Wirtualne sieci LAN

Wykład:  Zaawansowane sieci komputerowe
Prowadzący:  dr inż. Sławomir Nowak

Opracowanio na podstawie

 materiałów kursu CCNA

 

 

Wprowadzenie

Sieć VLAN jest logiczną grupą stacji i urządzeń sieciowych.

 

Sieci VLAN można tworzyć na podstawie stanowisk lub 

departamentów 

w firmie, 

niezależnie od miejsca

, w którym fizycznie znajdują się 

użytkownicy. 

Urządzenia w sieci VLAN komunikują się tylko z urządzeniami 

znajdującymi się w tej samej sieci VLAN. 

Połączenie między sieciami VLAN zapewniają routery.

 

 

Wprowadzenie

Definicja wg. miesięcznika NetWorld

Wirtualne sieci LAN – umożliwiają wirtualne grupowanie stanowisk 

pracy, niezależnie od tego, gdzie fizycznie znajdują się w sieci. 

Administrator sieci może fizycznie podzielić całą sieć na elementy 

logiczne, nie zważając na to, w jakim segmencie sieci są 

zlokalizowane różne stanowiska pracy. Technologia sieci VLAN jest 

pomocna przy wprowadzaniu różnego rodzaju zmian, takich jak 

definiowanie nowych stanowisk pracy, usuwanie ich z sieci, 

kontrolowanie pakietów rozgłoszeniowych, itp. 

Bardzo istotną zaletą tych sieci jest to, że administrator może 

grupować serwery w jednym miejscu. Ułatwia to znakomicie zadanie 
zarządzania tymi serwerami, świadczącymi swe usługi wielu grupom 

roboczym, z których każda reprezentuje wirtualną sieć LAN.

 

 

Po co to???

Sieci VLAN mogą zwiększyć skalowalność i bezpieczeństwo sieci oraz 

usprawnić zarządzanie nią. 

Routery w sieciach VLAN filtrują ruch rozgłoszeniowy, zapewniają 

bezpieczeństwo i poprawiają wydajność sieci.

Bez sieci VLAN trudno jest przenieść użytkownika z jednego biura do 

drugiego. Może to wymagać ponownej konfiguracji routera, 

wprowadzenia zmian 

w kablach połączeniowych oraz ponownej konfiguracji adresu IP na 

hoście. Natomiast host podłączony do przełącznika umożliwiającego 

obsługę sieci VLAN pozostaje po prostu w tej samej sieci VLAN, 

domenie rozgłoszeniowej lub podsieci. 

 

 

Sieci VLAN a sieci fizyczne

Sieć VLAN jest logiczną grupą stacji, usług i urządzeń sieciowych, 

które nie są ograniczone fizycznym segmentem sieci LAN.

 

 

Struktura fizyczna i logiczna

 

 

Jeden router – trzy domeny 

rozgłoszeniowe

Sieć VLAN jest logiczną grup stacji, usług i urządzeń sieciowych, 

które nie są ograniczone fizycznym segmentem sieci LAN.

 

 

Rodzaje sieci VLAN

Można wyróżnić dwa rodzaje sieci VLAN:

- Statyczne

- Dynamiczne

 

 

Statyczne sieci VLAN

Statyczne sieci VLAN

 o noszą nazwę sieci członkowskich VLAN 

opartych na portach (ang. port-centric). 

W momencie, gdy urządzenie jest dołączane do sieci, 

automatycznie przyjmuje ono członkostwo w sieci VLAN tego portu, 

do którego zostało podłączone.

 

 

Dynamiczne sieci VLAN

Do tworzenia dynamicznych sieci VLAN służy oprogramowanie 

CiscoWorks 2000 lub CiscoWorks for Switched Internetworks.

 

 

Określanie przynależności do sieci 

VLAN

- sieci VLAN oparte na portach (statyczne);

- sieci VLAN oparte na adresach MAC;

 - sieci VLAN oparte na protokołach.

 

 

Rodzaje sieci VLAN 

Opis 

Oparte na portach 

  Najczęsciej stosowana metoda konfigurowania 

  Łatwe w uzyciu 

  Często stosowane tam, gdzie do przypisania 

adresów IP do hostów w sieci używany jest 

protokół dynamicznej konfiguracji hostów DHCP 

Oparte na  adresach MAC 

  Obecnie rzadko stosowane 

  Każdy adres musi być wprowadzony ręcznie do 

przełącznika i skonfigurowany 

  Wygodne dla użytkowników 

  Trudne w administrowaniu, zarządzaniu  

i rozwiązywaniu problemów 

Oparte na protokołach 

  Konfigurowane podobnie jak adresy MAC,  

ale używany jest adres logiczny 

  Obecnie rzadko używane, gdyż stosowany jest 

mechanizm DHCP  

 

 

 

Konfigurowanie statycznych sieci 

VLAN

Statyczna konfiguracja sieci VLAN 

polega na ręcznym 

przypisywaniu portów przełącznika do sieci VLAN

. 

Można to skonfigurować bezpośrednio w przełączniku za 

pomocą interfejsu CLI. 

Porty te zachowują przypisaną im konfigurację sieci VLAN do 

momentu ręcznej jej zmiany. 

 

 

Konfigurowanie statycznych sieci 

VLAN

• maksymalna liczba sieci VLAN zależy od przełącznika;

VLAN 1

• jedną z domyślnie zainstalowanych fabrycznie sieci VLAN 

jest VLAN1;

• domyślną siecią VLAN Ethernet jest VLAN1;

• rozgłaszanie protokołów: CDP (ang. Cisco Discovery 

Protocol) odbywa się przez sieć VLAN 1; 

• adres IP przełącznika domyślnie znajduje się w domenie 

rozgłoszeniowej sieci VLAN1;

 

 

Konfigurowanie statycznych sieci 

VLAN

Tworzenie sieci VLAN w przełączniku jest łatwym zadaniem. 

Jeśli jest używany przełącznik zarządzany przy użyciu poleceń 

systemu IOS, do wejścia w tryb konfigurowania sieci VLAN 

można użyć polecenia vlan database w uprzywilejowanym 

trybie EXEC. 

W razie potrzeby można także skonfigurować nazwę sieci 

VLAN.

Switch#vlan database

Switch(vlan)#vlan numer_sieci_VLAN

Switch(vlan)#exit 

 

 

Konfigurowanie statycznych sieci 

VLAN

Sekwencje konfiguracyjne mogą różnić się w zależności 

od typu i serii urządzenia. Podane poniżej sekwencje 

dotyczą nowszych serii urządzeń sieciowych a także 

działają 

w programie PacketTracer.

Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 2
Switch(config-vlan)#name test
Switch(config-vlan)#exit

Może także wystąpić sekwencja poleceń 

set

 

 

Konfigurowanie statycznych sieci 

VLAN

Po wyjściu z tego trybu konfiguracja sieci VLAN zostanie 

zastosowana w przełączniku. Następnym krokiem jest 

przypisanie sieci VLAN do jednego lub wielu interfejsów.

Switch(config)#interface fastethernet 0/9

Switch(config-if)#switchport access vlan 
numer_sieci_VLAN 

 

 

Sprawdzanie konfiguracji

Zalecaną zasadą jest sprawdzenie konfiguracji sieci VLAN za 

pomocą poleceń:

show vlan

show vlan brief

show vlan idnumer_id

 

 

Usuwanie VLAN i konfiguracji VLAN dla 

przełącznika

Procedura usuwania ustawień VLAN z konfiguracji portu  jest 

podobna do tej, która służy do usuwania polecenia z routera. 

