Sieci wirtualne VLAN

UNIWERSYTET KAZIMIERZA WIELKIEGO
Wydział Matematyki Fizyki i Techniki
Zakład Teleinformatyki
1. Cel ćwiczenia
Zasadniczym celem ćwiczenia jest zapoznanie z możliwością logicznej segmentacji sieci ethernet. Wskazana zostanie konieczność znakowania ramek celem
multipleksacji wielu sieci VLAN na jednym fizycznym łączu Ethernet. W celu
umożliwienia komunikacji między sieciami VLAN wykorzystany zostanie ruter
obsługujący IEEE 802.1Q oraz interfejsy wirtualne.
2. Podstawy teoretyczne
2.1. Przyczyny powstania techniki sieci wirtualnych
Podstawowym założeniem lokalnych sieci Ethernet jest możliwość komunikacji
wszystkich hostów dołączonych do sieci, Rys.1.
Laboratorium Sieci Komputerowych
Rys. 1. Pojedyncza domena rozgłoszeniowa
ćwiczenie: 2
Ponieważ wiele zasobów w sieci korporacyjnej powinno być nieodstępne dla
części hostów (czyli pracowników), zaczęto zasoby takie umieszczać w dedykowanych LANach, Rys.2.
Sieci wirtualne VLAN
prowadzący: mgr inż. Piotr Żmudziński
[email protected]
Rys. 2 Fizyczna segmentacja sieci
Bydgoszcz 2011r.
© P.Żmudziński, 12.2011r., ver 3.0
Rozwiązanie to posiadało poważną wadę, każda z wyodrębnionych grup powinna posiadać dedykowany przełącznik. Jeśli wydzielona sieć była mała, na
przełączniku pozostawało wiele niewykorzystanych portów. Drugą wadą budo1
wania oddzielnych sieci jest mała mobilność pracowników oraz spora trudność
w przyłączaniu użytkowników nie zlokalizowanych w bezpośredniej bliskości.
Separacja użytkowników na poziomie warstwy sieciowej nie zapewnia zadawalającego bezpieczeństwa. Jeśli hosty znajdują się w różnych podsieciach, komunikacja między nimi odbywa się przez ruter. W dalszym ciągu host może
odbierać ramki rozgłoszeniowe. Jeśli użytkownik zdoła zmienić adres hosta,
ten będzie komunikował się z innymi hostami wbrew oczekiwaniom administratora.
Zdecydowanie tańszym i elastyczniejszym rozwiązaniem (czyli lepszym) jest
tworzenie sieci wirtualnych do których przynależność hostów określa administrator.
Urządzenia przypisane do danego VLANu należą do wspólnej domeny rozgłoszeniowej i mogą się swobodnie komunikować. Poszczególne VLANy są odseparowane logicznie. Żadne ramki, nawet rozgłoszeniowe, nie są przenoszone
między sieciami VLAN, co w praktyce oznacza całkowitą separację sieci.
2.3. Znakowanie ramek – IEEE 802.1Q
Aby do pojedynczej sieci VLAN można było przypisać fizyczne porty kilku przełączników, konieczne jest przekazywanie między przełącznikami oprócz ramek,
także informację o numerze (ID) Vlanu aby odległy przełącznik przekazał ją do
właściwej sieci wirtualnej.
Tą funkcję spełnia znakowanie lub tagowanie (tagging) opisane w dokumencie
IEEE 802.1Q. Dzięki temu mechanizmowi możliwe jest transmitowanie ramek
należących do wielu różnych VLANów poprzez jedno fizyczne połączenie zwane
trunk. Ramka znakowana jest po wejściu do portu przełącznika, przekazywana
jest między przełącznikami, następnie kierowana jest na port/ porty wyjściowe
gdzie usuwane są znaczniki przed wysłaniem ramki do hosta.
W niektórych przypadkach, karty sieciowe hostów potrafią znakować ramki
podczas wysyłania do przełącznika, gdzie czynność ta jest omijana.
Przykładowa sieć pokazana jest na Rys.4.
Fizyczna sieć zbudowana jest z 2 przełączników. Skonfigurowano w sieci 2
VLANy, każdy z nich posiada nazwę oraz unikatowy ID, czyli numer sieci wirtualnej. Ramka oznaczona jako „X” typu ethernet II jest generowana przez
PC4. Ponieważ port, do którego host jest przyłączony został przypisany do
VLAN 50, ramka zostaje zaznaczona przez SW1 jako ID=50. Następnie ramka
kierowana jest przez łącze trankowe do przełącznika SW2 gdzie kierowana jest
do odpowiedniego portu. Przed przesłaniem do PC8 usuwany jest znacznik.
Należy zauważyć, że port trankowy jest członkiem VLAN 10 i 50.
Rys. 3 Logiczna segmentacja sieci - VLAN
2.2.
Zalety sieci VLANów
Sieć VLAN jest logiczną domeną rozgłoszeniową, która może obejmować wiele
segmentów sieci LAN. Sieci VLAN mogą grupować hosty (porty) przyłączone do
różnych przełączników, zgodnie z wymaganiami organizacyjnymi firmy. Bezpośredni ruch między sieciami wirtualnymi nie jest możliwy, hosty komunikują
się tylko w obrębie tego samego VLANu. Aby umożliwić kontrolowany ruch
między sieciami wirtualnymi należy wykorzystać ruter realizujący Inter VLAN
ruting. Funkcjonalność tą posiadają także przełączniki wielowarstwowe (L3).
Prawidłowo zaprojektowane i skonfigurowane sieci VLAN zapewniają segmentację użytkowników, elastyczność i bezpieczeństwo. Kontrola nad przepływem
informacji w sieci jest obecnie kluczową cechą korporacyjnej polityki bezpieczeństwa.
Rys. 4 Połączenie trankowe między przełącznikami
2.4.
© P.Żmudziński, 12.2011r., ver 3.0
2
Format ramki znakowanej
Standard IEEE 802.3Q określa metodę znakowania ramek przynależnych do
odpowiedniego VLAN, Rys.5. Pole TPID (Tag Protocol Information) jest
znacznikiem protokołu. Jednobitowe pole CFI (Canonical Format Indicator)
wykorzystane jest dla osiągnięcia zgodności ethernet – Token Ring. Urządzenia
Ethernet zawsze ustawiają w ramce wartość pola CFI =1. Pole TCI (Tag Control Information) jest informacją kontrolną znacznika. Pierwsze 3 bity występują dla utrzymania zgodności z protokołem 802.1p (QoS) i przenoszą informację
o priorytecie ramki. W polu VLAN ID przenoszony jest numer sieci wirtualnej,
do której należy dana ramka. Maksymalna liczba VLANów wynosi 212-2 czyli
4096.
Aby ruter mógł kierować ruch między VLANami, konieczne jest przypisanie
hostów w każdym z VLANów do oddzielnej podsieci adresowej (Rys.8)!
Ponieważ ruter rozpoznaje podsieci dołączone bezpośrednio (w tablicy rutingu
oznaczenie C) natychmiast kieruje pakiety między nimi, bez konieczności konfiguracji protokołu rutingu.
Weryfikacja konfiguracji podinterfejsów:
ROUTER#sh ip int brief
Interface
IP-Address
Ethernet0/0
unassigned
Ethernet0/0.10 192.168.0.100
Ethernet0/0.20 192.168.100.100
OK?
YES
YES
YES
Method
NVRAM
manual
manual
Status
up
up
up
Protocol
up
up
up
Weryfikacja tablicy rutingu
ROUTER#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B
- BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
C
C
Rys. 5 Ramka IEEE 802.1Q
2.5.
Komunikacja między VLANami
Komunikację między VLANami zapewniają rutery. Podstawową funkcją rutera
jest łączenie sieci, bez względu czy są to sieci fizyczne czy wirtualne – Rys.8.
Bardzo zaawansowane przełączniki należące do grupy L3 (warstwy trzeciej)
potrafią realizować ograniczone funkcje rutingu IP na potrzeby rutowania między sieciami wirtualnymi.
W realizowanym ćwiczeniu wykorzystany zostanie tzw. ruter na patyku (router
on a stick). Do jednego z portów przyłączony zostanie ruter. Dla każdego z
VLANów utworzony zostanie podinterfejs (sub-interface) z enkapsulacją dot1q
i przypisany zostanie do konkretnej sieci wirtualnej przez VLAN ID. Ponieważ
ruter traktuje podinterfejsy (lub interfejsy wirtualne) podobnie jak interfejsy
rzeczywiste, utworzone zostaną dla każdej podsieci oddzielne wpisy w tablicy
rutingu.
© P.Żmudziński, 12.2011r., ver 3.0
192.168.0.0/24 is directly connected, Ethernet0/0.10
192.168.100.0/24 is directly connected, Ethernet0/0.20
Dodatkowym atutem korzystania z rutera przy łączeniu sieci wirtualnych jest
możliwość precyzyjnego określenia jaki ruch jest dozwolony przez zastosowanie podstawowych lub rozszerzonych list dostępu – ACL (Access Control List)
co wybiega poza zakres ćwiczenia.
3. Zagadnienia do przestudiowania
1. Jakie funkcje realizuje VTP (VLAN Trunking Protocol)?
2. Co oznacza określenie „transparent” w VTP?
4. Bibliografia
[1] W. Lewis: Akademia sieci Cisco, CCNA sem.3 Podstawy przełączania i routing pośredni, PWN, Warszawa 2007
[2] K. Krysiak, Sieci komputerowe– Kompendium, wyd.II, Helion, Gliwice 2006
[3] http://www.tech-faq.com/vlan.shtml
[4] http://www.cisco.com/en/US/tech/tk389/tk689/
tsd_technology_support_protocol_home.html
3
5. Przebieg ćwiczenia
Ćwiczenie 4 realizowane jest na stanowiskach oznaczonych literami C. Do wykonania ćwiczenia potrzebne będą 4 komputery PC10-14 oraz sprzęt sieciowy
znajdujący się w stojaku: S11, S12 oraz ruter R11.
Na każdym z komputerów należy skonfigurować protokół IP dla połączenia lab:
adres IP: 192.168.0.x, gdzie x jest numerem komputera, dla PC4 x=4
maska podsieci:255.255.255.0
brama domyślna: / DNS 192.168.0.100; grupa robocza LAN.
5.1.
1. Połączyć sieć zgodnie z Rys.6, PC10 dołączyć do portu 10 przełącznika,
PC11 i PC12 analogicznie. Ustanowić połączenie konsolowe pomiędzy
PC10- S11
2. Skasować bieżącą konfigurację:
Switch>enable
/Jeśli przełącznik żąda hasła, podać cisco lub class/
Switch#erase startup-config
Switch#del vlan.dat
Konfiguracja przełączników
Przełączniki zarządzalne L2 (realizujące funkcje switchingu na poziomie 2 warstwy OSI – warstwy łącza) można konfigurować „poza pasmem” (out of band)
czyli za pomocą bezpośredniego połączenia konsolowego lub „w paśmie” (in
band) przez zdalną sesję telnet lub wbudowany serwer http. Pierwsze z wymienionych rozwiązań stosowane jest w przypadku pierwszej konfiguracji
przełącznika. Do realizacji połączenia konsolowego pomiędzy PC10 i S11 należy skrosować niebieskim kablem (umowa) niebieski port C10 i niebieski port
S11.
Do komunikacji z przełącznikiem będzie wykorzystywany emulator terminala.
W systemie Windows jest nim program HyperTerminal. Podczas konfiguracji
połączenia należy wybrać COM4 i następujące parametry HyperTerminala
[9600, 8, brak, 1, brak].
Switch#reload
/Na pytanie dot. zapisania konfiguracji running
-config odpowiedzieć no/
2. Nadać nawę przełączniki SW11
Switch>enable
Switch#conf t
Switch(config)#host S11
5.2. Konfiguracja VLANów
Skonfigurować dwie sieci wirtualne celem odseparowania użytkowników zgrupowanych w VLAN 10 nazwany Księgowość.
1. Utworzyć potrzebne VLAN’y. Przykład pokazuje tworzenie VLAN’u 10 o
nazwie Ksiegowość.
S11 (config)#vlan 10
S11 (config-vlan)#name Ksiegowosc
192.168.0.0/24
2.
Przypisać poszczególne porty przełącznika do wskazanych na Rys.6 portów
FastEthernet. Przykład pokazuje przypisanie PC10 do VLAN10, pozostałe
porty skonfigurować analogicznie
S11(config)# interface fastEthernet 0/10
S11(config-if)# switchport mode access
S11(config-if)# switchport access vlan 10
S11(config-if)# exit
3.
Sprawdzić przypisanie portów do VLANów
S11#show vlan brief
Rys. 6. Sieci wirtualne w obrębie pojedynczego przełącznika
W każdej chwili można sprawdzić tablice przypisania portów do VLANów za
pomocą polecenia: Sl#show vlan brief
© P.Żmudziński, 12.2011r., ver 3.0
4
4.
Sprawdzić osiągalność hostów ().
5.3. Połączenie typu trunk
Sieci wirtualne można skonfigurować na kilku przełącznikach tak, aby komputery należące do VLANu o tym samych ID mogły przesyłać miedzy sobą ramki
tak samo, jakby były przyłączone do tego samego przełącznika.
Korzystając z konfiguracji wykonanej w poprzednim punkcie rozbudować sieć
zgodnie z rysunkiem Rys.7
1.
2.
Konfigurować przełącznik S12 podobnie jak S11 przypisując fizyczne porty
do VLANów zgodnie z Rys.7. Opis czynności zawarty jest w punkcie 5.2.
Skonfigurować każdy z portów 16 jako port magistralny:
S11(config)#interface fa0/16
S11(config-if)#switchport mode trunk
3.
Wybrać VLAN natywny jako 99
S11(config)#interface fa0/16
S11(config-if)#switchport trunk native vlan 99
S11(config-if)#no shutdown
4.
Sprawdzić osiągalność hostów ().
W każdej chwili można sprawdzić konfiguracje portów magistralnych za pomocą polecenia:
S11#show interface trunk ()
Rys. 7 Sieci wirtualne na dwóch przełącznikach
5.4. Komunikacja między VLANami
W praktyce przypisuje się do poszczególnych VLANów przypisuje się konkretne
podsieci, rozróżniając jest także w warstwie sieciowej. Aby możliwa była komunikacja między hostami z różnych VLANów zastosowano w ćwiczeniu router
Cisco z serii 2801. W tym celu połączyć port port R6 fa0/0 na żółtym patch
panelu szafy zawierającej rutery z odpowiednim portem przełącznika.
1.
2
Do sieci z poprzedniego punktu dołączyć ruter R11 do portu Fa0/9 S12.
Skonfigurowac port Fa0/9 S12 jako port magistralny
S12(config)#interface fa0/9
S12(config-if)#switchport mode trunk
© P.Żmudziński, 12.2011r., ver 3.0
5
R11(config-if)#int fa0/0.20 [tworzenie podinterfejsu 20]
R11(config-subif)#encapsulation dot1q 20
R11(config-subif)#ip address 192.168.100.100 255.255.255.0
R11(config-subif)#no shut
R11(config-subif)#exit
R11(config-if)#exit
R11(config)#exit
4.
Zweryfikować konfigurację interfejsów
R11#sh ip int brief
5.
Zweryfikować zawartość tablicy rutingu
R11#sh ip route
6.
Rys. 8 Komunikacja między VLANami za pomocą rutera
3.
Konfiguracja podinterfejsów rutera (subinterfaces)
a) Za pomocą połączenia konsolowego z dowolnego hosta konfigurować
ruter. Parametry połączenia konsolowego są domyślne [9600, 8 brak, 1,
brak], COM4
b) konfiguracja podinterfesjów na fizycznym intrerfejsie fa0/0
( )
Zmiana adresowania
Przypisać hostom z VLAN 10 adresy podsieci 192.168.0.0/24 czyli dla
PC10/11 skonfigurować adresy IP jako 192.168.0.x, gdzie x jest numerem
hosta, dla PC10=10,
maska podsieci:255.255.255.0
brama domyślna: / DNS 192.168.0.100 [bramą jest podinterfejs 10
rutera]
Przypisać hostom PC12/13 z VLAN 20 adresy podsieci 192.168.100.0/24
brama domyślna: / DNS 192.168.100.100 [bramą jest podinterfejs 20
rutera]
Router>en
Router#conf t
Router#host R11
7. Sprawdzenie osiągalności
Korzystając z polecenia ping, sprawdzić, czy osiągalne są hosty z obcej podsieci przyłączone do własnego przełącznika oraz do przełącznika zdalnego. ().
R11(config)#int fa0/0
R11(config)#no ip address
R11(config-if)#no shut
6. Sprawozdanie
R11(config-if)#int fa0/0.10 [tworzenie podinterfejsu 10]
R11(config-subif)#encapsulation dot1q 10
R11(config-subif)#ip address 192.168.0.100 255.255.255.0
R11(config-subif)#no shut
R11(config-subif)#exit
© P.Żmudziński, 12.2011r., ver 3.0
6
Wynik polecenia show interface trunk
UNIWERSYTET KAZIMIERZA WIELKIEGO, WMFiT, ZT
Laboratorium Sieci Komputerowych
Sprawozdanie z wykonania ćwiczenia
nr ćwiczenia: 2
grupa :
zespół:
data:
ocena :
Sieci Wirtualne VLAN
Imię i Nazwisko członków zespołu (drukowanymi literami)
1.
2.
3.
4.
5.2 Konfiguracja VLANów – Sprawdzenie osiągalności (D/ U)
---
PC10
PC11
PC12
5.4 Komunikacja między VLANami –Inter VLAN routing
Tablica rutingu R6:
PC13
PC10
PC11
PC12
PC13
Sprawdzenie osiągalności (D/ U)
5.3 Połączenie typu trunk – Sprawdzenie osiągalności (D/ U)
---
PC10
PC11
PC12
---
PC13
PC10
PC10
PC11
PC11
PC12
PC12
PC13
PC13
Sprawozdanie z ćwiczenia: 2
1
PC10
PC11
PC12
PC13