Wirtualne sieci LAN

Wykład: Zaawansowane sieci komputerowe
Prowadzący: dr inż. Sławomir Nowak

Opracowanio na podstawie

materiałów kursu CCNA

Wprowadzenie

Sieć VLAN jest logiczną grupą stacji i urządzeń sieciowych.

Sieci VLAN można tworzyć na podstawie stanowisk lub

departamentów

w firmie,

niezależnie od miejsca

, w którym fizycznie znajdują się

użytkownicy.

Urządzenia w sieci VLAN komunikują się tylko z urządzeniami

znajdującymi się w tej samej sieci VLAN.

Połączenie między sieciami VLAN zapewniają routery.

Wprowadzenie

Definicja wg. miesięcznika NetWorld

Wirtualne sieci LAN – umożliwiają wirtualne grupowanie stanowisk

pracy, niezależnie od tego, gdzie fizycznie znajdują się w sieci.

Administrator sieci może fizycznie podzielić całą sieć na elementy

logiczne, nie zważając na to, w jakim segmencie sieci są

zlokalizowane różne stanowiska pracy. Technologia sieci VLAN jest

pomocna przy wprowadzaniu różnego rodzaju zmian, takich jak

definiowanie nowych stanowisk pracy, usuwanie ich z sieci,

kontrolowanie pakietów rozgłoszeniowych, itp.

Bardzo istotną zaletą tych sieci jest to, że administrator może

grupować serwery w jednym miejscu. Ułatwia to znakomicie zadanie
zarządzania tymi serwerami, świadczącymi swe usługi wielu grupom

roboczym, z których każda reprezentuje wirtualną sieć LAN.

Po co to???

Sieci VLAN mogą zwiększyć skalowalność i bezpieczeństwo sieci oraz

usprawnić zarządzanie nią.

Routery w sieciach VLAN filtrują ruch rozgłoszeniowy, zapewniają

bezpieczeństwo i poprawiają wydajność sieci.

Bez sieci VLAN trudno jest przenieść użytkownika z jednego biura do

drugiego. Może to wymagać ponownej konfiguracji routera,

wprowadzenia zmian

w kablach połączeniowych oraz ponownej konfiguracji adresu IP na

hoście. Natomiast host podłączony do przełącznika umożliwiającego

obsługę sieci VLAN pozostaje po prostu w tej samej sieci VLAN,

domenie rozgłoszeniowej lub podsieci.

Sieci VLAN a sieci fizyczne

Sieć VLAN jest logiczną grupą stacji, usług i urządzeń sieciowych,

które nie są ograniczone fizycznym segmentem sieci LAN.

Struktura fizyczna i logiczna

Jeden router – trzy domeny

rozgłoszeniowe

Sieć VLAN jest logiczną grup stacji, usług i urządzeń sieciowych,

które nie są ograniczone fizycznym segmentem sieci LAN.

Rodzaje sieci VLAN

Można wyróżnić dwa rodzaje sieci VLAN:

- Statyczne

- Dynamiczne

Statyczne sieci VLAN

Statyczne sieci VLAN

o noszą nazwę sieci członkowskich VLAN

opartych na portach (ang. port-centric).

W momencie, gdy urządzenie jest dołączane do sieci,

automatycznie przyjmuje ono członkostwo w sieci VLAN tego portu,

do którego zostało podłączone.

Dynamiczne sieci VLAN

Do tworzenia dynamicznych sieci VLAN służy oprogramowanie

CiscoWorks 2000 lub CiscoWorks for Switched Internetworks.

Określanie przynależności do sieci

VLAN

- sieci VLAN oparte na portach (statyczne);

- sieci VLAN oparte na adresach MAC;

- sieci VLAN oparte na protokołach.

Rodzaje sieci VLAN

Opis

Oparte na portach

 Najczęsciej stosowana metoda konfigurowania

 Łatwe w uzyciu

 Często stosowane tam, gdzie do przypisania

adresów IP do hostów w sieci używany jest

protokół dynamicznej konfiguracji hostów DHCP

Oparte na adresach MAC

 Obecnie rzadko stosowane

 Każdy adres musi być wprowadzony ręcznie do

przełącznika i skonfigurowany

 Wygodne dla użytkowników

 Trudne w administrowaniu, zarządzaniu

i rozwiązywaniu problemów

Oparte na protokołach

 Konfigurowane podobnie jak adresy MAC,

ale używany jest adres logiczny

 Obecnie rzadko używane, gdyż stosowany jest

mechanizm DHCP

Konfigurowanie statycznych sieci

VLAN

Statyczna konfiguracja sieci VLAN

polega na ręcznym

przypisywaniu portów przełącznika do sieci VLAN

.

Można to skonfigurować bezpośrednio w przełączniku za

pomocą interfejsu CLI.

Porty te zachowują przypisaną im konfigurację sieci VLAN do

momentu ręcznej jej zmiany.

Konfigurowanie statycznych sieci

VLAN

• maksymalna liczba sieci VLAN zależy od przełącznika;

VLAN 1

• jedną z domyślnie zainstalowanych fabrycznie sieci VLAN

jest VLAN1;

• domyślną siecią VLAN Ethernet jest VLAN1;

• rozgłaszanie protokołów: CDP (ang. Cisco Discovery

Protocol) odbywa się przez sieć VLAN 1;

• adres IP przełącznika domyślnie znajduje się w domenie

rozgłoszeniowej sieci VLAN1;

Konfigurowanie statycznych sieci

VLAN

Tworzenie sieci VLAN w przełączniku jest łatwym zadaniem.

Jeśli jest używany przełącznik zarządzany przy użyciu poleceń

systemu IOS, do wejścia w tryb konfigurowania sieci VLAN

można użyć polecenia vlan database w uprzywilejowanym

trybie EXEC.

W razie potrzeby można także skonfigurować nazwę sieci

VLAN.

Switch#vlan database

Switch(vlan)#vlan numer_sieci_VLAN

Switch(vlan)#exit

Konfigurowanie statycznych sieci

VLAN

Sekwencje konfiguracyjne mogą różnić się w zależności

od typu i serii urządzenia. Podane poniżej sekwencje

dotyczą nowszych serii urządzeń sieciowych a także

działają

w programie PacketTracer.

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 2
Switch(config-vlan)#name test
Switch(config-vlan)#exit

Może także wystąpić sekwencja poleceń

set

Konfigurowanie statycznych sieci

VLAN

Po wyjściu z tego trybu konfiguracja sieci VLAN zostanie

zastosowana w przełączniku. Następnym krokiem jest

przypisanie sieci VLAN do jednego lub wielu interfejsów.

Switch(config)#interface fastethernet 0/9

Switch(config-if)#switchport access vlan
numer_sieci_VLAN

Sprawdzanie konfiguracji

Zalecaną zasadą jest sprawdzenie konfiguracji sieci VLAN za

pomocą poleceń:

show vlan

show vlan brief

show vlan idnumer_id

Usuwanie VLAN i konfiguracji VLAN dla

przełącznika

Procedura usuwania ustawień VLAN z konfiguracji portu jest

podobna do tej, która służy do usuwania polecenia z routera.

No po przypisaniu VLAN dla interfejsu FastEthernet 0/9 za

pomocą polecenia

switchport access vlan 300

aby usunąć tę sieć VLAN z interfejsu, wystarczy użyć tego

polecenia w postaci ze słowem kluczowym no:

no switchport access vlan 300

Do usunięcia sieci VLAN z przełącznika można użyć

następującego polecenia:

Switch#vlan database

Switch(vlan)#no vlan 300

Po usunięciu sieci VLAN wszystkie przypisane do niej porty

staną się nieaktywne. Będą one jednak do niej przypisane,

dopóki nie zostaną przypisane do innej sieci VLAN.

Łącza trunkingowe

Na wczesnym etapie rozwoju technologii sieci VLAN ich

wdrażanie

w obrębie całej sieci sprawiało duże trudności. Każdą należało

skonfigurować ręcznie na wszystkich przełącznikach.

Zarządzanie sieciami VLAN w dużych, rozbudowanych

sieciach było bardzo skomplikowane

.

Dodatkowym utrudnieniem była niespójność funkcji obsługi

sieci VLAN w przełącznikach oferowanych przez różnych

producentów. Aby rozwiązać te problemy, opracowano

technologię trunkingu sieci VLAN

.

Tworzenie łączy trunkingowych w sieci VLAN umożliwia

konfigurowanie wielu sieci VLAN w obrębie jednej sieci

fizycznej przez dodawanie do ramek specjalnych znaczników

wskazujących, do której sieci VLAN należy dana ramka.

Łącza trunkingowe

W technologii radiowej łącze trunkingowe to

pojedyncza linia

komunikacyjna

, w której istnieje

wiele kanałów

przenoszących

sygnały radiowe.

Łącze trunkingowe to fizyczne i logiczne połączenie między

dwoma przełącznikami, po którym odbywa się ruch w sieci.

Łącza trunkingowe

W sieci przełączanej łącze trunkingowe to łącze punkt-punkt, które

może obsługiwać kilka sieci VLAN

. Celem stosowania łączy

trunkingowych jest

zmniejszenie liczby wykorzystywanych portów

podczas budowania połączeń między dwoma urządzeniami

implementującymi sieci VLAN.

Łącza trunkingowe pozwalają skonfigurować wiele łączy

wirtualnych

w jednym łączu fizycznym.

Łącza trunkingowe

Problemem jest rozróżnienie, które ramki należą do których VLAN

we wspólnym łączu?

Realizowane jest to za pomocą odpowiedniego

znakowania ramek

lub

filtrowania ramek

.

Filtrowanie ramek

Łącza trunkingowe – znakowanie ramek

Protokoły łączy trunkingowych, które wykorzystują znakowanie

ramek, charakteryzują się szybszym przesyłaniem ramek i są

łatwiejsze

w zarządzaniu.

Każda ramka wysyłana za pośrednictwem łącza

jest znakowana informacjami o sieci VLAN, do

której należy

Znakowanie ramek

Stosowanie VLAN wymaga odpowiedniego

znakowania (modyfikacji) ramek.

Łącza trunkingowe – znakowanie ramek

Istnieją różne schematy znakowania. Dwa najpopularniejsze

schematy wykorzystywane w segmentach sieci Ethernet to ISL i

802.1Q:

- ISL — protokół firmy Cisco
- 802.1Q — standardowy protokół IEEE

Łącza trunkingowe – enkapsulacja ISL

Ramka ISL enkapsuluje ramkę ethetnetową

Konfiguracja łącza trunkingowego

Należy skonfigurować port jako port łącza trunkingowego;

switch(config)#configure terminal
switch(config)#interface fastethernet 0/1
switch(config-if)#switchport mode trunc

Następnie należy określić sposób enkapsulacji:

switch(config-if)#switchport trunc encapsulation isl

lub dla 802.1Q:

Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#end

Na niektórych przełącznikach nie ma potrzeby określania enkapsulacji,

bo np. dostępna jest tylko jedna.

Protokół VTP

Protokół VTP

(ang. VLAN Trunking Protocol) zapewnia obsługę

dynamicznego informowania o dodaniu, usunięciu i zmianie nazwy

sieci VLAN w całej strukturze przełącznika.

Protokół VTP został opracowany przez firmę Cisco w celu

rozwiązania problemów operacyjnych w przełączanych sieciach, w

których skonfigurowano sieci VLAN. Jest to protokół firmy Cisco.

Zalety VTP:

Protokół VTP

VTP to

protokół komunikacyjny

, który umożliwia dodawanie,

usuwanie i zmianę nazwy sieci VLAN, używając do tego ramek łączy

trunkingowych warstwy 2.

Pozwala on na scentralizowane

wprowadzanie zmian

, o których informacje są rozsyłane do

wszystkich pozostałych przełączników w sieci.

Komunikaty protokołu VTP są umieszczane w ramkach własnego

protokołu Cisco — ISL lub protokołu IEEE 802.1Q, a następnie

przekazywane za pośrednictwem łączy trunkingowych do kolejnych

urządzeń.

Protokół VTP działa z wykorzystaniem pojęcia tzw.

domeny VTP

Domena VTP składa się z jednego lub więcej połączonych ze sobą

urządzeń, które mają wspólną nazwę domeny VTP. Dany przełącznik

może należeć tylko do jednej domeny VTP.

Protokół VTP

W przypadku zainstalowania protokołu VTP, każdy przełącznik

ogłasza na swoich portach łącza trunkingowego informacje o swojej

domenie zarządzania, numer wersji konfiguracji, informacje o

znanych sobie sieciach VLAN oraz niektóre parametry tych sieci.

Ramki ogłoszeń są wysyłane na adres grupowy, tak aby mogły

dotrzeć do wszystkich sąsiednich urządzeń.

Wszystkie urządzenia należące do tej samej domeny zarządzania

dowiadują się o wszystkich nowych sieciach VLAN skonfigurowanych

na urządzeniu wysyłającym.

Nową sieć VLAN należy utworzyć i skonfigurować tylko na jednym

urządzeniu znajdującym się w domenie zarządzania. Wszystkie

pozostałe urządzenia w domenie automatycznie uzyskają te

informacje.

Protokół VTP

Przełączniki obsługujące VTP mogą pracować w jednym z trzech

trybów:

tryb serwera, tryb klienta, tryb przezroczysty.

Serwery VTP

mogą tworzyć, modyfikować i usuwać sieci VLAN i ich

parametry konfiguracyjne dla całej domeny. Serwery VTP zapisują

informacje o konfiguracji sieci VLAN w pamięci NVRAM przełącznika.

Serwery wysyłają komunikaty protokołu VTP na wszystkich portach

łącza trunkingowego.

