połączonych ze sobą urządzeń, które mają wspólną nazwę domeny VTP. Dany przełącznik może należeć tylko do jednej domeny VTP.
Protokół VTP W przypadku zainstalowania protokołu VTP, każdy przełącznik ogłasza na swoich portach łącza trunkingowego informacje o swojej domenie zarządzania, numer wersji konfiguracji, informacje o znanych sobie sieciach VLAN oraz niektóre parametry tych sieci. Ramki ogłoszeń są wysyłane na adres grupowy, tak aby mogły dotrzeć do wszystkich sąsiednich urządzeń. Wszystkie urządzenia należące do tej samej domeny zarządzania dowiadują się o wszystkich nowych sieciach VLAN skonfigurowanych na urządzeniu wysyłającym. Nową sieć VLAN należy utworzyć i skonfigurować tylko na jednym urządzeniu znajdującym się w domenie zarządzania. Wszystkie pozostałe urządzenia w domenie automatycznie uzyskają te informacje.
Protokół VTP Przełączniki obsługujące VTP mogą pracować w jednym z trzech trybów: tryb serwera, tryb klienta, tryb przezroczysty. Serwery VTP mogą tworzyć, modyfikować i usuwać sieci VLAN i ich parametry konfiguracyjne dla całej domeny. Serwery VTP zapisują informacje o konfiguracji sieci VLAN w pamięci NVRAM przełącznika. Serwery wysyłają komunikaty protokołu VTP na wszystkich portach łącza trunkingowego. Klienci VTP nie mogą tworzyć, modyfikować ani usuwać informacji o sieciach VLAN. Jedynym zadaniem klientów VTP jest przetwarzanie zmian dotyczących sieci VLAN i wysyłanie komunikatów VTP na wszystkich portach łącza trunkingowego. Przełączniki w trybie przezroczystym protokołu VTP przekazują ogłoszenia tego protokołu, ale ignorują informacje zawarte w komunikatach.
Protokół VTP Istnieją trzy rodzaje komunikatów protokołu VTP: * żądania ogłoszeń, * ogłoszenia skonsolidowane, * ogłoszenia szczegółowe. Za pomocą żądań ogłoszeń klienci wysyłają żądania podania informacji o sieciach VLAN. Serwer odpowiada ogłoszeniami skonsolidowanymi i szczegółowymi. Wysyłanie ogłoszeń szczegółowych może być wyzwalane przez następujące czynności: - usunięcie lub dodanie sieci VLAN, - zawieszenie lub aktywacja sieci VLAN, - zmiana nazwy sieci VLAN, - zmiana maksymalnej jednostki transmisyjnej MTU dla sieci VLAN.
Konfiguracja protokołu VTP Aby skonfigurować wersję protokołu VTP na przełączniku Cisco z systemem IOS najpierw należy przejść do trybu bazy danych sieci VLAN: Switch#vlan database Switch(vlan)#vtp v2-mode Jeśli przełącznik jest pierwszym przełącznikiem w sieci, należy utworzyć domenę zarządzania: Switch(vlan)#vtp domain cisco Należy wybrać dla przełącznika jeden z trzech dostępnych trybów protokołu VTP: Switch(vlan)#vtp {client | server | transparent} Można też użyć poleceniashow vtp status. Polecenie to służy do weryfikowania ustawień konfiguracyjnych protokołu VTP
„Przycinanie” VTP Przycinanie (pruning) zwiększa dostępne pasmo poprzez zmniejszenie niepotrzebnego ruchu, np. poprzez eliminację tych ramek w przełączniku, które dotyczą sieci VLAN, które w przełączniku są nieobecne. Włączenie przycinania na serwerze VTP uaktywnia je w całej domenie VTP. Włączenie przycinania: Switch(vlan)# vtp pruning Można także wyłączyć przycinanie na pojedynczym interfejsie: Switch(config-if)# switchport trunk pruning vlan remove vlan-id
Routing pomiędzy sieciami VLAN Należy pamiętać, że komunikacja między hostami należącymi do różnych sieci VLAN wymaga użycia routera. Routing pomiędzy sieciami VLAN jest istotnym elementem projektowania skalowalnej sieci. Na wczesnym etapie rozwoju sieci VLAN routery były podłączone do przełączanych sieci za pośrednictwem wielu łączy. W topologii „router na patyku" jest stosowane jedno łącze trunkingowe, które łączy router z resztą sieci kampusowej. Ruch międzysieciowy VLAN musi przejść przez warstwę 2 sieci szkieletowej, aby dotrzeć do routera, skąd może trafiać do odpowiednich sieci VLAN. Następnie dane przepływają z powrotem do żądanej końcowej stacji docelowej przy użyciu zwykłego przekazywania realizowanego w warstwie 2.
Podinterfejsy Podinterfejs jest interfejsem logicznym wyodrębnionym z interfejsu fizycznego, np. z interfejsu Fast Ethernet routera. W jednym interfejsie fizycznym może istnieć wiele podinterfejsów logicznych. Każdy podinterfejs obsługuje jedną sieć VLAN i ma przypisany jeden adres IP.
Podinterfejsy - konfiguracja Aby zdefiniować podinterfejsy w interfejsie fizycznym, należy wykonać następujące czynności: * Wskaż pod-interfejs. * Zdefiniuj sposób enkapsulacji dla sieci VLAN. * Przypisz adres IP interfejsowi. Polecenia: Router(config)#interface fastethernet numer_portu. numer_podinterfejsu Router(config-if)#encapsulation dot1qnumer_sieci_VLAN
Projektowanie sieci Stosuje się dwie, przeciwstawne strategie projektowania sieci pod kątem ruchu sieciowego pomiędzy podsieciami: 80/20 20/80
Podsumowanie • Sieci VLAN: • po co się stosuje? • jakie są rodzaje? • jak się konfiguruje VLAN? • łącza trunkingowe • protokół VTP • routning pomiędzy sieciami VLAN