2011-12-21
VLAN - wprowadzenie
VLANs (Virtual LANs)
Default vlan Vlan
vlan 1 10 20
Opracowano na podstawie
pp
" Koncepcja wirtualnych sieci LAN realizuje segmentację całej sieci
CCNA 2 version 3.0
na osobne domeny rozgłoszeniowe
" VLAN stanowi logiczną podsieć obejmującą określone porty
przełącznika
" Sieci VLAN pozwalajÄ… na logicznÄ… segmentacjÄ™ pojedynczej sieci
fizycznej bazującej na przełącznikach na podstawie:
 Fizycznej lokalizacji stacji (np. sieci poszczególnych budynków)
 Miejsca w strukturze organizacyjnej (np. sieć działu marketingu)
 Funkcji (np. sieć kierownictwa, sieć produkcyjna)
2
VLAN - wprowadzenie Dwie podsieci IP, jeden przełącznik bez VLAN
Jedno łącze na każdy VLAN lub
pojedynczy trakt typu  Trunk
10.1.0.0/16
Struktura
10.1.0.0/16
klasyczna
Struktura
na bazie
10.2.0.0/16 VLAN 10.2.0.0/16
10.3.0.0/16 10.3.0.0/16
10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16
Brama domyślna DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1
(DG  Default Gateway):
10.1.0.1
" Komunikacja rozgłoszeniowa (broadcast) na warstwie 2
" Sieci VLAN zapewniajÄ… realizacjÄ™ segmentacji sieci na poziomie
warstwy drugiej, którą w tradycyjny sposób realizuje się poprzez
 Co się dzieje, gdy stacja 10.1.0.10 wysyła zapytanie ARP o adres
osobne przełączniki w każdej sieci i osobny port routera dla każdej
MAC stacji 10.1.0.30?
sieci.
" Sieci VLAN zapewniają wysoką skalowalność, bezpieczną elastyczną
separację poszczególnych fragmentów i znaczne ułatwienie
zarządzania w porównaniu z osobnymi przełącznikami.
3 4
Dwie podsieci IP, jeden przełącznik bez VLAN Dwie podsieci IP, jeden przełącznik bez VLAN
10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16 10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16
Brama domyślna DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1
(DG  Default Gateway):
10.1.0.1
" Komunikacja rozgłoszeniowa (broadcast) na warstwie 2
" Komunikacja w warstwie 2 dla ramek skierowanych pod nieistniejÄ…ce w
 Przełącznik przekazuje ramkę rozgłoszeniową na wszystkie porty.
tablicy przełącznika adresy MAC
 Wszystkie stacje odbierają takie zapytanie, nawet jeżeli należą one
 Zostaną one wysłane do wszystkich stacji. W ten sposób pewne
do innej podsieci IP.
dane (np. pierwsza ramka komunikacji z daną stacją) dotrą także
 Komunikacja rozgłoszeniowa w warstwie 2 powinna zostać do stacji należącej do innej sieci IP.
ograniczona tylko do obszaru danej sieci IP (osobna sieć LAN dla
każdej sieci IP).
5 6
1
2011-12-21
Dwie podsieci IP, jeden przełącznik bez VLAN Rozwiązanie klasyczne: osobne przełączniki
Fa 0/0 Fa 0/1
Fa 0/0 Fa 0/1
10.1.0.1/16 10.2.0.1/16
10.1.0.1/16 10.2.0.1/16
Zapytanie ARP
10 1 0 10/16 10 1 0 30/16 10 2 0 20/16 10 2 0 40/16
10.1.0.10/16 10.1.0.30/16 10.2.0.20/16 10.2.0.40/16
DG: 10.1.0.1 DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.2.0.1
" W rozwiązaniu klasycznym stosuje się osobne przełączniki dla każdej
podsieci IP.
10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16
" Zapewnia to segmentację ruchu rozgłoszeniowego wartstwy 2 oraz
DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1
ruchu z nieznanymi dla przełącznika adresami MAC.
" Pomimo, że wszystkie stacje dołączone są do tego samego
przełącznika, komunikacja pomiędzy stacjami należącymi do różnych
podsieci IP odbywać będzie się przez router (dlaczego?).
" Stacja wyśle ramkę zawierającą pakiet IP adresowany do innej sieci IP
pod adres MAC urządzenia będącego bramą domyślną (routera)
7 8
Domeny rozgłoszeniowe w przeł. z VLANami Domeny rozgłoszeniowe w przeł. z VLANami
Port 1 Port 4 Port 1 Port 4
Port 9 Port 12 Port 9 Port 12
VLAN 10 VLAN 20 VLAN 10 VLAN 20
VLAN 10 VLAN 20 VLAN 10 VLAN 20
Zapytanie ARP
10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16 10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16
DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1
" Sieć VLAN stanowi domenę rozgłoszeniową obejmującą określone
" Porty przełącznika przypisane do tego samego VLANu należą do tej
porty jednego lub wielu przełączników (wyjaśnienie w dalszej części).
samej domeny rozgłoszeniowej.
" Sieci VLAN definiowane są w przełącznikach poprzez zdefiniowanie w
" Porty przełącznika przypisane do różnych sieci VLAN znajdują się w
procesie konfiguracji grup portów tworzących poszczególne VLANy.
osobnych domenach rozgłoszeniowych.
" Każdy port może być przypisany do osobnego VLANu.
9 10
Konfiguracja sieci VLAN Statyczne sieci VLAN
Sieci VLAN mogą być tworzone w przełączniku jako:
żð Konfiguracja statyczna:
żð Administrator korzystajÄ…c z dostÄ™pnej metody konfiguracji przeÅ‚Ä…cznika ustala
Default
które porty należą do której sieci VLAN Default
VLAN 1
VLAN 1
VLAN 10
Switch(config)#interface fastethernet 0/9
żð Konfiguracja dynamiczna
Skonfigurowany
Switch(config-if)#switchport access vlan 10
żð Porty automaty w sposób dynamiczny okreÅ›lajÄ… ich konfiguracjÄ™ w
y ycznie p y y jÄ… g jÄ™
statycznie
t t i
zakresie VLAN
żð Używa siÄ™ bazy adresów MAC urzÄ…dzeÅ„ w celu wykonania dynamicznych
mapowań portów przełącznika do określonych VLAN w zależności od tego jakie
urzÄ…dzenie zostanie wykryte na danym porcie
" Sieci VLAN z portami przypisanymi statycznie określane są jako
 port-based and port-centric membership VLANs .
" Jest to najbardziej popularna metoda przypisywania portów
przełącznika do poszczególnych sieci VLAN.
" W przełączniku fabrycznie skonfigurowany jest domyślny (default)
VLAN. W przypadku przełączników Cisco jest to VLAN 1.
11 12
2
2011-12-21
Statyczne sieci VLAN Dynamiczne sieci VLAN
Port 1 Port 4
Port 9 Port 12
VLAN 10 VLAN 20
VLAN 10 VLAN 20
" Sieci VLAN z dynamicznym członkostwem portów (Dynamic
10.1.0.10/16 10.2.0.20/16 10.1.0.30/16 10.2.0.40/16
membership VLANs) sÄ… tworzone przy pomocy oprogramowania
DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.1.0.1 DG: 10.2.0.1
zarządzającego. Są one stosowane znacznie rzadziej niż sieci
statyczne.
" Sieci VLAN są skojarzone z określonymi portami przełącznika.
" Do tworzenia dynamicznych sieci VLAN może być użyte
" W danej sieci VLAN hosty powinny mieć skonfigurowane adresy IP
oprogramowanie CiscoWorks 2000 lub CiscoWorks for Switched
należące do jednej podsieci IP. Internetworks tworzące VLAN Membership Policy Server (VMPS)
 VLAN = Subnet " Członkostwo dynamiczne portu przełącznika dynamicznej sieci VLAN
określane jest na podstawie adresu MAN urządzenia podłączonego do
tego portu.
13 14
.
Modele rozproszonych sieci VLAN End-to-End lub kampusowe sieci VLAN
" End-to-End lub kampusowe (Campus-wide) sieci VLAN
" Geograficzne lub lokalne sieci VLAN
Wkażdym miejscu sieci może być utworzony VLAN o dowolnym identyfikatorze.
Czyli hosty danej podsieci (np. Engineering) zawsze znajdujÄ… siÄ™ w tym samym
VLAN niezależnie od miejsca ich fizycznego przyłączenia do sieci. Oznacza to, że
dany VLAN związany jest z logiczną (a nie geograficzną) funkcją (np. sieć działu
Engineering).
Wymagane są połączenia typu Trunk pomiędzy głównymi przełącznikami w
poszczególnych lokalizacjach. Przełączniki te są nadal przełącznikami warstwy 2.
Model ten nie jest obecnie rekomendowany.
15 16
Geograficzne (lokalne) sieci VLAN Zasady 80/20 i 20/80
Określony VLAN związany jest tylko z określoną fizyczną lokalizacją.
" W sieciach korporacyjnych przyjmuje się zasadę, że 80% ruchu stacji w danym
VLAN powinno być realizowane w ramach tego VLAN.
Dany VLAN może być stosowany tylko w ramach klastra przełączników warstwy
" Pozostałe 20% przechodzi przez routery do serwerów korporacyjnych
dostępowej (access layer switch cluster) i nie jest przenoszony przez przełączniki w
(Enterprise) oraz do Internet (sieci WAN).
warstwie szkieletowej.
" Jest to tzw. zasada 80/20.
Przełączniki szkieletowe są przełącznikami warstwy 3 (funkcjonalność zbliżona do " Uwaga:
routerów), a użytkownicy tej samej jednostki logicznej (np. Accounting) przyłaczeni  Obecnie zasada ta jest już w większości nieaktualna.
do różnych przełączników szkieletowych znajdują się wróżnych sieciach VLAN (np.  W wielu współczesnych sieciach proporcje ruchu się odwróciły na rzecz
zasady 20/80 rule, czyli 20% ruchu ramach VLAN i 80% poza VLAN.
10 i 30) , a więc i takżewróżnych podsieciach IP.
Jest to rekomendowany model dla sieci rozproszonych.
17 18
3
2011-12-21
Geograficzne (lokalne) sieci VLAN Konfiguracja sieci VLAN
vlan Default
Default
10 vlan 1
vlan 1
" Ze względu na to, że w sieciach korporacyjnych następuje
centralizacja zasobów, sieci typu end-to-end stają się trudniejsze do
administrowania.
" Użytkownicy coraz częściej korzystają z zasobów znajdujących poza
ich logiczną jednostką (np. serwer określonego działu), a więc także
poza ich sieciÄ… VLAN.
" Dlatego obecnie zaleca się ograniczanie VLAN do określonych
lokalizacji geograficznych i rozdzielanie na warstwie 3 sieci należących
do danej jednostki logicznej, ale znajdujących się w różnych
lokalizacjach geograficznych. 19 20
.
Konfiguracja statycznych sieci VLAN Tworzenie sieci VLAN
" Zasady konfiguracji VLAN w przełącznikach serii Cisco 29xx:
 Maksymalna liczba sieci VLAN zależy od rodzaju przełącznika.
" Utworzenie sieci VLAN:
Utworzenie sieci VLAN:
" W przełącznikach Cisco 29xx jest to 250 sieci VLAN.
W Å‚ ik h Ci 29 j t t 250 i i VLAN
Switch(config)#vlan vlan_number
 VLAN 1 jest jedną z domyślnie utworzonych sieci VLAN.
Switch(config-vlan)#name vlan_name
 VLAN 1 stanowi domyślną sieć Ethernet VLAN.
Switch(config-vlan)#exit
 Ogłoszenia protokołów CDP (Cisco Discovery Protocol) oraz STP
(Spanning Tree Protokol) i VTP (VLAN Trunking Protocol) sÄ…
zawsze wysyłane w sieci VLAN 1 (w innych VLAN można " Przypisanie portu dostępowego (klienckiego) do określonego
wyłączyć) VLAN
Switch(config)#interface fastethernet 0/9
Switch(config-if)#switchport access vlan vlan_number
Switch(config-if)#switchport mode access
21 22
.
Tworzenie sieci VLAN Konfigurowanie zakresu portów w VLAN
vlan Default
Default
vlan 2
10 vlan 1
vlan 1
Switch(config)#interface fastethernet 0/5
( g) /
" Przypisanie portu do VLAN
Switch(config-if)#switchport access vlan 2
Switch(config-if)#switchport mode access
Switch(config)#interface fastethernet 0/9
Switch(config-if)#exit
Switch(config-if)#switchport access vlan 10
Switch(config)#interface fastethernet 0/6
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#switchport mode access
Switch(config-if)#exit
" access  określa, że ten port będzie pracować tylko jako port
Switch(config)#interface fastethernet 0/7
dostępowy i nie będzie na nim tworzone łącze typu trunk
Switch(config-if)#switchport access vlan 2
Switch(config-if)#switchport mode access
23 24
4
2011-12-21
.
Konfigurowanie zakresu portów w VLAN Tworzenie sieci VLAN
Jeżeli na jednym z połączonych portów nie zostanie
Tryb domyślny:
ustalony trym access, to takie łącze pomiędzy
dynamic desirable
przełącznikami stanie się połączeniem typu trunk.
vlan 3
Switch(config)#interface range fastethernet 0/8 - 12
Switch(config-if)#switchport access vlan 3
Switch(config-if)#switchport mode access
Switch(config-if)#exit
" Domyślnie wszystkie porty skonfigurowane w trybie auto,
co oznacza że jeżeli dany port zostanie połączony do portu
" Komenda niedostępna na starszych przełącznikach np. serii 2900 XL.
innego przełącznika skonfigurowanego też jako auto, to
" Działa na przełączniku 2950.
połączenie takie stanie się łaczem typu trunk.
" Dlatego do portów wykorzystywanych do przyłączania
stacji klienckich zaleca się wykonywanie zarówno komendy
switchport access vlan jak i switchport mode
access.
25 26
Wyświetlenie sieci VLAN Wyświetlenie sieci VLAN
vlan 1 vlan 1
vlan 2 vlan 3 vlan 2 vlan 3
default default
27 28
Usuwanie portów z sieci VLAN Zarządzanie przełącznikiem
Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.1.0.5. 255.255.0.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip default-gateway 10.1.0.1
W celu zdalnego zarządzania przełącznikiem przez sieć IP, należy przypisać mu adres IP do sieci VLAN
używanej do zarządzania. Adres ten wiązany jest z wirtualnym interfejsem przełącznika o nazwie SVI
(Switch Virtual Interface), przez który udostępniany jest w przełączniku dostęp telnetowy, SSH oraz
WWW i SNMP
WWW i SNMP
Uwaga: Korzystanie z dostępu telnetowego wymaga zdefiniowani sposobu uwierzytelniania, hasła itd..
(analogicznie jak w routerach).
Switch(config-if)#no switchport access vlan vlan_number
Adres IP i maska podsieci
" Domyślnie siecią zarządzającą (management VLAN) jest sieć VLAN 1.
" Komenda ta przywraca dany port do sieci VLAN 1.
" Dlatego najczęściej adres IP i maskę przypisuje się do  interfejsu VLAN 1.
" Adres ten używany jest tylko do celów zarządzania i nie ma wpływu na pracę urządzenia jako
" Sieć VLAN 1 nie może być usunięta.
przełącznika warstwy 2.
" Ustawiony adres może być użyty do testów poprze ping oraz połączeń telnet/SSH/WWW/SNMP.
Default Gateway
" Brama domyślna także używana jest tylko do celów zarządzania przełącznikiem.
" Wykorzystywana jest do obsługi połączeń zarządzających z hostami znajdującymi się poza daną
sieciÄ… IP.
29 30
5
2011-12-21
Zarządzanie przełącznikiem Zarządzanie przełącznikiem
10.1.0.5/16 DG: 10.1.0.1
Switch(config)# enable secret class
Fa 0/0 Fa 0/1
Switch(config)#line vty 0 4
10.1.0.1/16 10.2.0.1/16
Switch(config-line)#password cisco
Switch(config-line)#login
Switch(config)#inter vlan 1
Switch(config)#inter vlan 1
10.1.0.10/16 10.1.0.30/16 10.2.0.20/16 10.2.0.40/16
Switch(config-if)#ip add 10.1.0.5. 255.255.0.0 DG: 10.1.0.1 DG: 10.1.0.1 DG: 10.2.0.1 DG: 10.2.0.1
Switch(config-if)#no shut Host
C:\>telnet 10.1.0.1
username:cisco
Switch(config)#ip default-gateway 10.1.0.1
password:class
Switch>show vlan
Switch>ping 10.2.0.20
Switch>telnet 10.1.0.1
Switch>exit
31 32
Usuwanie informacji o sieciach VLAN
" Informacje o sieciach VLAN zapisane są w pamięci flash w pliku
vlan.dat.
" Ustawienia VLAN nie sÄ… umieszczane w plikach running-config i
startup-config.
" W celu usunięcia informacji o VLAN należy skasować plik vlan.dat i
zrestartować przełącznik
Switch#delete flash:vlan.dat
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
Switch#erase startup-config
Switch#reload
33
6