Wirtualne sieci LAN VLAN Opracowanio na podstawie materiałów kursu CCNA Wirtualne sieci LAN VLAN
Wprowadzenie Sieć VLAN jest logiczną grupą stacji i urządzeń sieciowych. Sieci VLAN można tworzyć na podstawie stanowisk lub departamentów w firmie, niezależnie od miejsca, w którym fizycznie znajdują się użytkownicy. Urządzenia w sieci VLAN komunikują się tylko z urządzeniami znajdującymi się w tej samej sieci VLAN. Połączenie między sieciami VLAN zapewniają routery.
Definicja wg. miesięcznika NetWorld Wprowadzenie Definicja wg. miesięcznika NetWorld Wirtualne sieci LAN – umożliwiają wirtualne grupowanie stanowisk pracy, niezależnie od tego, gdzie fizycznie znajdują się w sieci. Administrator sieci może fizycznie podzielić całą sieć na elementy logiczne, nie zważając na to, w jakim segmencie sieci są zlokalizowane różne stanowiska pracy. Technologia sieci VLAN jest pomocna przy wprowadzaniu różnego rodzaju zmian, takich jak definiowanie nowych stanowisk pracy, usuwanie ich z sieci, kontrolowanie pakietów rozgłoszeniowych, itp. Bardzo istotną zaletą tych sieci jest to, że administrator może grupować serwery w jednym miejscu. Ułatwia to znakomicie zadanie zarządzania tymi serwerami, świadczącymi swe usługi wielu grupom roboczym, z których każda reprezentuje wirtualną sieć LAN.
Po co to??? Sieci VLAN mogą zwiększyć skalowalność i bezpieczeństwo sieci oraz usprawnić zarządzanie nią. Routery w sieciach VLAN filtrują ruch rozgłoszeniowy, zapewniają bezpieczeństwo i poprawiają wydajność sieci. Bez sieci VLAN trudno jest przenieść użytkownika z jednego biura do drugiego. Może to wymagać ponownej konfiguracji routera, wprowadzenia zmian w kablach połączeniowych oraz ponownej konfiguracji adresu IP na hoście. Natomiast host podłączony do przełącznika umożliwiającego obsługę sieci VLAN pozostaje po prostu w tej samej sieci VLAN, domenie rozgłoszeniowej lub podsieci.
Sieci VLAN a sieci fizyczne Sieć VLAN jest logiczną grupą stacji, usług i urządzeń sieciowych, które nie są ograniczone fizycznym segmentem sieci LAN.
Struktura fizyczna i logiczna
Jeden router – trzy domeny rozgłoszeniowe Sieć VLAN jest logiczną grup stacji, usług i urządzeń sieciowych, które nie są ograniczone fizycznym segmentem sieci LAN.
Można wyróżnić dwa rodzaje sieci VLAN: Statyczne Dynamiczne
Statyczne sieci VLAN Statyczne sieci VLAN noszą nazwę sieci członkowskich VLAN opartych na portach (ang. port-centric). W momencie, gdy urządzenie jest dołączane do sieci, automatycznie przyjmuje ono członkostwo w sieci VLAN tego portu, do którego zostało podłączone.
Dynamiczne sieci VLAN Do tworzenia dynamicznych sieci VLAN służy oprogramowanie CiscoWorks for Switched Internetworks.
Określanie przynależności do sieci VLAN - sieci VLAN oparte na portach (statyczne); - sieci VLAN oparte na adresach MAC; - sieci VLAN oparte na protokołach.
Konfigurowanie statycznych sieci VLAN maksymalna liczba sieci VLAN zależy od przełącznika; VLAN 1 jedną z domyślnie zainstalowanych fabrycznie sieci VLAN jest VLAN1; domyślną siecią VLAN Ethernet jest VLAN1; rozgłaszanie protokołów: CDP (ang. Cisco Discovery Protocol) odbywa się przez sieć VLAN 1; adres IP przełącznika domyślnie znajduje się w domenie rozgłoszeniowej sieci VLAN1;
Łącza trunkingowe Na wczesnym etapie rozwoju technologii sieci VLAN ich wdrażanie w obrębie całej sieci sprawiało duże trudności. Każdą należało skonfigurować ręcznie na wszystkich przełącznikach. Zarządzanie sieciami VLAN w dużych, rozbudowanych sieciach było bardzo skomplikowane. Dodatkowym utrudnieniem była niespójność funkcji obsługi sieci VLAN w przełącznikach oferowanych przez różnych producentów. Aby rozwiązać te problemy, opracowano technologię trunkingu sieci VLAN. Tworzenie łączy trunkingowych w sieci VLAN umożliwia konfigurowanie wielu sieci VLAN w obrębie jednej sieci fizycznej przez dodawanie do ramek specjalnych znaczników wskazujących, do której sieci VLAN należy dana ramka.
Łącza trunkingowe W technologii radiowej łącze trunkingowe to pojedyncza linia komunikacyjna, w której istnieje wiele kanałów przenoszących sygnały radiowe. Łącze trunkingowe to fizyczne i logiczne połączenie między dwoma przełącznikami, po którym odbywa się ruch w sieci.
Łącza trunkingowe Problemem jest rozróżnienie, które ramki należą do których VLAN we wspólnym łączu? Realizowane jest to za pomocą odpowiedniego znakowania ramek lub filtrowania ramek. Filtrowanie ramek
Łącza trunkingowe – znakowanie ramek Protokoły łączy trunkingowych, które wykorzystują znakowanie ramek, charakteryzują się szybszym przesyłaniem ramek i są łatwiejsze w zarządzaniu. Każda ramka wysyłana za pośrednictwem łącza jest znakowana informacjami o sieci VLAN, do której należy
Stosowanie VLAN wymaga odpowiedniego znakowania (modyfikacji) ramek. Znakowanie ramek Stosowanie VLAN wymaga odpowiedniego znakowania (modyfikacji) ramek.
Łącza trunkingowe – znakowanie ramek Istnieją różne schematy znakowania. Dwa najpopularniejsze schematy wykorzystywane w segmentach sieci Ethernet to ISL i 802.1Q: - ISL — protokół firmy Cisco - 802.1Q — standardowy protokół IEEE
Protokół VTP Protokół VTP (ang. VLAN Trunking Protocol) zapewnia obsługę dynamicznego informowania o dodaniu, usunięciu i zmianie nazwy sieci VLAN w całej strukturze przełącznika. Protokół VTP został opracowany przez firmę Cisco w celu rozwiązania problemów operacyjnych w przełączanych sieciach, w których skonfigurowano sieci VLAN. Jest to protokół firmy Cisco. Zalety VTP:
Protokół VTP działa z wykorzystaniem pojęcia tzw. domeny VTP VTP to protokół komunikacyjny, który umożliwia dodawanie, usuwanie i zmianę nazwy sieci VLAN, używając do tego ramek łączy trunkingowych warstwy 2. Pozwala on na scentralizowane wprowadzanie zmian, o których informacje są rozsyłane do wszystkich pozostałych przełączników w sieci. Komunikaty protokołu VTP są umieszczane w ramkach własnego protokołu Cisco — ISL lub protokołu IEEE 802.1Q, a następnie przekazywane za pośrednictwem łączy trunkingowych do kolejnych urządzeń. Protokół VTP działa z wykorzystaniem pojęcia tzw. domeny VTP Domena VTP składa się z jednego lub więcej połączonych ze sobą urządzeń, które mają wspólną nazwę domeny VTP. Dany przełącznik może należeć tylko do jednej domeny VTP.
Protokół VTP W przypadku zainstalowania protokołu VTP, każdy przełącznik ogłasza na swoich portach łącza trunkingowego informacje o swojej domenie zarządzania, numer wersji konfiguracji, informacje o znanych sobie sieciach VLAN oraz niektóre parametry tych sieci. Ramki ogłoszeń są wysyłane na adres grupowy, tak aby mogły dotrzeć do wszystkich sąsiednich urządzeń. Wszystkie urządzenia należące do tej samej domeny zarządzania dowiadują się o wszystkich nowych sieciach VLAN skonfigurowanych na urządzeniu wysyłającym. Nową sieć VLAN należy utworzyć i skonfigurować tylko na jednym urządzeniu znajdującym się w domenie zarządzania. Wszystkie pozostałe urządzenia w domenie automatycznie uzyskają te informacje.
Protokół VTP Przełączniki obsługujące VTP mogą pracować w jednym z trzech trybów: tryb serwera, tryb klienta, tryb przezroczysty. Serwery VTP mogą tworzyć, modyfikować i usuwać sieci VLAN i ich parametry konfiguracyjne dla całej domeny. Serwery VTP zapisują informacje o konfiguracji sieci VLAN w pamięci NVRAM przełącznika. Serwery wysyłają komunikaty protokołu VTP na wszystkich portach łącza trunkingowego. Klienci VTP nie mogą tworzyć, modyfikować ani usuwać informacji o sieciach VLAN. Jedynym zadaniem klientów VTP jest przetwarzanie zmian dotyczących sieci VLAN i wysyłanie komunikatów VTP na wszystkich portach łącza trunkingowego. Przełączniki w trybie przezroczystym protokołu VTP przekazują ogłoszenia tego protokołu, ale ignorują informacje zawarte w komunikatach.
Protokół VTP Istnieją trzy rodzaje komunikatów protokołu VTP: * żądania ogłoszeń, * ogłoszenia skonsolidowane, * ogłoszenia szczegółowe. Za pomocą żądań ogłoszeń klienci wysyłają żądania podania informacji o sieciach VLAN. Serwer odpowiada ogłoszeniami skonsolidowanymi i szczegółowymi. Wysyłanie ogłoszeń szczegółowych może być wyzwalane przez następujące czynności: - usunięcie lub dodanie sieci VLAN, - zawieszenie lub aktywacja sieci VLAN, - zmiana nazwy sieci VLAN, - zmiana maksymalnej jednostki transmisyjnej MTU dla sieci VLAN.
Konfiguracja protokołu VTP Aby skonfigurować wersję protokołu VTP na przełączniku Cisco z systemem IOS najpierw należy przejść do trybu bazy danych sieci VLAN: Switch#vlan database Switch(vlan)#vtp v2-mode Jeśli przełącznik jest pierwszym przełącznikiem w sieci, należy utworzyć domenę zarządzania: Switch(vlan)#vtp domain cisco Należy wybrać dla przełącznika jeden z trzech dostępnych trybów protokołu VTP: Switch(vlan)#vtp {client | server | transparent} Można też użyć polecenia show vtp status. Polecenie to służy do weryfikowania ustawień konfiguracyjnych protokołu VTP
Polecenie show vtp status
PROBLEMY ---VTP--- Istniejąca domena VTP działa bardzo dobrze Dodaję nowy przełącznik Wszystkie istniejące VLAN-y zostały skasowane
Pracująca domena VTP VLAN 1 VLAN 2 VLAN 3 VLAN 4 VTP Rev 4 VTP Rev 4
Nowy przełącznik z większym numerem wersji VTP VTP Rev 7 VTP Rev 4 VLAN 1 VLAN 2 VLAN 3 VLAN 4 VTP Rev 4 VTP Rev 4
VLAN-y zniknęły, porty nieaktywne VTP VTP Rev 7 VTP Rev 7 VTP Rev 4 VLAN 1 VLAN 2 Bad News! VLAN 3 VLAN 4 VTP Rev 4 VTP Rev 4 VTP Rev 7
VTP Numer rewizji (`revision number`) jest zwiększany za każdym razem gdy VLAN jest dodawany lub odejmowany (polecenie set vlan i clear vlan) Numer rewizji musi być zsynchronizowany w całej sieci VLAN-y nieznane serwerowi VTP o najwyższym numerze rewizji zostaną skasowane
VTP Używaj polecenia show vtp domain wcześnie i często Switch> show vtp domain Domain VTP Local Domain Name Index Version Mode Password -------------------- ------------ ----------- ----------- ---------- mydomain 1 2 server - Vlan-count Max-vlan-storage Config Revision Notifications ---------- ---------------- --------------- ------------- 15 1023 5 4 Last Updater V2 Mode Pruning PruneEligible on Vlans --------------- ------- -------- ------------------------- 172.20.44.30 enabled disabled 2-1000
VTP Katastrofa związana z VTP może być wynikiem zastosowania serwera lub klienta Ustawienie odpowedniego numeru rewizji w nowym przełączniku to albo ‘reboot’, albo ustawienie nazwy domeny VTP na coś, co nie istnieje, a potem poprawienie na nazwę rzeczywistą Zawsze zresetuj rewizję VTP przed instalacją go w sieci
Funkcja VTP Pruning Dostępna w wersji 2.3(1) i wyższej `VTP pruning` powoduje że ruch typu `broadcasts` i `multicasts` nie będzie przepuszczany przez trank jeżeli żaden adres MAC nie jest obecny po drugiej stronie tranku Oszczędność pasma na trankach ale VLAN-y cały czas są dostępne na trankach
PROBLEMY --- Porty Trunk--- Trunk jest połączeniem między dwoma urządzeniami, na którym jest zdefiniowany wiecej niż jeden VLAN ISL — Inter-Switch Link IEEE 802.10 — Używany na FDDI IEEE 802.1q — Używany na portach Gigabit i Fast Ethernet
Połączenie trankowe nie chce się uformować Fabryczne ustawienie tranków to tryb auto Switch> (enable) show cdp neighbors detail Device-ID: 066505512 Device Addresses: IP Address: 10.6.1.234 Holdtime: 152 sec Capabilities: TRANSPARENT_BRIDGE SR_BRIDGE SWITCH Version: WS-C5505 Software, Version McpSW: 3.2(6) NmpSW: 3.2(6) Copyright (c) 1995-1999 by Cisco Systems Platform: WS-C5505 Port-ID (Port on Device): 1/1 Port (Our Port): 1/1 Switch> (enable) show trunk No ports trunking.
Pięć trybów ustawienia portu typu traunk Port off nie bedzie trunkiem Port auto będzie negocjował, ale woli nie być trunkiem Port desirable będzie negocjował, ale woli być trunkiem Port on będzie trunkiem i odpowie na protokół DTP
Trunki Port nonegotiate będzie trunkiem i nie odpowie na protokół DTP nonegotiate jest ustawieniem tymczasowym na wypadek problemu lub gdy urządzenie po drugiej stronie nie rozumie DTP
Trunki Rekomendacja: desirable po ważniejszej stronie auto po mniej ważnej stronie On do on też jest dobre gdy port musi być trunkiem
Nie działający trunk Po obu stronach on a trunk wciąż nie działa Problem z “native VLAN” Switch> (enable) set trunk 1/1 on 1-1005 dot1q Adding vlans 1-1005 to allowed list. Please use the 'clear trunk' command to remove vlans from allowed list. Port(s) 1/1 allowed vlans modified to 1-1005. Port(s) 1/1 trunk mode set to on. Port(s) 1/1 trunk type set to dot1q. lt-5500e (enable) 2000 Jul 15 06:42:02 %DTP-5-TRUNKPORTON:Port 1/1 has become dot1q trunk 2000 Jul 15 06:42:02 %DTP-5-TRUNKPORTON:Port 1/2 has become dot1q trunk 2000 Jul 15 06:42:04 %SPANTREE-2-RX_1QPVIDERR: Rcved pvid_inc BPDU on 1Q port 1/2 vlan 1. 2000 Jul 15 06:42:04 %SPANTREE-2-TX_BLKPORTPVID: Block 1/2 on xmtting vlan 5 for inc peer vlan. 2000 Jul 15 06:42:04 %SPANTREE-2-RX_BLKPORTPVID: Block 1/2 on rcving vlan 1 for inc peer vlan 5. 2000 Jul 15 06:42:05 %SPANTREE-2-RX_1QPVIDERR: Rcved pvid_inc BPDU on 1Q port 1/1 vlan 5. 2000 Jul 15 06:42:05 %SPANTREE-2-TX_BLKPORTPVID: Block 1/1 on xmtting vlan 1 for inc peer vlan. 2000 Jul 15 06:42:05 %SPANTREE-2-RX_BLKPORTPVID: Block 1/1 on rcving vlan 5 for inc peer vlan 1.
“Native VLAN” “Native VLAN” to VLAN do którego port byłby przypisany, gdyby nie był trunkiem 802.1q, ramki należące do “native VLAN” nie mają nagłówka 802.1q “Native VLAN” musi być taki sam na obu końcach tranku
Problem z trunkiem Trunk działa, ale stacje z tego samego VLAN-u przyłączone do róznych przełączników nie komunikują się VLAN-y zostały ręcznie skasowane na połączeniu trunkowym
Trunki Polecenie `Show trunk` Switch> (enable) sh trunk * - indicates vtp domain mismatch Port Mode Encapsulation Status Native vlan -------- ----------- ------------- ------------ ----------- 2/1 auto isl trunking 1 Port Vlans allowed on trunk -------- --------------------------------------------------------------------- 2/1 1-1005 Port Vlans allowed and active in management domain 2/1 1-2 Port Vlans in Spanning Tree forwarding state and not pruned -------- ---------------------------------------------------------------------
Trunking Wszystkie VLAN-y (1–1005) powinny działać zgodnie z konfiguracją fabryczną Możemy to zmienić używając poleceń set trunk i clear trunk
DTP Dynamiczna negocjacja rodzaju tranku Oprogramowanie 4.2(1) lub wyższe Wspiera on, off, auto, desirable DTP Want to trunk? 802.1q or ISL? I am ISL - auto.
Trunki i Spanning Tree W trankach typu ISL jest jedna instancja Spanning Tree na jeden VLAN IEEE 802.1q jedna instancja Spanning Tree dla wszystkich VLAN-ów Cisco oferuje funkcję PVST+ (per-VLAN Spanning Tree) dla 802.1q (jedna instancja na jeden VLAN)