Sieci wirtualne VLAN
Transkrypt
Sieci wirtualne VLAN
UNIWERSYTET KAZIMIERZA WIELKIEGO Wydział Matematyki Fizyki i Techniki Zakład Teleinformatyki 1. Cel ćwiczenia Zasadniczym celem ćwiczenia jest zapoznanie z możliwością logicznej segmentacji sieci ethernet. Wskazana zostanie konieczność znakowania ramek celem multipleksacji wielu sieci VLAN na jednym fizycznym łączu Ethernet. W celu umożliwienia komunikacji między sieciami VLAN wykorzystany zostanie ruter obsługujący IEEE 802.1Q oraz interfejsy wirtualne. 2. Podstawy teoretyczne 2.1. Przyczyny powstania techniki sieci wirtualnych Podstawowym założeniem lokalnych sieci Ethernet jest możliwość komunikacji wszystkich hostów dołączonych do sieci, Rys.1. Laboratorium Sieci Komputerowych Rys. 1. Pojedyncza domena rozgłoszeniowa ćwiczenie: 4 Ponieważ wiele zasobów w sieci korporacyjnej powinno być nieodstępne dla części hostów (czyli pracowników), zaczęto zasoby takie umieszczać w dedykowanych LANach, Rys.2. Sieci wirtualne VLAN prowadzący: mgr inż. Piotr Żmudziński [email protected] Rys. 2 Fizyczna segmentacja sieci Bydgoszcz 2011r. © P.Żmudziński, 12.2011r., ver 3.0 Rozwiązanie to posiadało poważną wadę, każda z wyodrębnionych grup powinna posiadać dedykowany przełącznik. Jeśli wydzielona sieć była mała, na przełączniku pozostawało wiele niewykorzystanych portów. Drugą wadą budo1 wania oddzielnych sieci jest mała mobilność pracowników oraz spora trudność w przyłączaniu użytkowników nie zlokalizowanych w bezpośredniej bliskości. Separacja użytkowników na poziomie warstwy sieciowej nie zapewnia zadawalającego bezpieczeństwa. Jeśli hosty znajdują się w różnych podsieciach, komunikacja między nimi odbywa się przez ruter. W dalszym ciągu host może odbierać ramki rozgłoszeniowe. Jeśli użytkownik zdoła zmienić adres hosta, ten będzie komunikował się z innymi hostami wbrew oczekiwaniom administratora. Zdecydowanie tańszym i elastyczniejszym rozwiązaniem (czyli lepszym) jest tworzenie sieci wirtualnych do których przynależność hostów określa administrator. Urządzenia przypisane do danego VLANu należą do wspólnej domeny rozgłoszeniowej i mogą się swobodnie komunikować. Poszczególne VLANy są odseparowane logicznie. Żadne ramki, nawet rozgłoszeniowe, nie są przenoszone między sieciami VLAN, co w praktyce oznacza całkowitą separację sieci. 2.3. Znakowanie ramek – IEEE 802.1Q Aby do pojedynczej sieci VLAN można było przypisać fizyczne porty kilku przełączników, konieczne jest przekazywanie między przełącznikami oprócz ramek, także informację o numerze (ID) Vlanu aby odległy przełącznik przekazał ją do właściwej sieci wirtualnej. Tą funkcję spełnia znakowanie lub tagowanie (tagging) opisane w dokumencie IEEE 802.1Q. Dzięki temu mechanizmowi możliwe jest transmitowanie ramek należących do wielu różnych VLANów poprzez jedno fizyczne połączenie zwane trunk. Ramka znakowana jest po wejściu do portu przełącznika, przekazywana jest między przełącznikami, następnie kierowana jest na port/ porty wyjściowe gdzie usuwane są znaczniki przed wysłaniem ramki do hosta. W niektórych przypadkach, karty sieciowe hostów potrafią znakować ramki podczas wysyłania do przełącznika, gdzie czynność ta jest omijana. Przykładowa sieć pokazana jest na Rys.4. Fizyczna sieć zbudowana jest z 2 przełączników. Skonfigurowano w sieci 2 VLANy, każdy z nich posiada nazwę oraz unikatowy ID, czyli numer sieci wirtualnej. Ramka oznaczona jako „X” typu ethernet II jest generowana przez PC4. Ponieważ port, do którego host jest przyłączony został przypisany do VLAN 50, ramka zostaje zaznaczona przez SW1 jako ID=50. Następnie ramka kierowana jest przez łącze trankowe do przełącznika SW2 gdzie kierowana jest do odpowiedniego portu. Przed przesłaniem do PC8 usuwany jest znacznik. Należy zauważyć, że port trankowy jest członkiem VLAN 10 i 50. Rys. 3 Logiczna segmentacja sieci - VLAN 2.2. Zalety sieci VLANów X Sieć VLAN jest logiczną domeną rozgłoszeniową, która może obejmować wiele segmentów sieci LAN. Sieci VLAN mogą grupować hosty (porty) przyłączone do różnych przełączników, zgodnie z wymaganiami organizacyjnymi firmy. Bezpośredni ruch między sieciami wirtualnymi nie jest możliwy, hosty komunikują się tylko w obrębie tego samego VLANu. Aby umożliwić kontrolowany ruch między sieciami wirtualnymi należy wykorzystać ruter realizujący Inter VLAN ruting. Funkcjonalność tą posiadają także przełączniki wielowarstwowe (L3). X Prawidłowo zaprojektowane i skonfigurowane sieci VLAN zapewniają segmentację użytkowników, elastyczność i bezpieczeństwo. Kontrola nad przepływem informacji w sieci jest obecnie kluczową cechą korporacyjnej polityki bezpieczeństwa. Rys. 4 Połączenie trankowe między przełącznikami 2.4. © P.Żmudziński, 12.2011r., ver 3.0 2 Format ramki znakowanej Standard IEEE 802.3Q określa metodę znakowania ramek przynależnych do odpowiedniego VLAN, Rys.5. Pole TPID (Tag Protocol Information) jest znacznikiem protokołu. Jednobitowe pole CFI (Canonical Format Indicator) wykorzystane jest dla osiągnięcia zgodności ethernet – Token Ring. Urządzenia Ethernet zawsze ustawiają w ramce wartość pola CFI =1. Pole TCI (Tag Control Information) jest informacją kontrolną znacznika. Pierwsze 3 bity występują dla utrzymania zgodności z protokołem 802.1p (QoS) i przenoszą informację o priorytecie ramki. W polu VLAN ID przenoszony jest numer sieci wirtualnej, do której należy dana ramka. Maksymalna liczba VLANów wynosi 212-2 czyli 4096. Aby ruter mógł kierować ruch między VLANami, konieczne jest przypisanie hostów w każdym z VLANów do oddzielnej podsieci adresowej (Rys.8)! Ponieważ ruter rozpoznaje podsieci dołączone bezpośrednio (w tablicy rutingu oznaczenie C) natychmiast kieruje pakiety między nimi, bez konieczności konfiguracji protokołu rutingu. Weryfikacja konfiguracji podinterfejsów: ROUTER#sh ip int brief Interface IP-Address Ethernet0/0 unassigned Ethernet0/0.10 192.168.0.100 Ethernet0/0.20 192.168.100.100 OK? YES YES YES Method NVRAM manual manual Status up up up Protocol up up up Weryfikacja tablicy rutingu ROUTER#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C C Rys. 5 Ramka IEEE 802.1Q 2.5. Komunikacja między VLANami Komunikację między VLANami zapewniają rutery. Podstawową funkcją rutera jest łączenie sieci, bez względu czy są to sieci fizyczne czy wirtualne – Rys.8. Bardzo zaawansowane przełączniki należące do grupy L3 (warstwy trzeciej) potrafią realizować ograniczone funkcje rutingu IP na potrzeby rutowania między sieciami wirtualnymi. W realizowanym ćwiczeniu wykorzystany zostanie tzw. ruter na patyku (router on a stick). Do jednego z portów przyłączony zostanie ruter. Dla każdego z VLANów utworzony zostanie podinterfejs (sub-interface) z enkapsulacją dot1q i przypisany zostanie do konkretnej sieci wirtualnej przez VLAN ID. Ponieważ ruter traktuje podinterfejsy (lub interfejsy wirtualne) podobnie jak interfejsy rzeczywiste, utworzone zostaną dla każdej podsieci oddzielne wpisy w tablicy rutingu. © P.Żmudziński, 12.2011r., ver 3.0 192.168.0.0/24 is directly connected, Ethernet0/0.10 192.168.100.0/24 is directly connected, Ethernet0/0.20 Dodatkowym atutem korzystania z rutera przy łączeniu sieci wirtualnych jest możliwość precyzyjnego określenia jaki ruch jest dozwolony przez zastosowanie podstawowych lub rozszerzonych list dostępu – ACL (Access Control List) co wybiega poza zakres ćwiczenia. 3. Zagadnienia do przestudiowania 1. Jakie funkcje realizuje VTP (VLAN Trunking Protocol)? 2. Co oznacza określenie „transparent” w VTP? 4. Bibliografia [1] W. Lewis: Akademia sieci Cisco, CCNA sem.3 Podstawy przełączania i routing pośredni, PWN, Warszawa 2007 [2] K. Krysiak, Sieci komputerowe– Kompendium, wyd.II, Helion, Gliwice 2006 [3] http://www.tech-faq.com/vlan.shtml [4] http://www.cisco.com/en/US/tech/tk389/tk689/ tsd_technology_support_protocol_home.html 3 5. Przebieg ćwiczenia Ćwiczenie 4 realizowane jest na stanowiskach oznaczonych literami C. Do wykonania ćwiczenia potrzebne będą 4 komputery PC10-14 oraz sprzęt sieciowy znajdujący się w stojaku: S11, S12 oraz ruter R11. Na każdym z komputerów należy skonfigurować protokół IP dla połączenia lab: adres IP: 192.168.0.x, gdzie x jest numerem komputera, dla PC4 x=4 maska podsieci:255.255.255.0 brama domyślna: / DNS 192.168.0.100; grupa robocza LAN. 5.1. 1. Połączyć sieć zgodnie z Rys.6, PC10 dołączyć do portu 10 przełącznika, PC11 i PC12 analogicznie. Ustanowić połączenie konsolowe pomiędzy PC10- S11 2. Skasować bieżącą konfigurację: Switch>enable /Jeśli przełącznik żąda hasła, podać cisco lub class/ Switch#erase startup-config Switch#del vlan.dat Konfiguracja przełączników Przełączniki zarządzalne L2 (realizujące funkcje switchingu na poziomie 2 warstwy OSI – warstwy łącza) można konfigurować „poza pasmem” (out of band) czyli za pomocą bezpośredniego połączenia konsolowego lub „w paśmie” (in band) przez zdalną sesję telnet lub wbudowany serwer http. Pierwsze z wymienionych rozwiązań stosowane jest w przypadku pierwszej konfiguracji przełącznika. Do realizacji połączenia konsolowego pomiędzy PC10 i S11 należy skrosować niebieskim kablem (umowa) niebieski port C10 i niebieski port S11. Do komunikacji z przełącznikiem będzie wykorzystywany emulator terminala. W systemie Windows jest nim program HyperTerminal. Podczas konfiguracji połączenia należy wybrać COM4 i następujące parametry HyperTerminala [9600, 8, brak, 1, brak]. Switch#reload /Na pytanie dot. zapisania konfiguracji running -config odpowiedzieć no/ 2. Nadać nawę przełączniki SW11 Switch>enable Switch#conf t Switch(config)#host S11 5.2. Konfiguracja VLANów Skonfigurować dwie sieci wirtualne celem odseparowania użytkowników zgrupowanych w VLAN 10 nazwany Księgowość. 1. Utworzyć potrzebne VLAN’y. Przykład pokazuje tworzenie VLAN’u 10 o nazwie Ksiegowość. S11 (config)#vlan 10 S11 (config-vlan)#name Ksiegowosc 192.168.0.0/24 2. Przypisać poszczególne porty przełącznika do wskazanych na Rys.6 portów FastEthernet. Przykład pokazuje przypisanie PC10 do VLAN10, pozostałe porty skonfigurować analogicznie S11(config)# interface fastEthernet 0/1 S11(config-if)# switchport mode access S11(config-if)# switchport access vlan 10 S11(config-if)# exit 2. Sprawdzić przypisanie portów do VLANów S11#show vlan brief Rys. 6. Sieci wirtualne w obrębie pojedynczego przełącznika W każdej chwili można sprawdzić tablice przypisania portów do VLANów za pomocą polecenia: Sl#show vlan brief © P.Żmudziński, 12.2011r., ver 3.0 4 6. Sprawdzić osiągalność hostów (). 5.3. Połączenie typu trunk Sieci wirtualne można skonfigurować na kilku przełącznikach tak, aby komputery należące do VLANu o tym samych ID mogły przesyłać miedzy sobą ramki tak samo, jakby były przyłączone do tego samego przełącznika. Korzystając z konfiguracji wykonanej w poprzednim punkcie rozbudować sieć zgodnie z rysunkiem Rys.7 1. 2. Konfigurować przełącznik S12 podobnie jak S11 przypisując fizyczne porty do VLANów zgodnie z Rys.7. Opis czynności zawarty jest w punkcie 5.2. Skonfigurować każdy z portów 16 jako port magistralny: S11(config)#interface fa0/16 S11(config-if)#switchport mode trunk 3. Wybrać VLAN natywny jako 99 S11(config)#interface fa0/16 S11(config-if)#switchport trunk native vlan 99 S11(config-if)#no shutdown 4. Sprawdzić osiągalność hostów (). W każdej chwili można sprawdzić konfiguracje portów magistralnych za pomocą polecenia: S11#show interface trunk () Rys. 7 Sieci wirtualne na dwóch przełącznikach 5.4. Komunikacja między VLANami W praktyce przypisuje się do poszczególnych VLANów przypisuje się konkretne podsieci, rozróżniając jest także w warstwie sieciowej. Aby możliwa była komunikacja między hostami z różnych VLANów zastosowano w ćwiczeniu router Cisco z serii 2801. W tym celu połączyć port port R6 fa0/0 na żółtym patch panelu szafy zawierającej rutery z odpowiednim portem przełącznika. 1. 2 Do sieci z poprzedniego punktu dołączyć ruter R11 do portu Fa0/9 S12. Skonfigurowac port Fa0/9 S12 jako port magistralny S12(config)#interface fa0/9 S12(config-if)#switchport mode trunk © P.Żmudziński, 12.2011r., ver 3.0 5 R11(config-subif)#exit Fa0/0 R 11 S11 Fa0/16 Fa0/16 R11(config-if)#int fa0/0.20 [tworzenie podinterfejsu 20] R11(config-subif)#encapsulation dot1q 20 R11(config-subif)#ip address 192.168.100.100 255.255.255.0 S12 Fa0/9 R11(config-subif)#no shut R11(config-subif)#exit Fa0/1 Fa0/2 Fa0/5 192.168.0.0/24 R11(config-if)#exit Fa0/6 R11(config)#exit VLAN10 Ksiegowosc 4. PC10 R11#sh ip int brief PC11 192.168.100.0/24 5. VLAN20 Sprzedaz Zweryfikować zawartość tablicy rutingu R11#sh ip route PC12 6. Konfiguracja podinterfejsów rutera (subinterfaces) a) Za pomocą połączenia konsolowego z dowolnego hosta konfigurować ruter. Parametry połączenia konsolowego są domyślne [9600, 8 brak, 1, brak], COM1 b) konfiguracja podinterfesjów na fizycznym intrerfejsie fa0/0 Router#conf t Router#host R11 R11(config)#int fa0/0 Zmiana adresowania Przypisać hostom z VLAN 10 adresy podsieci 192.168.0.0/24 czyli dla PC10/11 skonfigurować adresy IP jako 192.168.0.x, gdzie x jest numerem hosta, dla PC10=10, maska podsieci:255.255.255.0 brama domyślna: / DNS 192.168.0.100 [bramą jest podinterfejs 10 rutera] Przypisać hostom PC12/13 z VLAN 20 adresy podsieci 192.168.100.0/24 brama domyślna: / DNS 192.168.100.100 [bramą jest podinterfejs 20 rutera] Router>en 7. Sprawdzenie osiągalności Korzystając z polecenia ping, sprawdzić, czy osiągalne są hosty z obcej podsieci przyłączone do własnego przełącznika oraz do przełącznika zdalnego. (). R11(config)#no ip address R11(config-if)#no shut 6. Sprawozdanie R11(config-if)#int fa0/0.10 [tworzenie podinterfejsu 10] R11(config-subif)#encapsulation dot1q 10 R11(config-subif)#ip address 192.168.0.100 255.255.255.0 R11(config-subif)#no shut © P.Żmudziński, 12.2011r., ver 3.0 ( ) PC13 Rys. 8 Komunikacja między VLANami za pomocą rutera 3. Zweryfikować konfigurację interfejsów 6 Wynik polecenia show interface trunk UNIWERSYTET KAZIMIERZA WIELKIEGO, WMFiT, ZT Laboratorium Sieci Komputerowych Sprawozdanie z wykonania ćwiczenia nr ćwiczenia: 4 grupa : zespół: data: ocena : Sieci Wirtualne VLAN Imię i Nazwisko członków zespołu (drukowanymi literami) 1. 2. 3. 4. 5.2 Konfiguracja VLANów – Sprawdzenie osiągalności (D/ U) --- PC10 PC11 PC12 5.4 Komunikacja między VLANami –Inter VLAN routing Tablica rutingu R6: PC13 PC10 PC11 PC12 PC13 Sprawdzenie osiągalności (D/ U) 5.3 Połączenie typu trunk – Sprawdzenie osiągalności (D/ U) --- PC10 PC11 PC12 --- PC13 PC10 PC10 PC11 PC11 PC12 PC12 PC13 PC13 Sprawozdanie z ćwiczenia: 4 1 PC10 PC11 PC12 PC13