Klienci VTP

nie mogą tworzyć, modyfikować ani usuwać informacji o

sieciach VLAN. Jedynym zadaniem klientów VTP jest przetwarzanie

zmian dotyczących sieci VLAN i wysyłanie komunikatów VTP na

wszystkich portach łącza trunkingowego.

Przełączniki

w trybie przezroczystym

protokołu VTP przekazują

ogłoszenia tego protokołu, ale ignorują informacje zawarte w

komunikatach.

Protokół VTP

Istnieją trzy rodzaje komunikatów protokołu VTP:

* żądania ogłoszeń,

* ogłoszenia skonsolidowane,

* ogłoszenia szczegółowe.

Za pomocą żądań ogłoszeń

klienci

wysyłają żądania podania

informacji

o sieciach VLAN.

Serwer

odpowiada ogłoszeniami skonsolidowanymi

i szczegółowymi.

Wysyłanie ogłoszeń

szczegółowych

może być wyzwalane przez

następujące czynności:

- usunięcie lub dodanie sieci VLAN,

- zawieszenie lub aktywacja sieci VLAN,

- zmiana nazwy sieci VLAN,

- zmiana maksymalnej jednostki transmisyjnej MTU dla sieci VLAN.

Konfiguracja protokołu VTP

Aby skonfigurować wersję protokołu VTP na przełączniku Cisco z

systemem IOS najpierw należy przejść do trybu bazy danych sieci

VLAN:

Switch#vlan database

Switch(vlan)#vtp v2-mode

Jeśli przełącznik jest pierwszym przełącznikiem w sieci, należy

utworzyć domenę zarządzania:

Switch(vlan)#vtp domain cisco

Należy wybrać dla przełącznika jeden z trzech dostępnych trybów

protokołu VTP:

Switch(vlan)#vtp {client | server | transparent}

Można też użyć polecenia

show vtp status

.

Polecenie to służy do

weryfikowania ustawień konfiguracyjnych protokołu VTP

„Przycinanie” VTP

Przycinanie (pruning) zwiększa dostępne pasmo poprzez

zmniejszenie niepotrzebnego ruchu, np.

poprzez eliminację tych

ramek w przełączniku, które dotyczą sieci VLAN, które w

przełączniku są nieobecne

.

Włączenie przycinania na serwerze VTP uaktywnia je w całej

domenie VTP.

Włączenie przycinania:

Switch(vlan)# vtp pruning

Można także wyłączyć przycinanie na pojedynczym interfejsie:

Switch(config-if)#
switchport trunk pruning vlan remove vlan-id

Polecenie

show vtp status

Routing pomiędzy sieciami VLAN

Należy pamiętać, że komunikacja między hostami należącymi do

różnych sieci VLAN

wymaga użycia routera

. Routing pomiędzy

sieciami VLAN jest istotnym elementem projektowania skalowalnej

sieci.

Na wczesnym etapie rozwoju sieci VLAN routery były podłączone do

przełączanych sieci za pośrednictwem wielu łączy.

W topologii „

router na patyku

" jest stosowane jedno łącze

trunkingowe, które łączy router z resztą sieci kampusowej.

Ruch międzysieciowy VLAN musi przejść przez warstwę 2 sieci

szkieletowej, aby dotrzeć do routera, skąd może trafiać do

odpowiednich sieci VLAN. Następnie dane przepływają z powrotem

do żądanej końcowej stacji docelowej przy użyciu zwykłego

przekazywania realizowanego w warstwie 2.

Routing pomiędzy sieciami VLAN

Podinterfejsy

Podinterfejs

jest

interfejsem logicznym

wyodrębnionym z interfejsu fizycznego, np.

z interfejsu Fast Ethernet routera. W jednym

interfejsie fizycznym może istnieć wiele

podinterfejsów logicznych.

Każdy podinterfejs obsługuje jedną sieć VLAN i ma

przypisany jeden adres IP.

Podinterfejsy - konfiguracja

Aby zdefiniować podinterfejsy w interfejsie

fizycznym, należy wykonać następujące

czynności:

* Wskaż pod-interfejs.
* Zdefiniuj sposób enkapsulacji dla sieci

VLAN.

* Przypisz adres IP interfejsowi.

Polecenia:

Router(config)#interface fastethernet numer_portu.
numer_podinterfejsu

Router(config-if)#encapsulation
dot1qnumer_sieci_VLAN

Podinterfejsy - konfiguracja

Projektowanie sieci

Stosuje się dwie, przeciwstawne strategie

projektowania sieci pod kątem ruchu sieciowego

pomiędzy podsieciami:

80/20
20/80

Podsumowanie

Sieci VLAN:

-po co się stosuje?
-jakie są rodzaje?
-jak się konfiguruje VLAN?
-łącza trunkingowe
-protokół VTP
-routning pomiędzy sieciami VLAN