Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

Podobné dokumenty
Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

Private VLANs - podpora u různých výrobců síťových prvků a ve VMWare

Projekt VRF LITE. Jiří Otisk, Filip Frank

Přepínače: VLANy, Spanning Tree

Private VLANs - podpora u různých výrobců

VLSM Statické směrování

Konfigurace sítě s WLAN controllerem

Základy IOS, Přepínače: Spanning Tree

Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky. Projekt do SPS

uvysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky Projekt do SPS

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Technologie počítačových sítí

12. VLAN, inter VLAN routing, VTP

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Nezávislé unicast a multicast topologie s využitím MBGP

VLSM Statické směrování

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Vyvažování zátěže na topologii přepínačů s redundandními linkami

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Virtální lokální sítě (VLAN)

Cisco IOS 3 - nastavení interface/portu - access, trunk, port security

VTP verze 3. Lukáš Zajac, Marek Wasniowski

HSRP v1+v2, reakce na události object trackingu, vliv na zátěž CPU

Podpora QoS (L2, L3) na DSLAM Zyxel IP Express IES 1000

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Přepínaný Ethernet. Virtuální sítě.

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

L2 multicast v doméně s přepínači CISCO

L2 multicast v doméně s přepínači CISCO

Část l«rozbočovače, přepínače a přepínání

Možnosti protokolu Cisco VTP v3

Aktivní prvky: přepínače

Implementace redundance pomocí virtuálních přepínačů a multichassis link aggregation na aktuálních platformách významných výrobců síťových prvků

SMĚROVANÉ A PŘEPÍNANÉ SÍTĚ semestrální projekt. DHCP snooping. Petr Gurecký gur020

Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

Semestrální projekt do předmětu SPS

Konfigurace směrovače, CDP

Použití Virtual NAT interfaces na Cisco IOS

Tunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele

MPLS Penultimate Hop Popping

Propojování sítí,, aktivní prvky a jejich principy

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ETHERCHANNEL A LINK AGGREGATION CASE-STUDY CCNP. Bc. Vladimír Veselý xvesel38

Případová studie datové sítě

VComNet uživatelská příručka. VComNet. Uživatelská příručka Úvod. Vlastnosti aplikace. Blokové schéma. «library» MetelCom LAN

Jak funguje SH Síť. Ondřej Caletka

Budování sítě v datových centrech

Počítačové sítě. Další informace naleznete na :

Typická využití atributu Community protokolu BGP - modelové situace

Počítačové sítě. Další informace naleznete na :

MPLS MPLS. Label. Switching) Michal Petřík -

Implementace Windows Load Balancingu (NLB)

VRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS

VPLS, redundance přípojných linek na bázi MLAG

5. Směrování v počítačových sítích a směrovací protokoly

Konfigurace Cisco směrovače

e1 e1 ROUTER2 Skupina1

DHCP snooping na přepínači Cisco Catalyst C rozšíření a přepracování projektu z minulého roku.

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Bridging na Linuxu - příkaz brctl - demonstrace (všech) voleb na vhodně zvolených topologiích.

Cisco IOS TCL skriptování využití SMTP knihovny

Možnosti ochranného mechanismu Loop Guard v implementaci Spanning Tree firmy Cisco

HSRP a VRRP s využitím IPv6

Počítačové sítě I. 9. Internetworking Miroslav Spousta,

Loop-Free Alternative (LFA)

Projekt. Howto VRF/VPN na CISCO routerech v. 2. Zpracoval:BU KOVÁ Dagmar, BUC061

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Možnosti DHCP snoopingu, relayingu a podpora multicastingu na DSLAM Zyxel IES-1000

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování:

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Protokol GLBP. Projekt do předmětu Správa počítačových systémů Radim Poloch (pol380), Jan Prokop (pro266)

Ověření IGMP snoopingu na přepínačích Cisco Catalyst. Semestrální projekt do předmětu Směrované a přepínané sítě

Podpora a možnosti konfigurace VLAN GVRP a autentizace 802.1x na DSLAM Zyxel IES-1000

SCALANCE XM-400 Více možností pro Vaši síť

BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2

FSD-804PS. 8-Portů 10/100Mbps s 4-Port PoE Web Smart Ethernet Switch. Uživatelský manuál

SPŠ a VOŠ Písek, Písek, K. Čapka 402. Učební texty. Datové sítě I. Vypracovala: Mgr. Radka Pecková

