Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

Transkript

1 Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560 Dvouletý Pavel, Krhovják Roman Abstrakt: Práce zkoumá možnosti a funkčnost nastavení private VLAN na switchi Cisco Catalyst Na praktickém příkladě jsou ověřeny teoretické možnosti. Klíčová slova: switch, cisco, PVLAN, private VLAN, Catalyst Úvod VLAN (Virtual Local Area Network) PVLAN (Private VLAN) Switch Cisco Catalyst Postup konfigurace PVLAN na Cisco Catalyst Nastavení VTP módů Primární a sekundární VLANy Konfigurace portů Promiskuitní porty Ověření funkčnosti PVLAN na konkrétní konfiguraci Úvod Nákres Konfigurace Výpisy Výsledky Závěr Použitá literatura...8 červen /9

2 1 Úvod 1.1 VLAN (Virtual Local Area Network) VLAN je logická síť v rámci jednoho nebo více switchů. Jeden switch lze rozdělit na několik VLANů. Jednotlivé VLANy mají stejné vlastnosti jako fyzická síť LAN a přitom se připojené počítače můžou nacházet na různých místech od sebe vzdálených. VLANy řeší několik problémů: Seskupení uživatelů do oddělení, pokud nejsou fyzicky blízko Omezení broadcastů - jsou posílány do menších sítí Zmenšení kolizních domén ve srovnání s použitím hubů Zjednodušená správa - není potřeba při přemístění uživatele do jiného oddělení fyzicky přepojovat hw. [vlan07] 1.2 PVLAN (Private VLAN) PVLAN poskytuje izolaci portů ve stejném VLANU na druhé vrstvě ISO-OSI (L2). Pro použití PVLAN je třeba nejdříve vytvořit Primary VLAN. Každá PVLAN má právě jeden Primary VLAN. Primary VLAN si můžeme představit jako jakési zapouzdření, ve kterém se pak budou nacházet Secondary VLANy. Spojení s okolním světem je zprostředkováno pomocí vyhrazených portu (promiscuous port). V Primary VLAN lze vytvořit libovolný počet Secondary VLANů. Secondary VLAN má dva typy: Isolated VLAN - Může být v Primary VLANu jen jeden a nacházejí se v něm Isolated porty. Community VLAN - Těch může být v Primary VLANu libovolné množství. Každý Community VLAN zahrnuje své Community porty. Promiscuous port - Tyto porty jsou součástí Primary VLANu a komunikují se všemi porty secondary VLANu. (typicky linka na internet nebo trunk port). Isolated port - Je součástí Isolated VLAN a kompletně oddělen na druhé vrstvě od ostatních portů ve stejném VLANu, kromě promiscuous portu. Private VLAN blokuje veškerou komunikaci směřující na isolated port kromě promiscuous portu a veškerý provoz v isolated portu je směrován na promiscuous port. Community port - Port vlastněn jednou z Community VLAN. Tyto porty komunikují s porty ve stejném Community VLANu a dále pak s Promiscuous porty. Skupina portů náležící jednoumu Community VLANu je oddělena na druhé vrstvě od všech ostatních kromě promiscuous portu. Jedno z využití PVLAN je zvýšení bezpečnosti. Pokud útočník prolomí zabezpečení jednoho serveru, může pak podnikat útoky na ostatní servery v rámci VLANu. PVLAN pak umožňuje servery izolovat. Následující obrázek se snaží přehledně popsat problematiku Private VLAN: červen /9

3 1.3 Switch Cisco Catalyst 3560 Série Cisco Catalyst 3560 je řada switchů s fixní konfigurací určených pro firmy. Lze na nich využít jednoduchost tradičního LAN přepínání, ale také využívat pokročilých služeb jako Qos, Rate limiting, ACLs, Multicast management či Highperformance IP routing. [c3560i] Switche jsou prodávány ve verzích 8, 24 či 48 portové se 2 či 4 SPF porty. Cena se pohybuje cca od 800$ za 8 portový až po cca 8000$ za 48 portový. Pro podporu PVLAN je potřeba minimálně verze software 12.2(20)SE - EMI. Switch potom podporuje nastavení Isolated i Community VLANů. 2 Postup konfigurace PVLAN na Cisco Catalyst Nastavení VTP módů VTP (VLAN Trunk Protocol) je protokol pracující na druhé vrstvě. Zajišťuje konzistenci konfigurace v celé síti. Změny v síti se provádějí pouze na jednom switchi a pomocí VTP jsou rozeslány na ostatní switche. Prvním krokem v konfiguraci PVLANu je přepnutí switche do VTP módu transparent (standardně je switch nastaven v modu server). V transparent modu je VTP vypnut, neodesílá VTP updaty a nereaguje na ně. Ve VTP verzi 2 jsou updaty přeposílány pouze na trunk porty. Zde jsou základní příkazy: configure terminal vtp mode transparent vtp version 2 show vtp status přepne switch do transparentního módu přepne VTP na verzi 2 zobrazí informace o nastavení červen /9

4 2.2 Primární a sekundární VLANy Nyní musíme vytvořit primární VLAN a sekundární VLANy. Sekundární pak přiřadíme do primárního. configure terminal vlan vlan-id private-vlan primary vlan vlan-id private-vlan isolated vlan vlan-id private-vlan community private-vlan association add remove list show vlan private-vlan [type] rozsah určí, že tento VLAN je primární tento VLAN je isolated (sekundární) tento VLAN je community (sekundární) list= seznam secondary vlanů* ověření konfigurace * Seznam secondary PVLANů nesmí obsahovat mezery. Obsahuje položky oddělené čárkou. Položka může být jeden PVLAN nebo rozsah PVLANů (např: "5,7-9"). Seznam může obsahovat několik community VLANů, ale jen jeden isolated VLAN. 2.3 Konfigurace portů Dále je třeba konfigurovat náležitá rozhraní: Označit je jako PVLAN porty a přičlenit je k primary a secondary VLANům. configure terminal interface interface-id switchport mode private-vlan host switchport private-vlan hostassociation primary_vlan_id secondary_vlan_id show interfaces [interface-id] switchport 2.4 Promiskuitní porty vstoupím na interface port je PVLAN hostem (nebude promiskuitním) asociuji port s PVLANy: s primárním a se sekundárním ověřím správnost nastavení Nakonec nakonfigurujeme promiskuitní porty, přiřadíme je k primary VLANu a zvoleným secondary VLANům. configure terminal interface interface-id switchport mode private-vlan promiscuous switchport private-vlan mapping prim_vlan_id add remove list vstoupím na interface port je PVLAN promiskuitním portem namapuji port na konkrétní PVLAN a na seznam secondary VLANů* červen /9

5 show interfaces [interface-id] switchport ověřím správnost nastavení * viz. * u bodu Ověření funkčnosti PVLAN na konkrétní konfiguraci 3.1 Úvod Navrhli jsme zapojení, na kterém je možno otestovat funkčnost PVLANu na více přepínačů. Switch RS1 je propojen pomocí trunku s RS2. K RS1 je připojen jeden počítač PC1 v community VLANu a router, za kterým je CRP. K RS2 je připojena dvojice počítačů v isolated VLANu (PC4 a PC5) a dvojice počítačů v Community VLANu (PC2 a PC3). Community VLAN je na obou přepínačích totožný (číslo 5). Primary VLAN na obou přepínačích má také shodné číslo 100. Porty Fe01 pro Trunk spojení mezi RS1 a RS2 nakonfigurujeme jako Promiscuous. Zařízení pomocí DTP (Dynamic Trunking Protocol) rozpozná, že se jedná o trunk port a automaticky jej nastaví (ověříme později kontrolním výpisem). 3.2 Nákres 3.3 Konfigurace Switch RS1 (konfigurační režim) RS1(config)#vtp mode transparent RS1(config)#vlan 100a červen /9

6 RS1(config-vlan)#private-vlan primary RS1(config-vlan)# RS1(config)#vlan 5 RS1(config-vlan)#private-vlan community RS1(config-vlan)# RS1(config)#vlan 100 RS1(config-vlan)#private-vlan association add 5 RS1(config-vlan)# RS1(config)#int fastethernet 0/5 RS1(config-if)#switchport mode private-vlan host RS1(config-if)#switchport private-vlan host-association RS1(config-if)# RS1(config)#int fastethernet 0/6 RS1(config-if)#switchport mode private-vlan promiscuous RS1(config-if)#switchport private-vlan mapping 100 add 4-5 RS1(config-if)# RS1(config)#int fastethernet 0/1 RS1(config-if)#switchport mode private-vlan promiscuous RS1(config-if)#switchport private-vlan mapping 100 add 4-5 RS1(config-if)# Switch RS2 (konfigurační režim) RS2(config)#vtp mode transparent RS2(config)#vlan 100 RS2(config-vlan)#private-vlan primary RS2(config-vlan)# RS2(config)#vlan 4 RS2(config-vlan)#private-vlan isolated RS2(config-vlan)# RS2(config)#vlan 100 RS2(config-vlan)#private-vlan association add 4 RS2(config-vlan)# RS2(config)#int fasteth 0/4 RS2(config-if)#switchport mode private-vlan host RS2(config-if)#switchport private-vlan host-association RS2(config-if)# RS2(config)#vlan 5 RS2(config-vlan)#private-vlan community RS2(config-vlan)# RS2(config)#vlan 100 RS2(config-vlan)#private-vlan association add 5 RS2(config-vlan)# RS2(config)#int fasteth 0/2 RS2(config-if)#switchport mode private-vlan host RS2(config-if)#switchport private-vlan host-association RS2(config-if)# RS2(config)#int fasteth 0/3 RS2(config-if)#switchport mode private-vlan host RS2(config-if)#switchport private-vlan host-association RS2(config-if)# RS2(config)#int fasteth 0/1 RS2(config-if)#switchport mode private-vlan promiscuous RS2(config-if)#switchport private-vlan mapping 100 add 4-5 RS2(config-if)# červen /9

7 RS2(config)#int fastethernet 0/7 RS2(config-if)#switchport mode private-vlan host RS2(config-if)#switchport private-vlan host-association RS2(config-if)# 3.4 Výpisy Výpis ze switche RS1 RS1#show vlan private-vlan Primary Secondary Type Ports community Fa0/1, Fa0/6, Fa0/5 Výpis ze switche RS2 RS2#sh vlan private-vlan Primary Secondary Type Ports isolated Fa0/1, Fa0/4, Fa0/ community Fa0/1, Fa0/2, Fa0/3 Kontrola nastavení trunk na RS1 RS1(config)#do show interface fa0/1 trunk Port Mode Encapsulation Status Native vlan Fa0/1 other negotiate other 1 Port Vlans allowed on trunk Fa0/1 4,5,100 Port Vlans allowed and active in management domain Fa0/1 4,5,100 Port Vlans in spanning tree forwarding state and not pruned Fa0/ Výsledky Po úspěšném zapojení jsme otestovali funkčnost PVLANů pomocí příkazu ping a došli k následujícím výsledkům: Počítače v rámci community VLAN 5 (tj. PC 1, 2, 3) si mohou navzájem posílat data a stejně tak mohou komunikovat přes promiscuous port s routerem RA. Počítače nacházející se v isolated VLAN 4 nemohou komunikovat s nikým kromě routeru RA přes promiscuous port. Router RA komunikuje přes promiscuous port se všemi počítači v naší síti. 4 Závěr Na switchích Catalyst 3560, které jsme měli k dispozici, fungovala všechna nastavení bezchybně a dle předpokladů. Cisco Systems poskytuje na svých stránkách rozsáhlou dokumentaci k tomuto switchi, respektive IOSu, která pokrývá běžné potřeby síťového administrátora. červen /9

8 červen /9

9 5 Použitá literatura [vlan07] SAMURAJ, VLAN - Virtual Local Area Network [online], , Dostupné z: [pvlan06] CISCO SYSTEMS, INC., Private VLAN Catalyst Switch Support Matrix [online], , Dostupné z: 30.shtml [c3560i] CISCO SYSTEMS, INC., Cisco Catalyst 3560 Series Switches - Introduction, , Dostupné z: [c3560p] CISCO SYSTEMS, Catalyst 3560 Switch Software Configuration Guide, 12.2(20)SE, Chapter - Configuring Private VLANs, , Dostupné z: guration/guide/swpvlan.html červen /9