12. VLAN, inter VLAN routing, VTP



Podobné dokumenty
Virtální lokální sítě (VLAN)

Projekt VRF LITE. Jiří Otisk, Filip Frank

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Konfigurace sítě s WLAN controllerem

Přepínače: VLANy, Spanning Tree

Aktivní prvky: přepínače

Počítačové sítě. Další informace naleznete na :

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

5. Směrování v počítačových sítích a směrovací protokoly

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

VLSM Statické směrování

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

Přepínaný Ethernet. Virtuální sítě.

Základy IOS, Přepínače: Spanning Tree

Technologie počítačových sítí

Počítačové sítě. Další informace naleznete na :

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

K čemu slouží počítačové sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Private VLANs - podpora u různých výrobců síťových prvků a ve VMWare

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network

Virtuální sítě 2.část VLAN

Konfigurace směrovače, CDP

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Použití Virtual NAT interfaces na Cisco IOS

VLSM Statické směrování

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

FAKULTA INFORMAČNÍCH TECHNOLOGIÍ. CCNA3 Modul č. 5, Pavel Bartoš, Radek Matula

Cisco IOS 3 - nastavení interface/portu - access, trunk, port security

Možnosti protokolu Cisco VTP v3

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

Aktivní prvky: přepínače

Vyvažování zátěže na topologii přepínačů s redundandními linkami

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

L2 multicast v doméně s přepínači CISCO

Propojování sítí,, aktivní prvky a jejich principy

L2 multicast v doméně s přepínači CISCO

Stručný návod pro nastavení routeru COMPEX NP15-C

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

STRUČNÝ NÁVOD K POUŽITÍ

Semestrální práce do předmětu TPS (Technologie Počítačových Sítí).

Příkazy Cisco IOS. 1 Přehled módů. 1.2 Uživatelský mód (User Mode) 1.3 Privilegovaný mód (Privileged Mode) 1.1 Klávesové zkratky

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

Podsíťování. Počítačové sítě. 7. cvičení

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Počítačové sítě. Miloš Hrdý. 21. října 2007

ÚČETNICTVÍ ORGANIZAČNÍCH KANCELÁŘÍ KOMPLEXNÍ SYSTÉM PRO VEDENÍ ÚČETNICTVÍ

Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky. Projekt do SPS

Případová studie datové sítě

Topologie počítačových sítí Topologie = popisuje způsob zapojení sítí, jejich architekturu adt 1) Sběrnicová topologie (BUS)

Použití programu WinProxy

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Aktivní prvky: síťové karty

Tunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele

Aktivní prvky: brány a směrovače. směrovače

e1 e1 ROUTER2 Skupina1

Zabezpečení v síti IP

Počítačové sítě internet

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

DHCP. Martin Jiřička,

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Pokročilé možnosti DHCP serveru v Cisco IOS. Vladimír Jarotek

Semestrální projekt do předmětu SPS

BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2

SPŠ a VOŠ Písek, Písek, K. Čapka 402. Učební texty. Datové sítě IV. Vypracovala: Ing. Daniela Krupičková

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Super Hot Multiplayer vzdálené sledování finančních dat. Konfigurace sítě. Strana: 1 / 8

VTP verze 3. Lukáš Zajac, Marek Wasniowski

X.25 Frame Relay. Frame Relay

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Internet. Počítačová síť, adresy, domény a připojení. Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie

Rozdělení (typy) sítí

SPS Úvod Technologie Ethernetu

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

pozice výpočet hodnota součet je 255

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

SPŠ a VOŠ Písek, Písek, K. Čapka 402. Učební texty. Datové sítě I. Vypracovala: Mgr. Radka Pecková

Distribuované systémy a počítačové sítě

JAK ČÍST TUTO PREZENTACI

Nezávislé unicast a multicast topologie s využitím MBGP

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Aktivní prvky: opakovače a rozbočovače

Podpora QoS (L2, L3) na DSLAM Zyxel IP Express IES 1000

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Systémy pro sběr a přenos dat

LAN/RS485. Převodník BMR Ethernet LAN/RS485

Inovace bakalářského studijního oboru Aplikovaná chemie

NMS WiFi Gateway. NMS Network Management System

Komunikace mezi uživateli: možnost posílání dat na velké vzdálenosti

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Transkript:

12. VLAN, inter VLAN routing, VTP Co je to VLAN Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Můžeme tedy naši síť segmentovat na menší sítě uvnitř fyzické struktury původní sítě. Jednoduše řečeno pomocí VLAN můžeme dosáhnout stejného efektu, jako když máme skupinu zařízení připojených do jednoho (několika propojených) switche a druhou skupinu do jiného (jiných) switche. Jsou to dvě nezávislé sítě, které spolu nemohou komunikovat (jsou fyzicky odděleny). Pomocí VLAN můžeme takovéto dvě sítě vytvořit na jednom (nebo několika propojených) switchi. Jednoduše se VLAN dá vysvětlit následujícím obrázkem. Budova má dvě patra. Na každém z nich switche navzájem propojené. Chceme-li propojit zařízení na patrech, ať už z jakéhokoliv důvodu (bezpečnost, sdílení dat a HW atp.) separátně museli bychom bez použité VLAN na každé patro zabudovat duplicitní switche pracující každý pro ve svojí síti nezávisle na té druhé. Toto řešení je jak z ekonomického, tak časového hlediska velmi nepraktické. S použitím VLAN máme možnost tyto dvě sítě vytvořit na stejných zařízeních pouze nastavením příslušných VLAN. S t ř e d n í P r ů m y s l o v á Š k o l a T ř e b í č Stránka 1

Důvody vzniku VLAN Myšlenka virtuálního rozdělení sítě začala vznikat okolo roku 1995, avšak byla pro jednotlivé výrobce tak specifická, že se dlouho nedočkala žádného standardu a moc se neuchytila. Okolo roku 2000 se začala více rozšiřovat hlavně ve středních a velkých firmách. Začala vznikat ze tří hlavních důvodů: Seskupování uživatelů - Do společné sítě se dají zařadit buďto uživatelé sdílející vlastní tiskárny, file server, atd. Většina komunikace probíhá uvnitř oddělení. Nebo skupiny využívající specifické služby jako databázový server atd. V sítích je pak větší přehled a hlavně je bezpečnější. Snížení broadcastů - Ve velkých sítích přináší značnou úsporu provozu Zmenšení kolizních domén - Největší rozdíl se objevuje hlavně při použití hubů Některé původní předpoklady využití se časem vytrácely a již nejsou příliš aktuální. V dnešní době se VLAN využívá z těchto důvodů: snížení broadcastů - hlavní výhodou VLAN je vytvoření více, ale menších, broadcastových domén. Tedy zlepšení výkonu sítě snížením provozu (traffic). zjednodušená správa - k přesunu zařízení do jiné sítě stačí překonfigurovat zařazení do VLAN, tedy správce konfiguruje SW (zařazení do VLAN) a ne HW (fyzické přepojení) zvýšení zabezpečení - oddělení komunikace do speciální VLAN, kam není jiný přístup. Toho se dá samozřejmě dosáhnout použitím samostatných switchů, ale VLAN je v tomto případě praktičtější (menší počet síťových prvků) oddělení speciálního provozu - dnes se používá řada provozu, který nemusí být propojen do celé sítě, ale přesto jej potřebujeme dostat na různá místa, navíc nechceme, aby nám ovlivňoval běžný provoz. Příkladem je například IP telefonie, komunikace mezi AP v centrálně řízeném prostředí, management (zabezpečení správcovského přístupu k zařízením). Například pro IP telefonii, kde je použití VLAN naprosto běžné, nám stačí jediná zásuvka, kam přivedeme VLAN pro telefonii i VLAN s přístupem do sítě a v telefonu se komunikace rozdělí. snížení HW - samozřejmě se nám nesnižuje potřebný počet portů (až na speciální případy jako IP telefonie), ale tím, že mohou být různé podsítě na stejném switchi, jej můžeme lépe využít (například pro propojení tří zařízení nepotřebujeme speciální switch, který má minimálně 8 portů). S t ř e d n í P r ů m y s l o v á Š k o l a T ř e b í č Stránka 2

Základní způsoby přiřazení hostů do VLAN Na Cisco switchích, které podporují VLAN, vždy existuje alespoň jedna VLAN. Jedná se o defaultní VLAN číslo 1, kterou není možno smazat či vypnout. Pokud nenastavíme jinak, tak jsou všechny porty (tedy veškerá komunikace) zařazeny do VLAN 1. Z bezpečnostních důvodů se tato VLAN nedoporučuje používat. Podle portu kdy port switche je ručně a napevno zařazen (nakonfigurován) do určité VLAN. Veškerá komunikace, která přichází přes tento port, spadá do zadané VLAN. To znamená, že pokud do portu připojíme další switch, tak všechny zařízení připojená k němu budou v jedné VLAN. Jedná se o nejrychlejší a nejpoužívanější řešení. Není třeba nic vyhodnocovat pro zařazení do VLAN. Definice zařazení do VLAN je lokální na každém switchi. Jednoduše se spravuje a je přehledné. Podle MAC adresy Rámce(port) se zařadí do VLAN podle zdrojové MAC adresy. Musíme tedy spravovat tabulku se seznamem MAC adres pro každé zařízení spolu s VLAN. Výhodou je, že se jedná o dynamické zařazení, takže pokud přepojíme zařízení do jiného portu, automaticky se zařadí do správné VLAN. Switch musí vyhledávat v tabulce MAC adres. Podle protokolu Tato metoda určuje zařazení podle protokolu přenášeného paketu. Například oddělíme IP provoz od AppleTalk. Nebo zařazujeme podle IP adresy či rozsahu. V praxi není příliš rozšířené. Zařízení musí mít napevno definovanou IP adresu a switch se musí dívat do třetí vrstvy (normálně funguje na druhé), znamená to zpomalení. Nastavování VLAN VLAN se běžně identifikují pomocí čísla, takže máme například VLAN 10. Pro jednodušší zapamatování a orientaci se k nim ještě přiřazují jména. Ta musí pro správnou komunikaci na každém ze switchů totožná. Možný číselný rozsah znázorňuje následující tabulka. VLAN popis 0 a 4095 reservované pro systémové použití 1 defaultní VLAN, standardně obsahuje všechny porty, nedá se smazat 2-1001 bežný rozsah pro ethernetové VLAN 1002-1005 speciální defaultní VLAN pro Token Ring a FDDI, nedají se smazat 1006-4094 rozšířené VLAN pro ethernet, nejsou vždy podporovány Příkazy pro zobrazení informaci show příkazy: SWITCH#show vlan // stručné info o VLAN a zařazení portů SWITCH#show interface vlan 10 // informace o VLAN 10 SWITCH#show running-config vlan // informace o VLAN z běžící konfigurace SWITCH#show interfaces f0/1 switchport // informace o portu spolu s VLAN S t ř e d n í P r ů m y s l o v á Š k o l a T ř e b í č Stránka 3

SWITCH#show interfaces trunk // info o truncích Následujícími příkazy se vytváří jednotlivé VLAN: Novou VLAN vytvoříme následujícím příkazem, pokud již VLAN existuje, tak se přepneme do její konfigurace. SWITCH(config)#vlan 10 // vytvoření VLAN 10 Nyní jsme v konfiguraci VLAN a můžeme nastavit několik parametrů, dobré je nastavit jméno VLAN pro snadnější orientaci. SWITCH(config-vlan)#name net1 // pojmenování VLAN Změny se uloží při opuštění konfigurace. SWITCH(config-vlan)#exit // o úroveň výš Zrušit VLAN můžeme standardně. Při zrušení VLAN však nedojde k odstranění vazeb, které na ni existují (jako zařazení portů do VLAN). SWITCH(config)#no vlan 10 // smazání VLAN 10 Přiřadit port ke konkrétní VLAN nám umožní následujícími příkazy: SWITCH(config)#interface f0/1 // přepnutí do konfigurace portu SWITCH(config-if)#switchport mode access // nastavení portu do přístupového módu SWITCH(config-if)#switchport access vlan 10 // zařazení do VLAN 10 Nastavení portu do trunk modu: S t ř e d n í P r ů m y s l o v á Š k o l a T ř e b í č Stránka 4

VLAN bez použití trunku 1 VLAN s trunkem 1 Jednotlivé VLAN fungují naprosto odděleně, proto je pro propojení jednotlivých switchů třeba užít stejný počet kabelů jaký je počet VLAN v konfiguraci. Tím máme pro každou VLAN vyhrazenu šířku pásma pro komunikaci, avšak při větším počtu VLAN přicházíme o volné porty na switchy. Zároveň v případech s nízkým provozem používáme zbytečný počet předimenzovaných kabelů. Z tohoto důvodu se dá port nastavit jako trunk port, skrze něj pak probíhá veškerá komunikace VLAN do něj přiřazených. Při jeho použití ušetříme porty na switchy, avšak probíhající komunikace všech VLAN na něj připojených se dělí o jeho datovou propustnost. Následující konfigurace musí být nastavena na obou portech do kterých je připojen trunk kabel. SWITCH(config)#interface f0/1 //přepnutí na správný port SWITCH(config-if)#shutdown //doporučeno nejprve vypnout port SWITCH(config-if)#switchport trunk encapsulation dot1q //zvolím metodu označování SWITCH(config-if)#switchport trunk allowed vlan 2-200 //které VLAN se přenáší SWITCH(config-if)#switchport trunk native vlan 10 //určení nativní VLAN S t ř e d n í P r ů m y s l o v á Š k o l a T ř e b í č Stránka 5

SWITCH(config-if)#switchport mode trunk //nastavení portu do TRUNK modu SWITCH(config-if)#no shutdown //nahození portu VTP - VLAN Trunking Protocol Většinou chceme, aby vytvořené VLAN existovaly v celé síti (nebo v určité části, ale ne pouze na jednom switchi). Pro přenášení dat v těchto VLAN mezi switchi se využívají trunky. Aby se však dalo s těmito VLAN pracovat, tak musí být vytvořeny na každém switchi. Při menším počtu switchů (a pokud chceme větší dohled), tyto VLAN na každém switchi nakonfigurujeme ručně (většinou to není tolik práce). Musíme však pamatovat při vytvoření nové VLAN ji opět všude nakonfigurovat. Při ruční konfiguraci si však musíme dát pozor na totožné nastavení jednotlivých VLAN. Druhou možností je využití VLAN Trunking Protocol (VTP), což je L2 protokol, který slouží k přenášení informací o VLAN mezi switchy. VTP spravuje přidávání, mazání a přejmenování VLAN uvnitř VTP domény. VTP doména je tvořena jedním nebo více síťovými zařízeními, která mají nastaveno stejné jméno domény a jsou propojeny pomocí trunku. Princip je takový, že každý switch ve VTP doméně má nastavený jeden ze tří módů server - může vytvářet a mazat VLAN, rozesílá informace ve VTP doméně klient - pouze přijímá konfiguraci ze serveru, udržuje lokální kopii, kterou nelze měnit transparentní - ignoruje VTP, pracuje samostatně, může vytvářet i mazat VLAN, ale změny jsou lokální, může přeposílat VTP advertisements Server pak rozesílá (přes trunky) VTP advertisements každých 5 minut nebo při změně v konfiguraci. Server udržuje konfigurační revizní číslo (configuration revision number), které při každé změně zvýší o jedna. Klient pak při synchronizaci porovnává svoje a přijaté číslo. Nejprve musíme vytvořit VTP doménu, těch může existovat více a informace se předávají pouze v rámci domény. VTP advertisements neprochází přes router. Nastavení VTP: Můžeme nastavit heslo, které musí být na všech switchích v doméně shodné. Heslo není uloženo v running-config. Není povinné heslo nastavovat. Existuje i několik dalších nastavení, například nastavení verze VTP (1 nebo 2), kdy všechny switche v doméně musí mít stejnou verzi. Můžeme také povolit pruning. V tom případě se rozesílají VTP rámce pouze do trunků, kde to má význam. Tedy pro ty VLAN, které jsou v trunku konfigurovány. Bez pruningu se posílá informace po všech truncích. SWITCH(config)#vtp domain domena1 SWITCH(config)#vtp password heslo S t ř e d n í P r ů m y s l o v á Š k o l a T ř e b í č Stránka 6

SWITCH(config)#vtp mode server //možnosti server, client, transparent SWITCH(config)#vtp pruning SWITCH#show vtp status VTP na switchi // základní info o běhu SWITCH#show vtp counters přenosů // statistika VTP Směrování mezi VLAN VLAN se chovají jako klasické fyzické sítě, pro směrování mezi nimi tedy potřebujeme mít každou síť zapojenou do routeru. Jednotlivé VLAN tedy zapojíme do routeru, ten si je zapíše do směrovací tabulky (udělá to sám, protože se jedná o přímo připojené sítě) a směruje. Problém nastává v případě zapojení trunk portu do routeru. Každá síť potřebuje mít výchozí bránu pro odesílání paketu, čili nastavenou IP adresu na vstupním portu routeru. Jedná se ale o jednotlivé VLAN, takže neexistuje IP adresa vyskytující se ve dvou zároveň. Z tohoto důvodu máme možnost port rozdělit na takzvané subinterface a každé z nich nastavit příslušnou IP adresu. Dalo by se říct, že subinterface je interface s indexem např. F0/0.1, F0/0.2. Nastavení je vcelku jednoduše ukázáno následujícím příkladem: ROUTER(config)#interface fastethernet 0/1.1 //port s indexem ROUTER(config-if)#encapsulation dot1q 123 // přiřazení subinterface VLAN123 ROUTER(config-if)#ip address 192.168.20.1 255.255.255.0 // nastavení IP adresy S t ř e d n í P r ů m y s l o v á Š k o l a T ř e b í č Stránka 7

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář