Čísla VLAN
VLANy sa bežne identifikujú pomocou čísla, takže máme napríklad VLAN 10. Pre jednoduchšie zapamätanie a orientáciu sa k nim ešte priraďujú mená.
Cisco switche by v posledných rokoch mali podporovať tieto číselné rozsahy pre VLANy. Staršie zariadenia nepodporujú čísla nad 1005, navyše tieto VLANy nie sú prenášané pomocou VTP a neukladajú sa do VLAN databázy.
| VLANy | popis |
|---|---|
| 0 a 4095 | rezervované pre systémové použitie |
| 1 | defaultný VLAN, štandardne obsahuje všetky porty, nedá sa zmazať |
| 2-1001 | bežný rozsah pre ethernetové VLANy |
| 1002-1005 | špeciálny defaultný VLANy pre Token Ring a FDDI, nedajú sa zmazať |
| 1006-4094 | Extended VLAN – rozšírené VLANy pre ethernet, nie sú vždy podporované |
Vytvorenie a pomenovanie VLANy
Konfigurácia VLAN je (u niektorých typov switchov) udržiavaná v bežiaci konfiguráciu a v súbore vlan.dat.
Novú VLAN vytvoríme nasledujúcim príkazom, ak už VLAN existuje, tak sa prepneme do jej konfigurácie.
SWITCH (config) # vlan 10 // vytvorenie / prepnutie do VLAN 10
Teraz sme v konfigurácii VLANy a môžeme nastaviť niekoľko parametrov, dobré je nastaviť meno VLANy pre ľahšiu orientáciu.
SWITCH (config-vlan) # name NET1 // pomenovanie VLANy
Z vlastností, ktoré môžeme nastaviť pre celú VLAN, spomeniem iba zmenu IP MTU (maximálna veľkosť prenášaných paketov – payload rámca), štandardné je 1500B pre Ethernet (rámec má veľkosť 1518B).
SWITCH (config-vlan) # MTU 2000 // možné hodnoty 576 až 18190 (podľa typu switche)
Zmeny sa uložia pri opustení konfigurácie.
SWITCH (config-vlan) # exit // o úroveň vyššie
Zrušiť VLAN môžeme štandardne. Pri zrušení VLANy však nedôjde k odstráneniu väzieb, ktoré na ňu existujú (ako zaradenie portov do VLANy).
SWITCH (config) # no vlan 10 // zmazanie VLANy 10
Pozn .: VLAN vytvoríme tiež tým, keď ju použijeme na určitom mieste. Napríklad, ak port zaradíme do neexistujúce VLANy, tak sa táto vytvorí.
Nastavenie IP adresy pre VLAN
VLANy sú virtuálne interface, preto s nimi môžeme vykonávať množstvo operácií ako s klasickým rozhraním (portom). Jednou z možností je nastavenie IP adresy, tým vlastne nastavíme adresu switcha v danej VLAN.
SWITCH (config) # interface vlan 10 // prepnutie do konfigurácie
SWITCH (config-if) # ip address 192.168.190.1 255.255.255.0 // nastavenie IP adresy
SWITCH (config-if) # no shutdown // nahodenie interfacu
Switch Virtual Interface – SVI
Vyššie uvedená informácia nie je presná. Správne musíme povedať, že pre každú VLAN môžeme vytvoriť Switch Virtual Interface (SVI), čo je ten spomínaný virtuálny interface. VLANy a SVI však existujú nezávisle na sebe, aj keď sa vykonáva mapovanie (ktoré môže byť maximálne 1: 1) medzi SVI a VLAN. SVI vytvoríme prvým prístupom do neho a môžeme ho vytvoriť aj pre neexistujúce VLAN. SVI pracuje na 3. vrstve ISO / OSI modelu a defaultne je vytvorený pre VLAN 1 (a nemožno ho zmazať). SVI potrebujeme, ak chceme vykonávať inter VLAN routing (routovat prevádzka medzi VLAN) alebo umožniť IP konektivitu ku switchu (pre prístup na CLI cez telnet / SSH a podobné funkcie).
SWITCH (config) # interface vlan 15 // vytvorenie SVI
Pre zmazanie SVI použijeme
SWITCH (config) # no interface vlan 15 // zmazanie SVI
VLAN 1
Na switchoch, ktoré podporujú VLANy, musí existovať aspoň jedna VLAN, pretože každý port musí byť do nejakej zaradený. Na Cisco zariadeniach je to VLAN 1 a všetky porty, v predvolenom stave, sú do nej zaradené.
Z bezpečnostného hľadiska je dobré nepoužívať túto defaultný VLAN 1, alebo ju použiť len pre hosťovská prístup, a pre vlastnú sieť vytvoriť iné VLANy.
VLAN 1 nemožno zmazať a nemožno ju ani vypnúť, čo je možné u všetkých ostatných VLAN.
SWITCH (config-vlan) # shutdown // vypnutie VLANy
Priradenie portu do VLANy
Štandardne sú všetky porty zaradené do VLAN 1. Ak chceme nakonfigurovať prístupový port s pevným zaradením do VLANy, postupujeme nasledovne.
SWITCH (config) # interface f0 / 1 // prepnutie do konfigurácie portu
SWITCH (config-if) # switchport mode access // nastavenie portu do prístupového módu
SWITCH (config-if) # switchport access vlan 10 // zaradenie do VLANy 10
Voice VLAN
Pre VoIP (IP telefónia) má Cisco rad zjednodušení. Jedným z nich je konfigurácia, kedy je do portu pripojený Cisco telefón (ktorý obsahuje malý 3-portový switch) a za ním je pripojené PC. Na portu nastavíme access VLAN , do nej spadá komunikácia PC, a tiež voice VLAN (niekde označovaná ako auxiliary VLAN – má aj viac použití), do ktorej sa zaradí komunikácie telefónu. Aby všetko fungovalo ako má, tak musíme použiť Cisco IP telefón a na porte musí byť povolené CDP. V skutočnosti všetko funguje tak, že sa na porte nastaví trunk, access VLAN sa stane native VLAN (teda netagovaná) a komunikácia telefónu použije 802.1q.
SWITCH (config-if) # switchport voice vlan 20 // zaradenie hlasu do VLANy 20
Konfigurácia Trunk
Aby sa zachovala informácia o zaradení do VLANy, a aby sa prenášala dáta v rôznych VLANách medzi switchu, treba medzi nimi zriadiť trunk . Ten sa nastavuje na oboch stranách, na porte, ktorým sú switche prepojené medzi sebou. Môžeme využiť štandard IEEE802.1q (tagovanie rámcov) alebo Cisco proprietální ISL (zapúzdrovanie), ktoré je podporované iba u vyšších Cisco switchov. Tiež je možné vymenovať VLANy, ktoré sa môžu Trunk prenášať, ak príkaz neuvedieme, tak sa prenáša všetky.
SWITCH (config) # interface f0 / 1 // prepnutie na správny port
SWITCH (config-if) # shutdown // odporúčané najprv vypnúť port
SWITCH (config-if) # switchport trunk Encapsulation dot1q // zvolím metódu rozlišovania VLAN
SWITCH (config- if) # switchport trunk allowed vlan 2-200 // ktoré VLANy sa prenáša
SWITCH (config-if) # switchport trunk native vlan 10 // určenie natívne VLAN
SWITCH (config-if) # switchport mode trunk // nastavenie portu do TRUNK modu
SWITCH (config-if) # switchport nonegotiate // nevyjednáva sa trunk protokolom DTP
SWITCH (config-if) #no shutdown // nahodenie portu
Pozn .: Rovnakú konfiguráciu je potrebné vykonať na druhej strane. Aby sa ustanovil trunk, tak je treba dodržať niekoľko predpokladov. Musí ísť o Point to Point linku, porty musia mať nastavenú rovnakú rýchlosť (speed), duplex, metódu encapsulace a natívne VLAN (u ISL sa môže líšiť).
Dynamic Trunk Protocol (DTP)
Dynamic Trunk Protocol (DTP) slúži pre automatické vyjednávanie, či je daný port trunk. Z bezpečnostného hľadiska sa odporúča túto možnosť nepoužívať, pretože by niektoré stanice mohla vyjednať, že sa jedná o trunk a potom zachytávať všetku komunikáciu.
Konfigurácia DTP sa vykonáva na každom porte.
- Ak nastavíme port napevno do prístupového módu (access), tak nie je ovplyvnený DTP protokolom.
- Pokiaľ ho nastavíme napevno do trunk módu , tak sa opäť jeho mód nemôže zmeniť, ale on rokuje pomocou DTP, aby sa linka (druhá strana) prepla do trunku.
- Ak je port v trunk módu, tak môžeme nastaviť, aby negeneroval DTP rámca (a vôbec nepoužíval DTP).
SWITCH (config-if) # switchport nonegotiate
- Poslednou možnosťou je nastavenie portu do dynamického módu, kedy aktívne využíva DTP.
SWITCH (config-if) # switchport mode dynamic auto // ak príde žiadosť, tak sa prepne do trunku
SWITCH (config-if) # switchport mode dynamic desirable // posiela žiadosti o vytvorenie trunku
Najvhodnejšie je nastaviť prístupové porty napevno do módu access a trunk porty napevno do trunk módu s vypnutým vyjednávaním.
Pre zobrazenie informácií o DTP slúžia príkazy:
SWITCH # show dtp
SWITCH # show dtp interface f0 / 1
Zobrazenie informácií o VLANach – show príkazy
SWITCH # show vlan // stručné info o VLAN a zaradenie portov
SWITCH # show vlan id 500 // zoznam portov vo VLAN 500 a MTU pre VLAN
SWITCH # show interface vlan 10 // informácie o SVI
SWITCH # show running-config vlan // informácie o VLAN z bežiaci konfigurácie
SWITCH # show interfaces f0 / 1 switchport // informácie o portu spolu s VLAN
SWITCH # show interfaces trunk // info o TRUNC
VTP – VLAN Trunking Protocol
Väčšinou chceme, aby vytvorené VLANy existovali v celej sieti (alebo v určitej časti, ale nie iba na jednom switchi). Pre prenášanie dát v týchto VLANách medzi switchu sa využívajú Trunk . Aby sa však dalo s týmito VLAN pracovať, tak musia byť vytvorené na každom switchi. Pri menšom počte switchov (a ak chceme väčší dohľad), tieto VLANy na každom switchi nakonfigurujeme ručne (väčšinou to nie je toľko práce). Musíme však pamätať pri vytvorení novej VLANy ju opäť všade nakonfigurovať.
Druhou možnosťou je využitie VLAN Trunking Protocol (VTP), čo je L2 protokol, ktorý slúži na prenášanie informácií o VLANách medzi switchu. VTP spravuje pridávanie, mazanie a premenovanie VLAN vnútri VTP domény. VTP doména je tvorená jedným alebo viacerými sieťovými zariadeniami, ktoré majú nastavené rovnaké meno domény (voliteľne aj heslo) a sú prepojené pomocou trunku.
Princíp je taký, že každý switch vo VTP doméne má nastavený jeden z troch módov
- server – spravuje zoznam všetkých VLAN, má ho uložený v NVRAM, môže vytvárať a mazať VLANy, prijíma a odosiela Advertisements cez Trunk vo VTP doméne, jedná sa o defaultný mód
- klient – prijíma konfiguráciu zo servera, udržiava lokálnu kópiu všetkých VLAN, ktorú nemožno meniť a nemá ju uloženú v NVRAM, prijíma a odosiela Advertisements
- transparentné – nezúčastňujú sa VTP, pracuje samostatne, môže vytvárať i mazať VLANy, ale zmeny sú lokálne, prijíma Advertisements a vo verzii 2 je aj preposiela (ale nesynchronizuje svoje VLANy, ani ich nezverejňuje), je to jediný mód, kde môžeme vytvárať Extended a Private VLANy, VTP a VLAN konfigurácia je uložená v NVRAM
Pozn .: Konfigurácia VTP, pokiaľ je v režime server alebo klient, sa nenachádza v running config.
Server rozosiela (iba cez Trunk) VTP Advertisements (oznámenia) každých 5 minút alebo pri zmene v konfigurácii. Server udržuje konfiguračné revízne číslo (configuration revision number), ktoré pri každej zmene zvýši o jedna. Klient pri synchronizácii porovnáva svoje a prijaté číslo. VTP Advertisements obsahuje management domain , revision number , verziu VTP , známej VLANy a ich parametre . Advertisements sú troch typov, Summary , subset a Client Request .
Pozn .: štandardizovaná obdobou VTP je protokol Generic VLAN Registration Protocol – GVRP a jeho nástupca Multiple VLAN Registration Protocol – MVRP. Na Cisco zariadeniach ho však príliš nenájdeme.
Konfigurácia VTP
Pre konfiguráciu musíme najprv vytvoriť VTP doménu, tých môže existovať viac a informácie sa odovzdávajú len v rámci domény.
Pozn .: VTP pakety neprechádza cez router.
SWITCH (config) # vtp domain domena1
Voliteľne môžeme nastaviť heslo, ktoré musia byť na všetkých switchoch v doméne zhodné. Heslo nie je uložené v running-config.
SWITCH (config) # vtp password heslo
Ako posledný nastavíme, v akom móde switch operuje.
SWITCH (config) # vtp mode server // možnosti server, client, transparent
Na dnešných Cisco switchoch môžeme použiť VTP v dvoch verziách (VTP 1 a 2). Verzia 2 navyše podporuje Token Ring, VLAN consistency check, Unrecognized TLV a v Transparent modu preposiela Advertisements. Defaultný je verzia 1, nastavenie môžeme zmeniť.
SWITCH (config) # vtp version 2
Informácie o VTP zistíme pomocou príkazov
SWITCH # show vtp status // základné info o behu VTP na switchi
SWITCH # show vtp counters // štatistika VTP prenosov
SWITCH # show vtp password // zobrazí VTP heslo
VTP pruning
Môžeme tiež povoliť pruning . Konfiguruje sa na VTP serveri a ovplyvní celú doménu. Zabráni odosielaniu zbytočných paketov (broadcast, multicast, neznáme) na switch, kde nie je žiadny port v danej VLAN a ani cez neho nevedie funkčné cesta ďalej.
SWITCH (config) # vtp pruning
VLAN 1 je pruning ineligible , to znamená, že sa na ňu pruning neuplatňuje, VLAN 2 až 1001 je štandardne pruning eligible , ale môžeme zmeniť konfigurácií.