František Potužník, ÚVT UK. Pro VRS 99 František Potužník, ÚVT UK 1

Průvodce rychlým nastavením

Podsíťování. Počítačové sítě. 7. cvičení

Quick Installation Guide

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1

Přepínače CISCO série 2900 a 2950

VŠB - Technická univerzita Ostrava

Podmíněná propagace cest do protokolu BGP

JAK ČÍST TUTO PREZENTACI

FAKULTA INFORMAČNÍCH TECHNOLOGIÍ. CCNA3 Modul č. 5, Pavel Bartoš, Radek Matula

Aktivní prvky: přepínače

IPv6 VPN přes IPv4 MPLS páteř

Konfigurace směrovačů a přepínačů s Cisco IOS

Statistiky sledování televize

DLNA- Průvodce instalací

Budování sítě v datových centrech

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

LAN/RS485. Převodník BMR Ethernet LAN/RS485

Počítačové sítě 1 Přednáška č.7 Přepínané LAN sítě

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

Transkript:

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560 Dvouletý Pavel, Krhovják Roman Abstrakt: Práce zkoumá možnosti a funkčnost nastavení private VLAN na switchi Cisco Catalyst 3560. Na praktickém příkladě jsou ověřeny teoretické možnosti. Klíčová slova: switch, cisco, PVLAN, private VLAN, Catalyst 3560 1 Úvod...2 1.1 VLAN (Virtual Local Area Network)...2 1.2 PVLAN (Private VLAN)...2 1.3 Switch Cisco Catalyst 3560...3 2 Postup konfigurace PVLAN na Cisco Catalyst 3560...3 2.1 Nastavení VTP módů...3 2.2 Primární a sekundární VLANy...3 2.3 Konfigurace portů...4 2.4 Promiskuitní porty...4 3 Ověření funkčnosti PVLAN na konkrétní konfiguraci...4 3.1 Úvod...4 3.2 Nákres...5 3.3 Konfigurace...5 3.4 Výpisy...6 3.5 Výsledky...7 4 Závěr...7 5 Použitá literatura...8 červen 2008 1/9

1 Úvod 1.1 VLAN (Virtual Local Area Network) VLAN je logická síť v rámci jednoho nebo více switchů. Jeden switch lze rozdělit na několik VLANů. Jednotlivé VLANy mají stejné vlastnosti jako fyzická síť LAN a přitom se připojené počítače můžou nacházet na různých místech od sebe vzdálených. VLANy řeší několik problémů: Seskupení uživatelů do oddělení, pokud nejsou fyzicky blízko Omezení broadcastů - jsou posílány do menších sítí Zmenšení kolizních domén ve srovnání s použitím hubů Zjednodušená správa - není potřeba při přemístění uživatele do jiného oddělení fyzicky přepojovat hw. [vlan07] 1.2 PVLAN (Private VLAN) PVLAN poskytuje izolaci portů ve stejném VLANU na druhé vrstvě ISO-OSI (L2). Pro použití PVLAN je třeba nejdříve vytvořit Primary VLAN. Každá PVLAN má právě jeden Primary VLAN. Primary VLAN si můžeme představit jako jakési zapouzdření, ve kterém se pak budou nacházet Secondary VLANy. Spojení s okolním světem je zprostředkováno pomocí vyhrazených portu (promiscuous port). V Primary VLAN lze vytvořit libovolný počet Secondary VLANů. Secondary VLAN má dva typy: Isolated VLAN - Může být v Primary VLANu jen jeden a nacházejí se v něm Isolated porty. Community VLAN - Těch může být v Primary VLANu libovolné množství. Každý Community VLAN zahrnuje své Community porty. Promiscuous port - Tyto porty jsou součástí Primary VLANu a komunikují se všemi porty secondary VLANu. (typicky linka na internet nebo trunk port). Isolated port - Je součástí Isolated VLAN a kompletně oddělen na druhé vrstvě od ostatních portů ve stejném VLANu, kromě promiscuous portu. Private VLAN blokuje veškerou komunikaci směřující na isolated port kromě promiscuous portu a veškerý provoz v isolated portu je směrován na promiscuous port. Community port - Port vlastněn jednou z Community VLAN. Tyto porty komunikují s porty ve stejném Community VLANu a dále pak s Promiscuous porty. Skupina portů náležící jednoumu Community VLANu je oddělena na druhé vrstvě od všech ostatních kromě promiscuous portu. Jedno z využití PVLAN je zvýšení bezpečnosti. Pokud útočník prolomí zabezpečení jednoho serveru, může pak podnikat útoky na ostatní servery v rámci VLANu. PVLAN pak umožňuje servery izolovat. Následující obrázek se snaží přehledně popsat problematiku Private VLAN: červen 2008 2/9

