12. VLAN, inter-VLAN routing, VTP
12. VLAN, inter–VLAN routing, VTP Co je to VLAN Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Můžeme tedy naši síť segmentovat na menší sítě uvnitř fyzické struktury původní sítě. Jednoduše řečeno pomocí VLAN můžeme dosáhnout stejného efektu, jako když máme skupinu zařízení připojených do jednoho (několika propojených) switche a druhou skupinu do jiného (jiných) switche. Jsou to dvě nezávislé sítě, které spolu nemohou komunikovat (jsou fyzicky odděleny). Pomocí VLAN můžeme takovéto dvě sítě vytvořit na jednom (nebo několika propojených) switchi. Jednoduše se VLAN dá vysvětlit následujícím obrázkem.
Budova má dvě patra. Na každém z nich switche navzájem propojené. Chceme-li propojit zařízení na patrech, ať už z jakéhokoliv důvodu (bezpečnost, sdílení dat a HW atp.) separátně museli bychom bez použité VLAN na každé patro zabudovat duplicitní switche pracující každý pro ve svojí síti nezávisle na té druhé. Toto řešení je jak z ekonomického, tak časového hlediska velmi nepraktické. S použitím VLAN máme možnost tyto dvě sítě vytvořit na stejných zařízeních pouze nastavením příslušných VLAN.
Střední Průmyslová Škola Třebíč
Stránka 1
12. VLAN, inter-VLAN routing, VTP
Důvody vzniku VLAN Myšlenka virtuálního rozdělení sítě začala vznikat okolo roku 1995, avšak byla pro jednotlivé výrobce tak specifická, že se dlouho nedočkala žádného standardu a moc se neuchytila. Okolo roku 2000 se začala více rozšiřovat hlavně ve středních a velkých firmách. Začala vznikat ze tří hlavních důvodů: •
Seskupování uživatelů - Do společné sítě se dají zařadit buďto uživatelé sdílející vlastní tiskárny, file server, atd. Většina komunikace probíhá uvnitř oddělení. Nebo skupiny využívající specifické služby jako databázový server atd. V sítích je pak větší přehled a hlavně je bezpečnější.
•
Snížení broadcastů - Ve velkých sítích přináší značnou úsporu provozu
•
Zmenšení kolizních domén - Největší rozdíl se objevuje hlavně při použití hubů
Některé původní předpoklady využití se časem vytrácely a již nejsou příliš aktuální. V dnešní době se VLAN využívá z těchto důvodů: •
snížení broadcastů - hlavní výhodou VLAN je vytvoření více, ale menších, broadcastových domén. Tedy zlepšení výkonu sítě snížením provozu (traffic).
•
zjednodušená správa - k přesunu zařízení do jiné sítě stačí překonfigurovat zařazení do VLAN, tedy správce konfiguruje SW (zařazení do VLAN) a ne HW (fyzické přepojení)
•
zvýšení zabezpečení - oddělení komunikace do speciální VLAN, kam není jiný přístup. Toho se dá samozřejmě dosáhnout použitím samostatných switchů, ale VLAN je v tomto případě praktičtější (menší počet síťových prvků)
•
oddělení speciálního provozu - dnes se používá řada provozu, který nemusí být propojen do celé sítě, ale přesto jej potřebujeme dostat na různá místa, navíc nechceme, aby nám ovlivňoval běžný provoz. Příkladem je například IP telefonie, komunikace mezi AP v centrálně řízeném prostředí, management (zabezpečení správcovského přístupu k zařízením). Například pro IP telefonii, kde je použití VLAN naprosto běžné, nám stačí jediná zásuvka, kam přivedeme VLAN pro telefonii i VLAN s přístupem do sítě a v telefonu se komunikace rozdělí.
•
snížení HW - samozřejmě se nám nesnižuje potřebný počet portů (až na speciální případy jako IP telefonie), ale tím, že mohou být různé podsítě na stejném switchi, jej můžeme lépe využít (například pro propojení tří zařízení nepotřebujeme speciální switch, který má minimálně 8 portů).
Střední Průmyslová Škola Třebíč
Stránka 2
12. VLAN, inter-VLAN routing, VTP
Základní způsoby přiřazení hostů do VLAN Na Cisco switchích, které podporují VLAN, vždy existuje alespoň jedna VLAN. Jedná se o defaultní VLAN číslo 1, kterou není možno smazat či vypnout. Pokud nenastavíme jinak, tak jsou všechny porty (tedy veškerá komunikace) zařazeny do VLAN 1. Z bezpečnostních důvodů se tato VLAN nedoporučuje používat. •
Podle portu – kdy port switche je ručně a napevno zařazen (nakonfigurován) do určité VLAN. Veškerá komunikace, která přichází přes tento port, spadá do zadané VLAN. To znamená, že pokud do portu připojíme další switch, tak všechny zařízení připojená k němu budou v jedné VLAN. Jedná se o nejrychlejší a nejpoužívanější řešení. Není třeba nic vyhodnocovat pro zařazení do VLAN. Definice zařazení do VLAN je lokální na každém switchi. Jednoduše se spravuje a je přehledné.
•
Podle MAC adresy – Rámce(port) se zařadí do VLAN podle zdrojové MAC adresy. Musíme tedy spravovat tabulku se seznamem MAC adres pro každé zařízení spolu s VLAN. Výhodou je, že se jedná o dynamické zařazení, takže pokud přepojíme zařízení do jiného portu, automaticky se zařadí do správné VLAN. Switch musí vyhledávat v tabulce MAC adres.
•
Podle protokolu – Tato metoda určuje zařazení podle protokolu přenášeného paketu. Například oddělíme IP provoz od AppleTalk. Nebo zařazujeme podle IP adresy či rozsahu. V praxi není příliš rozšířené. Zařízení musí mít napevno definovanou IP adresu a switch se musí dívat do třetí vrstvy (normálně funguje na druhé), znamená to zpomalení.
Nastavování VLAN VLAN se běžně identifikují pomocí čísla, takže máme například VLAN 10. Pro jednodušší zapamatování a orientaci se k nim ještě přiřazují jména. Ta musí pro správnou komunikaci na každém ze switchů totožná. Možný číselný rozsah znázorňuje následující tabulka.
VLAN 0 a 4095 1 2-1001 1002-1005 1006-4094
popis reservované pro systémové použití defaultní VLAN, standardně obsahuje všechny porty, nedá se smazat bežný rozsah pro ethernetové VLAN speciální defaultní VLAN pro Token Ring a FDDI, nedají se smazat rozšířené VLAN pro ethernet, nejsou vždy podporovány
Příkazy pro zobrazení informaci – show příkazy: SWITCH#show vlan // stručné info o VLAN a zařazení portů SWITCH#show interface vlan 10 // informace o VLAN 10 SWITCH#show running-config vlan // informace o VLAN z běžící konfigurace SWITCH#show interfaces f0/1 switchport portu spolu s VLAN
// informace o
Střední Průmyslová Škola Třebíč
Stránka 3
12. VLAN, inter-VLAN routing, VTP
SWITCH#show interfaces trunk // info o truncích
Následujícími příkazy se vytváří jednotlivé VLAN: •
Novou VLAN vytvoříme následujícím příkazem, pokud již VLAN existuje, tak se přepneme do její konfigurace. SWITCH(config)#vlan 10
•
// vytvoření VLAN 10
Nyní jsme v konfiguraci VLAN a můžeme nastavit několik parametrů, dobré je nastavit jméno VLAN pro snadnější orientaci. SWITCH(config-vlan)#name net1
•
Změny se uloží při opuštění konfigurace. SWITCH(config-vlan)#exit
•
// pojmenování VLAN
// o úroveň výš
Zrušit VLAN můžeme standardně. Při zrušení VLAN však nedojde k odstranění vazeb, které na ni existují (jako zařazení portů do VLAN). SWITCH(config)#no vlan 10
// smazání VLAN 10
Přiřadit port ke konkrétní VLAN nám umožní následujícími příkazy: SWITCH(config)#interface f0/1 // přepnutí do konfigurace portu SWITCH(config-if)#switchport mode access // nastavení portu do přístupového módu SWITCH(config-if)#switchport access vlan 10 // zařazení do VLAN 10
Nastavení portu do trunk modu:
Střední Průmyslová Škola Třebíč
Stránka 4
12. VLAN, inter-VLAN routing, VTP
VLAN bez použití trunku 1
•
VLAN s trunkem 1
Jednotlivé VLAN fungují naprosto odděleně, proto je pro propojení jednotlivých switchů třeba užít stejný počet kabelů jaký je počet VLAN v konfiguraci. Tím máme pro každou VLAN vyhrazenu šířku pásma pro komunikaci, avšak při větším počtu VLAN přicházíme o volné porty na switchy. Zároveň v případech s nízkým provozem používáme zbytečný počet předimenzovaných kabelů. Z tohoto důvodu se dá port nastavit jako trunk port, skrze něj pak probíhá veškerá komunikace VLAN do něj přiřazených. Při jeho použití ušetříme porty na switchy, avšak probíhající komunikace všech VLAN na něj připojených se dělí o jeho datovou propustnost. Následující konfigurace musí být nastavena na obou portech do kterých je připojen trunk kabel. SWITCH(config)#interface f0/1 //přepnutí na správný port SWITCH(config-if)#shutdown //doporučeno port
nejprve vypnout
SWITCH(config-if)#switchport trunk encapsulation dot1q //zvolím metodu označování SWITCH(config-if)#switchport trunk allowed vlan 2-200 //které VLAN se přenáší SWITCH(config-if)#switchport trunk native vlan 10 //určení nativní VLAN
Střední Průmyslová Škola Třebíč
Stránka 5
12. VLAN, inter-VLAN routing, VTP
SWITCH(config-if)#switchport mode trunk //nastavení portu do TRUNK modu SWITCH(config-if)#no shutdown //nahození portu
VTP - VLAN Trunking Protocol Většinou chceme, aby vytvořené VLAN existovaly v celé síti (nebo v určité části, ale ne pouze na jednom switchi). Pro přenášení dat v těchto VLAN mezi switchi se využívají trunky. Aby se však dalo s těmito VLAN pracovat, tak musí být vytvořeny na každém switchi. Při menším počtu switchů (a pokud chceme větší dohled), tyto VLAN na každém switchi nakonfigurujeme ručně (většinou to není tolik práce). Musíme však pamatovat při vytvoření nové VLAN ji opět všude nakonfigurovat. Při ruční konfiguraci si však musíme dát pozor na totožné nastavení jednotlivých VLAN. Druhou možností je využití VLAN Trunking Protocol (VTP), což je L2 protokol, který slouží k přenášení informací o VLAN mezi switchy. VTP spravuje přidávání, mazání a přejmenování VLAN uvnitř VTP domény. VTP doména je tvořena jedním nebo více síťovými zařízeními, která mají nastaveno stejné jméno domény a jsou propojeny pomocí trunku. Princip je takový, že každý switch ve VTP doméně má nastavený jeden ze tří módů • • •
server - může vytvářet a mazat VLAN, rozesílá informace ve VTP doméně klient - pouze přijímá konfiguraci ze serveru, udržuje lokální kopii, kterou nelze měnit transparentní - ignoruje VTP, pracuje samostatně, může vytvářet i mazat VLAN, ale změny jsou lokální, může přeposílat VTP advertisements
Server pak rozesílá (přes trunky) VTP advertisements každých 5 minut nebo při změně v konfiguraci. Server udržuje konfigurační revizní číslo (configuration revision number), které při každé změně zvýší o jedna. Klient pak při synchronizaci porovnává svoje a přijaté číslo. Nejprve musíme vytvořit VTP doménu, těch může existovat více a informace se předávají pouze v rámci domény. VTP advertisements neprochází přes router. Nastavení VTP: •
Můžeme nastavit heslo, které musí být na všech switchích v doméně shodné. Heslo není uloženo v running-config. Není povinné heslo nastavovat. Existuje i několik dalších nastavení, například nastavení verze VTP (1 nebo 2), kdy všechny switche v doméně musí mít stejnou verzi. Můžeme také povolit pruning. V tom případě se rozesílají VTP rámce pouze do trunků, kde to má význam. Tedy pro ty VLAN, které jsou v trunku konfigurovány. Bez pruningu se posílá informace po všech truncích. SWITCH(config)#vtp domain domena1 SWITCH(config)#vtp password heslo
Střední Průmyslová Škola Třebíč
Stránka 6
12. VLAN, inter-VLAN routing, VTP
SWITCH(config)#vtp mode server //možnosti server, client, transparent SWITCH(config)#vtp pruning SWITCH#show vtp status VTP na switchi
// základní info o běhu
SWITCH#show vtp counters přenosů
// statistika VTP
Směrování mezi VLAN VLAN se chovají jako klasické fyzické sítě, pro směrování mezi nimi tedy potřebujeme mít každou síť zapojenou do routeru. Jednotlivé VLAN tedy zapojíme do routeru, ten si je zapíše do směrovací tabulky (udělá to sám, protože se jedná o přímo připojené sítě) a směruje. Problém nastává v případě zapojení trunk portu do routeru. Každá síť potřebuje mít výchozí bránu pro odesílání paketu, čili nastavenou IP adresu na vstupním portu routeru. Jedná se ale o jednotlivé VLAN, takže neexistuje IP adresa vyskytující se ve dvou zároveň. Z tohoto důvodu máme možnost port rozdělit na takzvané subinterface a každé z nich nastavit příslušnou IP adresu. Dalo by se říct, že subinterface je interface s indexem např. F0/0.1, F0/0.2. Nastavení je vcelku jednoduše ukázáno následujícím příkladem: ROUTER(config)#interface fastethernet 0/1.1 //port s indexem ROUTER(config-if)#encapsulation dot1q 123 // přiřazení subinterface VLAN123 ROUTER(config-if)#ip address 192.168.20.1 255.255.255.0 // nastavení IP adresy
Střední Průmyslová Škola Třebíč
Stránka 7