No po przypisaniu  VLAN dla interfejsu FastEthernet 0/9 za 

pomocą polecenia 

switchport access vlan 300

 

aby usunąć tę sieć VLAN z interfejsu, wystarczy użyć tego 

polecenia w postaci ze słowem kluczowym no:

no switchport access vlan 300 

Do usunięcia sieci VLAN z przełącznika można użyć 

następującego polecenia:

    Switch#vlan database

    Switch(vlan)#no vlan 300 

Po usunięciu sieci VLAN wszystkie przypisane do niej porty 

staną się nieaktywne. Będą one jednak do niej przypisane, 

dopóki nie zostaną przypisane do innej sieci VLAN.

 

 

Łącza trunkingowe

Na wczesnym etapie rozwoju technologii sieci VLAN ich 

wdrażanie 

w obrębie całej sieci sprawiało duże trudności. Każdą należało 

skonfigurować ręcznie na wszystkich przełącznikach. 

Zarządzanie sieciami VLAN w dużych, rozbudowanych 

sieciach było bardzo skomplikowane

. 

Dodatkowym utrudnieniem była niespójność funkcji obsługi 

sieci VLAN w przełącznikach oferowanych przez różnych 

producentów. Aby rozwiązać te problemy, opracowano 

technologię trunkingu sieci VLAN

.

Tworzenie łączy trunkingowych w sieci VLAN umożliwia 

konfigurowanie wielu sieci VLAN w obrębie jednej sieci 

fizycznej przez dodawanie do ramek specjalnych znaczników 

wskazujących, do której sieci VLAN należy dana ramka.

 

 

Łącza trunkingowe

W technologii radiowej łącze trunkingowe to 

pojedyncza linia 

komunikacyjna

, w której istnieje 

wiele kanałów

 przenoszących 

sygnały radiowe.

Łącze trunkingowe to fizyczne i logiczne połączenie między 

dwoma przełącznikami, po którym odbywa się ruch w sieci. 

 

 

Łącza trunkingowe

W sieci przełączanej łącze trunkingowe to łącze punkt-punkt, które 

może obsługiwać kilka sieci VLAN

. Celem stosowania łączy 

trunkingowych jest 

zmniejszenie liczby wykorzystywanych portów

 

podczas budowania połączeń między dwoma urządzeniami 

implementującymi sieci VLAN. 

Łącza trunkingowe pozwalają skonfigurować wiele łączy 

wirtualnych 

w jednym łączu fizycznym. 

 

 

Łącza trunkingowe

Problemem jest rozróżnienie, które ramki należą do których VLAN 

we wspólnym łączu? 

Realizowane jest to za pomocą odpowiedniego 

znakowania ramek

 

lub 

filtrowania ramek

.

Filtrowanie ramek

 

 

Łącza trunkingowe – znakowanie ramek

Protokoły łączy trunkingowych, które wykorzystują znakowanie 

ramek, charakteryzują się szybszym przesyłaniem ramek i są 

łatwiejsze 

w zarządzaniu.

Każda ramka wysyłana za pośrednictwem łącza 

jest znakowana informacjami o sieci VLAN, do 

której należy

 

 

Znakowanie ramek

Stosowanie VLAN wymaga odpowiedniego 

znakowania (modyfikacji) ramek.

 

 

Łącza trunkingowe – znakowanie ramek

Istnieją różne schematy znakowania. Dwa najpopularniejsze 

schematy wykorzystywane w segmentach sieci Ethernet to ISL i 

802.1Q:

- ISL — protokół firmy Cisco
- 802.1Q — standardowy protokół IEEE

 

 

Łącza trunkingowe – enkapsulacja ISL

Ramka ISL enkapsuluje ramkę ethetnetową

 

 

Konfiguracja łącza trunkingowego

Należy skonfigurować port jako port łącza trunkingowego;

switch(config)#configure terminal
switch(config)#interface fastethernet 0/1
switch(config-if)#switchport mode trunc 

Następnie należy określić sposób enkapsulacji:

switch(config-if)#switchport trunc encapsulation isl

lub dla 802.1Q:

Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#end

Na niektórych przełącznikach nie ma potrzeby określania enkapsulacji, 

bo np. dostępna jest tylko jedna.

 

 

Protokół VTP

Protokół VTP

 (ang. VLAN Trunking Protocol) zapewnia obsługę 

dynamicznego informowania o dodaniu, usunięciu i zmianie nazwy 

sieci VLAN w całej strukturze przełącznika.

Protokół VTP został opracowany przez firmę Cisco w celu 

rozwiązania problemów operacyjnych w przełączanych sieciach, w 

których skonfigurowano sieci VLAN. Jest to protokół firmy Cisco.

Zalety VTP:

 

 

Protokół VTP

 VTP to 

protokół komunikacyjny

, który umożliwia dodawanie, 

usuwanie i zmianę nazwy sieci VLAN, używając do tego ramek łączy 

trunkingowych warstwy 2. 

Pozwala on na scentralizowane 

wprowadzanie zmian

, o których informacje są rozsyłane do 

wszystkich pozostałych przełączników w sieci.

Komunikaty protokołu VTP są umieszczane w ramkach własnego 

protokołu Cisco — ISL lub protokołu IEEE 802.1Q, a następnie 

przekazywane za pośrednictwem łączy trunkingowych do kolejnych 

urządzeń. 

Protokół VTP działa z wykorzystaniem pojęcia tzw. 

domeny VTP

Domena VTP składa się z jednego lub więcej połączonych ze sobą 

urządzeń, które mają wspólną nazwę domeny VTP. Dany przełącznik 

może należeć tylko do jednej domeny VTP.

 

 

Protokół VTP

W przypadku zainstalowania protokołu VTP, każdy przełącznik 

ogłasza na swoich portach łącza trunkingowego informacje o swojej 

domenie zarządzania, numer wersji konfiguracji, informacje o 

znanych sobie sieciach VLAN oraz niektóre parametry tych sieci. 

Ramki ogłoszeń są wysyłane na adres grupowy, tak aby mogły 

dotrzeć do wszystkich sąsiednich urządzeń. 

Wszystkie urządzenia należące do tej samej domeny zarządzania 

dowiadują się o wszystkich nowych sieciach VLAN skonfigurowanych 

na urządzeniu wysyłającym. 

Nową sieć VLAN należy utworzyć i skonfigurować tylko na jednym 

urządzeniu znajdującym się w domenie zarządzania. Wszystkie 

pozostałe urządzenia w domenie automatycznie uzyskają te 

informacje.

 

 

Protokół VTP

Przełączniki obsługujące VTP mogą pracować w jednym z trzech 

trybów:

tryb serwera,  tryb klienta, tryb przezroczysty.

Serwery VTP

 mogą tworzyć, modyfikować i usuwać sieci VLAN i ich 

parametry konfiguracyjne dla całej domeny. Serwery VTP zapisują 

informacje o konfiguracji sieci VLAN w pamięci NVRAM przełącznika. 

Serwery wysyłają komunikaty protokołu VTP na wszystkich portach 

łącza trunkingowego.

Klienci VTP

 nie mogą tworzyć, modyfikować ani usuwać informacji o 

sieciach VLAN. Jedynym zadaniem klientów VTP jest przetwarzanie 

zmian dotyczących sieci VLAN i wysyłanie komunikatów VTP na 

wszystkich portach łącza trunkingowego.

Przełączniki 

w trybie przezroczystym

 protokołu VTP przekazują 

ogłoszenia tego protokołu, ale ignorują informacje zawarte w 

komunikatach. 

 

 

Protokół VTP

Istnieją trzy rodzaje komunikatów protokołu VTP:

    * żądania ogłoszeń,

    * ogłoszenia skonsolidowane,

    * ogłoszenia szczegółowe.

Za pomocą żądań ogłoszeń

 klienci

 wysyłają żądania podania 

informacji 

o sieciach VLAN. 

Serwer

 odpowiada ogłoszeniami skonsolidowanymi 

i szczegółowymi.

Wysyłanie ogłoszeń 

szczegółowych

 może być wyzwalane przez 

następujące czynności:

- usunięcie lub dodanie sieci VLAN,

    - zawieszenie lub aktywacja sieci VLAN,

- zmiana nazwy sieci VLAN,

- zmiana maksymalnej jednostki transmisyjnej MTU dla sieci VLAN.

 

 

Konfiguracja protokołu VTP

Aby skonfigurować wersję protokołu VTP na przełączniku Cisco z 

systemem IOS najpierw należy przejść do trybu bazy danych sieci 

VLAN:

 

Switch#vlan database

    Switch(vlan)#vtp v2-mode 

Jeśli przełącznik jest pierwszym przełącznikiem w sieci, należy 

utworzyć domenę zarządzania:

Switch(vlan)#vtp domain cisco 

Należy wybrać dla przełącznika jeden z trzech dostępnych trybów 

protokołu VTP:

Switch(vlan)#vtp {client | server | transparent} 

Można też użyć polecenia

 

show vtp status

. 

Polecenie to służy do 

weryfikowania ustawień konfiguracyjnych protokołu VTP 

 

 

„Przycinanie” VTP

Przycinanie (pruning) zwiększa dostępne pasmo poprzez 

zmniejszenie niepotrzebnego ruchu, np. 

poprzez eliminację tych 

ramek w przełączniku, które dotyczą sieci VLAN, które w 

przełączniku są nieobecne

.

Włączenie przycinania na serwerze VTP uaktywnia je w całej 

domenie VTP.

Włączenie przycinania:

Switch(vlan)# vtp pruning

Można także wyłączyć przycinanie na pojedynczym interfejsie:

Switch(config-if)# 
switchport trunk pruning vlan remove vlan-id

 

 

Polecenie 

show vtp status

 

 

Routing pomiędzy sieciami VLAN

Należy pamiętać, że komunikacja między hostami należącymi do 

różnych sieci VLAN 

wymaga użycia routera

. Routing pomiędzy 

sieciami VLAN jest istotnym elementem projektowania skalowalnej 

sieci.

Na wczesnym etapie rozwoju sieci VLAN routery były podłączone do 

przełączanych sieci za pośrednictwem wielu łączy. 

W topologii „

router na patyku

" jest stosowane jedno łącze 

trunkingowe, które łączy router z resztą sieci kampusowej.  

Ruch międzysieciowy VLAN musi przejść przez warstwę 2 sieci 

szkieletowej, aby dotrzeć do routera, skąd może trafiać do 

odpowiednich sieci VLAN. Następnie dane przepływają z powrotem 

do żądanej końcowej stacji docelowej przy użyciu zwykłego 

przekazywania realizowanego w warstwie 2. 

 

 

Routing pomiędzy sieciami VLAN

 

 

Podinterfejsy

Podinterfejs

 jest 

interfejsem logicznym

 

wyodrębnionym z interfejsu fizycznego, np. 

z interfejsu Fast Ethernet routera. W jednym 

interfejsie fizycznym może istnieć wiele 

podinterfejsów logicznych. 

Każdy podinterfejs obsługuje jedną sieć VLAN i ma 

przypisany jeden adres IP. 

 

 

Podinterfejsy - konfiguracja

Aby zdefiniować podinterfejsy w interfejsie 

fizycznym, należy wykonać następujące 

czynności:

* Wskaż pod-interfejs.
* Zdefiniuj sposób enkapsulacji dla sieci 

VLAN.

* Przypisz adres IP interfejsowi.

Polecenia:

Router(config)#interface fastethernet numer_portu. 
numer_podinterfejsu 

Router(config-if)#encapsulation 
dot1qnumer_sieci_VLAN 

 

 

Podinterfejsy - konfiguracja

 

 

Projektowanie sieci

Stosuje się dwie, przeciwstawne strategie 

projektowania sieci pod kątem ruchu sieciowego 

pomiędzy podsieciami:

80/20
20/80

 

 

Podsumowanie

Sieci VLAN:

-po co się stosuje?
-jakie są rodzaje?
-jak się konfiguruje VLAN?
-łącza trunkingowe
-protokół VTP
-routning pomiędzy sieciami VLAN