1.3 Switch Cisco Catalyst 3560 Série Cisco Catalyst 3560 je řada switchů s fixní konfigurací určených pro firmy. Lze na nich využít jednoduchost tradičního LAN přepínání, ale také využívat pokročilých služeb jako Qos, Rate limiting, ACLs, Multicast management či Highperformance IP routing. [c3560i] Switche jsou prodávány ve verzích 8, 24 či 48 portové se 2 či 4 SPF porty. Cena se pohybuje cca od 800$ za 8 portový až po cca 8000$ za 48 portový. Pro podporu PVLAN je potřeba minimálně verze software 12.2(20)SE - EMI. Switch potom podporuje nastavení Isolated i Community VLANů. 2 Postup konfigurace PVLAN na Cisco Catalyst 3560 2.1 Nastavení VTP módů VTP (VLAN Trunk Protocol) je protokol pracující na druhé vrstvě. Zajišťuje konzistenci konfigurace v celé síti. Změny v síti se provádějí pouze na jednom switchi a pomocí VTP jsou rozeslány na ostatní switche. Prvním krokem v konfiguraci PVLANu je přepnutí switche do VTP módu transparent (standardně je switch nastaven v modu server). V transparent modu je VTP vypnut, neodesílá VTP updaty a nereaguje na ně. Ve VTP verzi 2 jsou updaty přeposílány pouze na trunk porty. Zde jsou základní příkazy: configure terminal vtp mode transparent vtp version 2 show vtp status přepne switch do transparentního módu přepne VTP na verzi 2 zobrazí informace o nastavení červen 2008 3/9

2.2 Primární a sekundární VLANy Nyní musíme vytvořit primární VLAN a sekundární VLANy. Sekundární pak přiřadíme do primárního. configure terminal vlan vlan-id private-vlan primary vlan vlan-id private-vlan isolated vlan vlan-id private-vlan community private-vlan association add remove list show vlan private-vlan [type] rozsah 2-1001 1006-4094 určí, že tento VLAN je primární tento VLAN je isolated (sekundární) tento VLAN je community (sekundární) list= seznam secondary vlanů* ověření konfigurace * Seznam secondary PVLANů nesmí obsahovat mezery. Obsahuje položky oddělené čárkou. Položka může být jeden PVLAN nebo rozsah PVLANů (např: "5,7-9"). Seznam může obsahovat několik community VLANů, ale jen jeden isolated VLAN. 2.3 Konfigurace portů Dále je třeba konfigurovat náležitá rozhraní: Označit je jako PVLAN porty a přičlenit je k primary a secondary VLANům. configure terminal interface interface-id switchport mode private-vlan host switchport private-vlan hostassociation primary_vlan_id secondary_vlan_id show interfaces [interface-id] switchport 2.4 Promiskuitní porty vstoupím na interface port je PVLAN hostem (nebude promiskuitním) asociuji port s PVLANy: s primárním a se sekundárním ověřím správnost nastavení Nakonec nakonfigurujeme promiskuitní porty, přiřadíme je k primary VLANu a zvoleným secondary VLANům. configure terminal interface interface-id switchport mode private-vlan promiscuous switchport private-vlan mapping prim_vlan_id add remove list vstoupím na interface port je PVLAN promiskuitním portem namapuji port na konkrétní PVLAN a na seznam secondary VLANů* červen 2008 4/9

show interfaces [interface-id] switchport ověřím správnost nastavení * viz. * u bodu 2.2 3 Ověření funkčnosti PVLAN na konkrétní konfiguraci 3.1 Úvod Navrhli jsme zapojení, na kterém je možno otestovat funkčnost PVLANu na více přepínačů. Switch RS1 je propojen pomocí trunku s RS2. K RS1 je připojen jeden počítač PC1 v community VLANu a router, za kterým je CRP. K RS2 je připojena dvojice počítačů v isolated VLANu (PC4 a PC5) a dvojice počítačů v Community VLANu (PC2 a PC3). Community VLAN je na obou přepínačích totožný (číslo 5). Primary VLAN na obou přepínačích má také shodné číslo 100. Porty Fe01 pro Trunk spojení mezi RS1 a RS2 nakonfigurujeme jako Promiscuous. Zařízení pomocí DTP (Dynamic Trunking Protocol) rozpozná, že se jedná o trunk port a automaticky jej nastaví (ověříme později kontrolním výpisem). 3.2 Nákres 3.3 Konfigurace Switch RS1 (konfigurační režim) RS1(config)#vtp mode transparent RS1(config)#vlan 100a červen 2008 5/9

RS1(config-vlan)#private-vlan primary RS1(config-vlan)# RS1(config)#vlan 5 RS1(config-vlan)#private-vlan community RS1(config-vlan)# RS1(config)#vlan 100 RS1(config-vlan)#private-vlan association add 5 RS1(config-vlan)# RS1(config)#int fastethernet 0/5 RS1(config-if)#switchport mode private-vlan host RS1(config-if)#switchport private-vlan host-association 100 5 RS1(config-if)# RS1(config)#int fastethernet 0/6 RS1(config-if)#switchport mode private-vlan promiscuous RS1(config-if)#switchport private-vlan mapping 100 add 4-5 RS1(config-if)# RS1(config)#int fastethernet 0/1 RS1(config-if)#switchport mode private-vlan promiscuous RS1(config-if)#switchport private-vlan mapping 100 add 4-5 RS1(config-if)# Switch RS2 (konfigurační režim) RS2(config)#vtp mode transparent RS2(config)#vlan 100 RS2(config-vlan)#private-vlan primary RS2(config-vlan)# RS2(config)#vlan 4 RS2(config-vlan)#private-vlan isolated RS2(config-vlan)# RS2(config)#vlan 100 RS2(config-vlan)#private-vlan association add 4 RS2(config-vlan)# RS2(config)#int fasteth 0/4 RS2(config-if)#switchport mode private-vlan host RS2(config-if)#switchport private-vlan host-association 100 4 RS2(config-if)# RS2(config)#vlan 5 RS2(config-vlan)#private-vlan community RS2(config-vlan)# RS2(config)#vlan 100 RS2(config-vlan)#private-vlan association add 5 RS2(config-vlan)# RS2(config)#int fasteth 0/2 RS2(config-if)#switchport mode private-vlan host RS2(config-if)#switchport private-vlan host-association 100 5 RS2(config-if)# RS2(config)#int fasteth 0/3 RS2(config-if)#switchport mode private-vlan host RS2(config-if)#switchport private-vlan host-association 100 5 RS2(config-if)# RS2(config)#int fasteth 0/1 RS2(config-if)#switchport mode private-vlan promiscuous RS2(config-if)#switchport private-vlan mapping 100 add 4-5 RS2(config-if)# červen 2008 6/9

RS2(config)#int fastethernet 0/7 RS2(config-if)#switchport mode private-vlan host RS2(config-if)#switchport private-vlan host-association 100 4 RS2(config-if)# 3.4 Výpisy Výpis ze switche RS1 RS1#show vlan private-vlan Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------ 100 5 community Fa0/1, Fa0/6, Fa0/5 Výpis ze switche RS2 RS2#sh vlan private-vlan Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------ 100 4 isolated Fa0/1, Fa0/4, Fa0/7 100 5 community Fa0/1, Fa0/2, Fa0/3 Kontrola nastavení trunk na RS1 RS1(config)#do show interface fa0/1 trunk Port Mode Encapsulation Status Native vlan Fa0/1 other negotiate other 1 Port Vlans allowed on trunk Fa0/1 4,5,100 Port Vlans allowed and active in management domain Fa0/1 4,5,100 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 100 3.5 Výsledky Po úspěšném zapojení jsme otestovali funkčnost PVLANů pomocí příkazu ping a došli k následujícím výsledkům: Počítače v rámci community VLAN 5 (tj. PC 1, 2, 3) si mohou navzájem posílat data a stejně tak mohou komunikovat přes promiscuous port s routerem RA. Počítače nacházející se v isolated VLAN 4 nemohou komunikovat s nikým kromě routeru RA přes promiscuous port. Router RA komunikuje přes promiscuous port se všemi počítači v naší síti. 4 Závěr Na switchích Catalyst 3560, které jsme měli k dispozici, fungovala všechna nastavení bezchybně a dle předpokladů. Cisco Systems poskytuje na svých stránkách rozsáhlou dokumentaci k tomuto switchi, respektive IOSu, která pokrývá běžné potřeby síťového administrátora. červen 2008 7/9

červen 2008 8/9

5 Použitá literatura [vlan07] SAMURAJ, VLAN - Virtual Local Area Network [online], 2.6.2007, Dostupné z: http://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/ [pvlan06] CISCO SYSTEMS, INC., Private VLAN Catalyst Switch Support Matrix [online], 8.12.2006, Dostupné z: http://www.cisco.com/en/us/products/hw/switches/ps708/products_tech_note09186a00800948 30.shtml [c3560i] CISCO SYSTEMS, INC., Cisco Catalyst 3560 Series Switches - Introduction, 9.1.2008, Dostupné z: http://www.cisco.com/en/us/products/hw/switches/ps5528/ [c3560p] CISCO SYSTEMS, Catalyst 3560 Switch Software Configuration Guide, 12.2(20)SE, Chapter - Configuring Private VLANs, 5.8.2007, Dostupné z: http://www.cisco.com/en/us/docs/switches/lan/catalyst3560/software/release/12.2_20_se/confi guration/guide/swpvlan.html červen 2008 9/9

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář