Wprowadzenie do sieci VLAN
Istotną cechą przełączania w sieciach Ethernet jest możliwość tworzenia wirtualnych sieci LAN (VLAN). Sieć VLAN jest logiczną grupą stacji i urządzeń sieciowych. Sieci VLAN można tworzyć na podstawie stanowisk lub departamentów w firmie, niezależnie od miejsca, w którym fizycznie znajdują się użytkownicy. Ruch między sieciami VLAN jest ograniczony. Przełączniki i mosty przekazują ruch transmisji pojedynczej (unicast), rozsy-łania grupowego oraz rozgłaszania tylko w tych segmentach LAN, które obsługują sieć VLAN, do której ruch ten należy. Innymi słowy, urządzenia w sieci VLAN komunikują się tylko z urządzeniami znajdującymi się w tej samej sieci VLAN. Połączenie między sieciami VLAN zapewniają routery.
Sieci VLAN zwiększają ogólną wydajność sieci poprzez logiczne grupowanie użytkowników i zasobów. Firmy często używają sieci VLAN w celu logicznego grupowania określonych użytkowników niezależnie od ich fizycznego rozmieszczenia. Za pomocą sieci VLAN można pogrupować użytkowników pracujących w jed-nym departamencie. Na przykład pracownicy Dziekanatu są umieszczani w sieci VLAN Dziekanat, a pracow-nicy Rektoratu – w sieci VLAN Rektorat.
Sieci VLAN mogą zwiększyć skalowalność i bezpieczeństwo sieci oraz usprawnić zarządzanie nią. Ro-utery w sieciach VLAN filtrują ruch rozgłoszeniowy, zapewniają bezpieczeństwo i służą do zarządzania prze-pływem.
Właściwie zaprojektowane i skonfigurowane sieci VLAN stanowią bogate w możliwości narzędzie dla administratorów sieci. Sieci VLAN upraszczają dodawanie, przenoszenie i modyfikacje w sieciach. Zwięk-szają także bezpieczeństwo sieci i pomagają sterować rozgłaszaniem w warstwie 3. Jednakże niepoprawnie skonfigurowana sieć VLAN może zaburzyć funkcjonowanie sieci lub całkowicie je uniemożliwić. Prawidłowa konfiguracja i implementacja sieci VLAN jest kluczowym elementem procesu projektowania sieci.
Bez sieci VLAN – jeden budynek
Rysunek 60.
Aby uświadomić sobie, dlaczego sieci VLAN są dzisiaj powszechnie używane, rozważmy uczelnię wyższą z akademikiem i biurami wydziałów mieszczącymi się w jednym budynku. Na rysunku 60 pokazano kompu-tery studenckie w jednej sieci LAN (AKADEMIK) i kompukompu-tery wydziałowe w drugiej sieci LAN (WYDZIAŁ). Roz-wiązanie to dobrze się sprawdza, ponieważ poszczególne wydziały są fizycznie skupione, a zatem łatwo jest zapewnić im niezbędne zasoby sieciowe.
Bez sieci VLAN – trzy budynki
Rysunek 61.
Przykład połączeń sieciowych w trzech budynkach – bez VLAN
Po jakimś czasie uczelnia wyższa rozrosła się i aktualnie ma już trzy budynki. Na rysunku 61 widzimy, że pier-wotna sieć nie uległa zmianie, lecz komputery studenckie i wydziałowe są rozproszone między trzy budynki. Zakład Systemów Teleinformatycznych chce jednak, aby wszystkie komputery studenckie korzystały z tych samych mechanizmów zabezpieczających i kontrolujących wykorzystanie szerokości pasma. Wygodne było-by zgrupowanie ludzi wraz z wykorzystywanymi przez nich zasobami bez względu na ich lokalizację, co uła-twiłoby zarządzanie ich specyficznymi wymaganiami w kwestii bezpieczeństwa i szerokości pasma.
Sieci VLAN – trzy budynki
Rysunek 62.
Optymalnym rozwiązaniem uprzednio zdefiniowanego problemu dla uczelni wyższej jest skorzystanie z tech-nologii lokalnej sieci wirtualnej (VLAN). Technologia VLAN umożliwia administratorowi sieci tworzenie grupy urządzeń połączonych logicznie, które działają tak, jakby znajdowały się w swojej niezależnej sieci, nawet je-śli współdzielą infrastrukturę z innymi sieciami VLAN. Na rysunku 62 przedstawiono jedną sieć VLAN utworzo-ną dla studentów i drugą sieć VLAN utworzoutworzo-ną dla wydziału. Sieci te umożliwiają administratorowi zaimple-mentowanie zasad kontroli dostępu i bezpieczeństwa obowiązujących dla konkretnych grup użytkowników. Działanie sieci VLAN
Rysunek 63.
Przykładowy scenariusz połączeń pomiędzy sieciami VLAN
Sieć VLAN jest oparta na sieci przełączanej, która została logicznie posegmentowana. Do sieci VLAN można przy-pisać każdy z portów przełącznika. Porty przypisane do sieci VLAN odbierają i przekazują te same pakiety rozgło-szeniowe. Porty, które nie należą do tej sieci, nie przekazują tych pakietów. Zwiększa to wydajność sieci, ponieważ zmniejsza się ilość zbędnych pakietów rozgłoszeniowych. W momencie, gdy urządzenie jest dołączane do sieci, au-tomatycznie przyjmuje ono członkostwo w sieci VLAN tego portu, do którego zostało podłączone.
Użytkownicy przyłączeni do tego samego współużytkowanego segmentu wspólnie korzystają z prze-pustowości tego segmentu. Każdy dodatkowy użytkownik przyłączony do wspólnego nośnika oznacza mniej-szą przepustowość i spadek wydajności sieci. Sieci VLAN zapewniają użytkownikom więkmniej-szą przepustowość niż współużytkowane sieci Ethernet oparte na koncentratorach. Domyślną siecią VLAN dla każdego portu przełącznika jest sieć VLAN zarządzania. Siecią VLAN zarządzania jest zawsze sieć VLAN 1. Sieci tej nie moż-na usunąć. Aby móc zarządzać przełącznikiem, do sieci VLAN 1 musi być przypisany co moż-najmniej jeden port. Wszystkie inne porty przełącznika mogą być przypisane do innych sieci VLAN.
Sieci VLAN z członkostwem dynamicznym są tworzone przez oprogramowanie zarządzające siecią. Dy-namiczne sieci VLAN przyjmują członkostwo na podstawie adresu MAC urządzenia podłączonego do portu przełącznika. W momencie, gdy urządzenie jest podłączane do sieci, przełącznik, do którego jest ono podłą-czone, odpytuje bazę danych serwera konfiguracyjnego VLAN o członkostwo w sieci.
W członkostwie opartym na portach port jest przypisywany do konkretnej sieci VLAN niezależnie od użytkownika lub systemu podłączonego do portu. Gdy używana jest ta metoda członkostwa, wszyscy kownicy danego portu muszą być w tej samej sieci VLAN. Do portu może być podłączona dowolna liczba użyt-kowników, którzy nie zdają sobie sprawy, że sieć VLAN istnieje. Ułatwia to zarządzanie, ponieważ do seg-mentacji sieci VLAN nie są potrzebne złożone tablice wyszukiwania.
Zalety sieci VLAN
Sieci VLAN umożliwiają administratorom sieci logiczne, zamiast fizycznego, organizowanie struktury sieci LAN. Jest to kluczowa zaleta tych sieci. Dzięki temu administratorzy mogą wykonywać następujące zadania: 1. Łatwo przenosić stacje robocze w sieci LAN;
2. Łatwo dodawać stacje robocze do sieci LAN; 3. Łatwo zmieniać konfigurację sieci LAN; 4. Łatwo nadzorować ruch w sieci; 5. Zwiększyć bezpieczeństwo.
Konfiguracja sieci VLAN
Rysunek 64.
Przykładowa topologia sieciowa z zastosowaniem VLAN
Dla topologii przedstawionej na rysunku 64 skonfigurujemy sieci VLAN za pomocą następujących poleceń: Switch>enable − wejście w tryb uprzywilejowany
Switch#configure terminal − wejście w tryb konfiguracji globalnej
Switch(config)#hostname S1 − ustawienie nazwy przełącznika
S1(config)#vlan 10 − utworzenie sieci VLAN 10 i wejście w tryb konfiguracji VLAN
S1(config-vlan)#name DZIEKANAT − przypisanie nazwy sieci VLAN
vlan)#exit-vlan)#exit − powrót do trybu konfiguracji globalnej
S1(config)#vlan 20 − utworzenie sieci VLAN 20 i wejście w tryb konfiguracji VLAN
S1(config-vlan)#name LOGISTYKA − przypisanie nazwy sieci VLAN
S1(config-vlan)#exit − powrót do trybu konfiguracji globalnej
S1(config)#vlan 30 − utworzenie sieci VLAN 30 i wejście w tryb konfiguracji VLAN
S1(config-vlan)#name FINANSE − przypisanie nazwy sieci VLAN
S1(config-vlan)#exit − powrót do trybu konfiguracji globalnej
S1(config)#interface range fastethernet 0/1 – 8 − umożliwienie jednoczesnego ustawienia takich samych parametrów konfiguracji na wielu portach
S1(config-if-range)#switchport mode access − ustawienie portów 1–8 jako porty dostępowe
S1(config-if-range)#switchport access vlan 10 − przypisanie portów 1–8 do VLAN 10
S1(config-if-range)#exit − powrót do trybu konfiguracji globalnej
S1(config)#interface range fastethernet 0/9 – 15− umożliwienie jednoczesnego ustawienia takich samych parametrów konfiguracji na wielu portach
S1(config-if-range)#switchport mode access − ustawienie portów 9–15 jako porty dostępowe
S1(config-if-range)#switchport access vlan 20 − przypisanie portów 9–15 do VLAN 20
S1(config-if- range)#exit − powrót do trybu konfiguracji globalnej
S1(config)#interface range fastethernet 0/16 – 24− umożliwienie jednoczesnego ustawienia takich samych parametrów konfiguracji na wielu portach
S1(config-if-range)#switchport mode access − ustawienie portów 16–24 jako porty dostępowe
S1(config-if-range)#switchport access vlan 30 − przypisanie portów 16–24 do VLAN 30
S1(config-if-range)#exit − powrót do trybu konfiguracji globalnej
S1(config)#exit − powrót do trybu uprzywilejowanego
S1#copy running-config startup-config − zapisanie konfiguracji w pamięci NVRAM
LITERATURA
1. Empson S., Akademia sieci Cisco. CCNA Pełny przegląd poleceń, WN PWN, Warszawa 2008 2. Krysiak K., Sieci komputerowe. Kompendium, Helion, Gliwice 2005
3. Lewis W., Akademia sieci Cisco. CCNA Exploration. Przełączanie sieci LAN i sieci bezprzewodowe, WN PWN, Warszawa 2009
4. Lewis W., CCNA semestr 3. Podstawy przełączania oraz routing pośredni, WN PWN, Warszawa 2007 5. Mucha M., Sieci komputerowe. Budowa i działanie, Helion, Gliwice 2003
WARSZTATY
Ćwiczenie 1. Stworzenie interaktywnego modelu sieciowego z wykorzystaniem oprogramowania Pac-ket Tracer (firmy Cisco Systems).
Rysunek 65.
Model topologii sieci
Ćwiczenie 2. Podłączenie stacji zarządzającej.
Rysunek 66.
Konfiguracja terminala do połączenia z portem konsolowym Ćwiczenie 3. Konfiguracja portu konsolowego.
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#line console 0
Switch(config-line)#password test Switch(config-line)#login
Switch(config-line)#^Z
Tabela 1.
Tabela adresacji sieci
Urządzenie Interfejs Adres Maska Brama domyślna
Router1 Fa0/0 192.168.50.1 255.255.255.0 N/A Fa0/1.10 192.168.10.1 255.255.255.0 N/A Fa0/1.20 192.168.20.1 255.255.255.0 N/A Fa0/1.30 192.168.30.1 255.255.255.0 N/A Fa0/1.99 192.168.99.1 255.255.255.0 N/A Switch1 VLAN 99 192.168.99.31 255.255.255.0 192.168.99.1 Switch2 VLAN 99 192.168.99.32 255.255.255.0 192.168.99.1 Switch3 VLAN 99 192.168.99.33 255.255.255.0 192.168.99.1 PC1 NIC 192.168.10.21 255.255.255.0 192.168.10.1 PC2 NIC 192.168.20.22 255.255.255.0 192.168.20.1 PC3 NIC 192.168.30.23 255.255.255.0 192.168.30.1 PC4 NIC 192.168.10.24 255.255.255.0 192.168.10.1 PC5 NIC 192.168.20.25 255.255.255.0 192.168.20.1 PC6 NIC 192.168.30.26 255.255.255.0 192.168.30.1
Ćwiczenie 4. Konfiguracja przełącznika. Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface vlan 99
Switch(config-if )#ip address 192.168.99.33 255.255.255.0 Switch(config-if )#no shutdown
Switch(config-if )#end
%SYS-5-CONFIG_I: Configured from console by console Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fastethernet 0/6
Switch(config-if )#switchport mode access Switch(config-if )#switchport acces vlan 99
%LINK-5-CHANGED: Interface Vlan99, changed state to up% Access VLAN does not exist. Creating vlan 99 %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to upSwitch(config-if ) Switch(config)#ip default-gateway 192.168.99.1
Switch(config)#end
%SYS-5-CONFIG_I: Configured from console by console witch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#enable secret class
Switch(config)#line vty 0 15 Switch(config-line)#password test Switch(config-line)#^Z
Konfiguracja i weryfikacja działania sieci VLAN
Rysunek 67.
Schemat topologii sieci VLAN
Ćwiczenie 5. Utworzenie VLAN-ów. Switch(config)#vlan 10 Switch(config-vlan)#name Student Switch(config-vlan)#vlan 20 Switch(config-vlan)#name Wykladowca Switch(config-vlan)#vlan 30 Switch(config-vlan)#name Administracja Switch(config-vlan)#vlan 99 Switch(config-vlan)#name Zarzadzanie – przydzielenie portów do VLAN-ów Switch(config)#interface fastethernet 0/5 Switch(config-if )#switchport mode access Switch(config-if )#switchport access vlan 10 Switch(config-if )#interface fastethernet 0/10 Switch(config-if )#switchport mode access Switch(config-if )#switchport access vlan 20 Switch(config-if )#interface fastethernet 0/15 Switch(config-if )#switchport mode access Switch(config-if )#switchport access vlan 30 Switch(config-if )#^Z
Ćwiczenie 6. Konfiguracja trunk (łącza multipleksowanego). Switch(config)#interface fastethernet 0/1
Switch(config-if )#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Switch(config-if )#switchport trunk nativ
Switch(config-if )#switchport trunk native vlan 99 Switch(config-if )#interface fastethernet 0/3 Switch(config-if )#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if )#switchport trunk native vlan 99
Ćwiczenie 7. Weryfikacja działania sieci VLAN. PC3>ipconfig IP Address...: 192.168.30.26 Subnet Mask...: 255.255.255.0 Default Gateway...: 192.168.30.1 PC>ping 192.168.30.23 (do PC6)
Pinging 192.168.30.23 with 32 bytes of data:
Reply from 192.168.30.23: bytes=32 time=220ms TTL=128 Reply from 192.168.30.23: bytes=32 time=109ms TTL=128 Reply from 192.168.30.23: bytes=32 time=125ms TTL=128 Reply from 192.168.30.23: bytes=32 time=96ms TTL=128 Ping statistics for 192.168.30.23:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:
Minimum = 96ms, Maximum = 220ms, Average = 137ms Konfiguracja i weryfikacja działania protokołu VTP
VTP (ang. VLAN Trunking Protocol) – protokół komunikacyjny działający w warstwie drugiej modelu ISO/OSI, służący do zarządzania wieloma sieciami wirtualnymi na jednym, wspólnym łączu fizycznym. Pozwala on ad-ministratorowi na takie skonfigurowanie przełącznika, że może on rozsyłać konfigurację do innych przełącz-ników w sieci. Protokół VTP działa w jednym z trzech trybów:
■ tryb serwera – jest domyślnym trybem VTP. Jest możliwa edycja sieci VLAN, wersji VTP. Wszelkie zmiany są rozsyłane do innych urządzeń pracujących w sieci;
■ tryb transparentny – istnieje możliwość edycji sieci wirtualnych, ale zmiany mają wpływ tylko na lokalny przełącznik. Przełącznik przekazuje ogłoszenia VTP, ale ich nie tworzy, ani nie przetwarza;
■ tryb klienta – nie można edytować ustawień sieci VLAN. Informacje o sieciach VLAN są synchronizowane z innymi klientami i serwerami VTP.
Ćwiczenie 8. Konfiguracja serwera VTP. Switch3(config)#vtp domain kurs1
Changing VTP domain name from NULL to kurs1 Switch3(config)#vtp version 1
VTP mode already in V1. Konfiguracja klientów VTP: Switch1(config)#vtp mode client Setting device to VTP CLIENT mode Switch2(config)#vtp mode client Setting device to VTP CLIENT mode
Konfiguracja i weryfikacja działania protokołu STP
Protokół drzewa rozpinającego (ang. Spanning-Tree Protocol – STP) – jest to protokół wykorzystywany przez sieci kom-puterowe (np. LAN) w drugiej warstwie modelu sieciowego ISO/OSI. STP obsługiwany jest przez przełączniki i mostki sieciowe. Stworzony został dla zwiększenia niezawodności środowisk sieciowych, umożliwia on konfigurację tych urzą-dzeń w sposób zapobiegający powstawaniu pętli. Protokół ten tworzy graf bez pętli (drzewo) i ustala zapasowe łącza. W trakcie normalnej pracy sieci blokuje je tak, by nie przekazywały one żadnych danych. Wykorzystywana jest tylko jedna ścieżka, po której może odbywać się komunikacja. Na szczycie grafu znajduje się główny przełącznik tzw. (ang.
root), zarządzający siecią. Root’em zostaje przełącznik na podstawie identyfikatora. W momencie, gdy STP wykryje
problem, np. zerwany link, to rekonfiguruje sieć uaktywniając łącze zapasowe (potrzebuje na to ok. 30 do 60 sekund). Po ustabilizowaniu pracy sieci osiąga ona zbieżność i w każdej sieci istnieje jedno drzewo opinające. W wyniku tego we wszystkich sieciach przełączanych występują następujące elementy:
■ jeden most główny w każdej sieci,
■ jeden port główny w każdym moście oprócz mostu głównego,
■ jeden port wyznaczony w każdym segmencie,
■ porty nieużywane (takie, które nie zostały wyznaczone).
Porty przełącznika w topologii STP przyjmują pięć stanów od których zależy, w jaki sposób protokół MAC przetwarza i transmituje ramki:
■ port aktywny (ang. listening);
■ uczenie się adresów MAC (ang. learning);
■ przekazywanie ramek (ang. forwarding);
■ port zablokowany (ang. blocking);
■ odrzucanie ramek (ang. discarding).
Rysunek 68.
Schemat topologii sieci do badania działania protokołu STP Routing pomiędzy sieciami VLAN
Routing pomiędzy sieciami VLAN jest procesem przekazywania ruchu sieciowego z jednej sieci VLAN do innej z wykorzystaniem routera lub przełącznika warstwy 3.
Rysunek 69.
Ćwiczenie 9. Konfiguracja przełącznika. Switch1(config)#int f0/24
Switch1(config-if )#switchport mode trunk Switch1(config-if )#end
%SYS-5-CONFIG_I: Configured from console by console
%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up Konfiguracja routera:
Router1(config)#interface f0/0.10 (kreowanie subinterfejsów) Router1(config-subif )#encapsulation dot1Q 10
Router1(config-subif )#ip address 192.168.10.1 255.255.255.0 Router1(config-subif )#interface f0/0.20
Router1(config-subif )#encapsulation dot1Q 20
Router1(config-subif )#ip address 192.168.20.1 255.255.255.0 Router1(config-subif )#interface f0/0.30
Router1(config-subif )#encapsulation dot1Q 30
Router1(config-subif )#ip address 192.168.30.1 255.255.255.0 Router1(config-subif )#int f0/0
Router1(config-if )#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up %LINK-5-CHANGED: Interface FastEthernet0/0.10, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.10, changed state to up %LINK-5-CHANGED: Interface FastEthernet0/0.20, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.20, changed state to up %LINK-5-CHANGED: Interface FastEthernet0/0.30, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.30, changed state to up Ćwiczenie 10. Weryfikacja działania routingu pomiędzy sieciami VLAN.
PC>ipconfig
IP Address...: 192.168.10.21 Subnet Mask...: 255.255.255.0 Default Gateway...: 192.168.10.1 PC>ping 192.168.20.22
Pinging 192.168.20.22 with 32 bytes of data: Request timed out.
Reply from 192.168.20.22: bytes=32 time=250ms TTL=127 Reply from 192.168.20.22: bytes=32 time=218ms TTL=127 Reply from 192.168.20.22: bytes=32 time=234ms TTL=127 Ping statistics for 192.168.20.22:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:
Minimum = 218ms, Maximum = 250ms, Average = 234ms PC>tracert 192.168.20.22
Tracing route to 192.168.20.22 over a maximum of 30 hops: 1 93 ms 110 ms 109 ms 192.168.10.1
2 250 ms 156 ms 187 ms 192.168.20.22 Trace complete.
przewidziano następujące działania:
■
24-godzinne kursy dla uczniów w ramach modułów tematycznych
■
24-godzinne kursy metodyczne dla nauczycieli, przygotowujące
do pracy z uczniem zdolnym
■
nagrania 60 wykładów informatycznych, prowadzonych
przez wybitnych specjalistów i nauczycieli akademickich
■
konkursy dla uczniów, trzy w ciągu roku
■
udział uczniów w pracach kół naukowych
■
udział uczniów w konferencjach naukowych
■