VLANy, połączenia typu trunk i VTP

baza wiedzy Network Expert

VLAN, Trunk, VTP

Podstawowymi elementami każdej działającej sieci są jej wydajność i niezawodność. Stosując podstawowe metody konfiguracji switchy i routerów wszystko działa dobrze kiedy nasza sieć ma niewielką liczbę użytkowników. Co się stanie jeśli nasza firma zacznie się bardzo szybko rozrastać i z kilku stacji końcowych zrobi nam się kilkaset lub kilka tysięcy? Z pomocą przychodzi nam kilka rozwiązań powszechnie stosowanych, które umożliwiają spełnienie wszystkich poprzednich warunków: VLANy, połączenia typu trunk i protokół VTP.

VLAN

VLAN – Virtual Local Area Network, wirtualna sieć lokalna – logicznie wydzielone urządzenia znajdujące się w oddzielnej podsieci (domenie broadcastowej), ale znajdujące się w obrębie wspólnej sieci fizycznej. Tworząc VLANy dzielimy naszą sieć na wiele mniejszych logicznych części. Pozwala nam to przede wszystkim na podzielenie sieci na segmenty np. /24 czyli posiadających 254 funkcjonalne adresy (jak 192.168.1.0/24). Dodatkowo zmniejszamy liczbę urządzeń biorących udział w broadcaście a co za tym idzie utrzymujemy wydajność naszej sieci na wysokim poziomie. Przydzielanie użytkowników do danego VLANu może zależeć od jego funkcji w danej firmie czy organizacji, ale nie ma znaczenia ich fizyczne położenie. Administrator może dla każdego VLANu przydzielić odpowiednie uprawnienia pozwalające na dostęp do specjalnych zasobów firmy i w przypadku wykorzystania rozwiązań security (np. firewall) jest to główny argument za wykorzystaniem vlanów. VLANy powstają poprzez wydzielenie mniejszych podsieci, każdy VLAN ma swój adres sieciowy i określoną liczbę adresów do wykorzystania. Wszystkie urządzenia w obrębie jednego VLANu muszą mieć adres IP i maskę zgodną z danym VLANem, aby mogły się komunikować między sobą. Do komunikacji pomiędzy różnymi VLANami potrzebny jest router. VLANy tworzone są na switchu, każdy ma swój numer, dla łatwości zarządzania można też nadać nazwę. Dla każdego VLANa przydzielane są porty, które mają nazwę access portów. Są dwa rodzaje VLANów: podstawowe i rozszerzone.

Podstawowe:

  • VLAN ID od 1 do 1005
  • ID od 1002 do 1005 zarezerwowane dla Token Ringa i VLANów FDDI
  • VLANy o numerze 1 i od 1002 do 1005 są tworzone automatycznie i nie da się ich usunąć
  • konfiguracja VLANów znajduje się w pliku vlan.dat w pamięci flash
  • do automatycznego zarządzanie VLANami służy protokół VTP
  • małe i średnie firmy

Rozszerzone:

  • VLAN ID od 1006 do 4094
  • informacje zapisywane są w pliku działającej konfiguracji
  • VTP nie działa w zakresie rozszerzonych VLANów

Konfiguracja VLANów:

VLANy można konfigurować w trybie globalnej i VLANowej konfiguracji. Dotyczy to switchy będących w trybie serwera bądź transparentnym. Konfiguracja zapisywana jest w pliku vlan.dat. Aby była widoczna w startup-config należy ją tam skopiować poprzez copy running-congig startup-config. Jeżeli po restarcie switcha baza VLANów w startup-config będzie inna niż w pliku vlan.dat switch załaduje konfigurację z pliku vlan.dat. Przypisywanie portów do danego VLANu, oraz określanie jego trybu odbywa się w konfiguracji danego portu.

Tworzenie VLANu:

Switch# configure terminal
Switch(config)# vlan vlan_ID
Switch(config-vlan)# end
Switch# show vlan
Switch# show vlan brief – skrócona tabelka z VLANami

Do usunięcia VLANu wystarczy wpisać no przed komendą vlan.

Przydzielanie portu do VLANu:

Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# end

Switch# show interface fa 0/1
Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down

Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off

Accesss Mode VLAN: 10
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none

Drugim sposobem na skonfigurowanie VLANów jest konfiguracja przeprowadzana w trybie VLAN database, jednak jest to stary i nie polecany sposób. W tym przypadku, również wszelkie zmiany VLANów zapisywane są w pliku vlan.dat.

Switch# vlan database
Switch(vlan)# vlan 10 // vlan_ID
VLAN 10 added:
Name: VLAN0010
Switch(vlan)# exit
APPLY completed.
Exiting….
Switch# show vlan name VLAN0010

Rodzaje VLANów:

  • Domyślny VLAN – VLAN 1, po starcie switcha wszystkie porty do niego należą, wszyscy mogą się ze sobą komunikować, należąc do jednej domeny broadcastowej, dopóki nie zostaną przydzielone do innych VLANów
  • Natywny VLAN – dzięki niemu ramki nieotagowane, nie pochodzące od żadnego VLANu, są przesyłane przez porty typu trunk
  • Data VLAN – często używane określenie logiczne VLANu przesyłającego dane użytkowników
  • Voice VLAN – określenie logiczne – VLAN stworzony specjalnie dla VoIP

TRUNK

Wspomniane wcześniej połączenie typu trunk (802.1Q, dot1q) jest to połączenie pomiędzy switchami, bądź switchami i routerami. Pozwala na przenoszenie całego ruchu VLANowego za pomocą jednego łącza. Trudno sobie wyobrazić co by się działo gdyby dla każdego VLANu trzeba było posiadać oddzielne łącze lub kabel. Na urządzeniach sieciowych bardzo szybko zabrakłoby wolnych portów do komunikowania się między sobą. Ramki przesyłane za pomocą trunków są otagowane, dzięki czemu switche są w stanie określić do jakiego VLANu należą. Tagowanie następuje w momencie, gdy switch próbuje przesłać ramkę przez port typu trunk. Gdy na porcie trunk pojawia się ramka nieotagowana zostają ona przesyłana za pomocą natywnego VLANu.

Standardy trunków:

  • IEEE 802.1q (nazywany też dot1q) to standard określający format ramki tagowanej, gdzie nagłówek z tagiem wstawiany jest do środka ramki po adresie źródłowym
  • ISL – historyczny standard opracowany przez Cisco. Obecnie praktycznie nie używany (nawet przez Cisco)

Po dwóch stronach łącza musi być ten sam standard trunk.

Porty na switchu można skonfigurować na dwa sposoby. Może być typ access lub trunk.

Tryby portów na switchu:

  • switchport mode access – w tej opcji port zawsze pozostanie w trybie nontrunking, będzie również próbował zmienić połączenie na nontrunking, jeśli mu się nie uda i tak pozostanie jako access
  • switchport mode trunk – ten port zawsze będzie w trybie trunk, będzie również próbował zmienić połączenie na trunk, jeśli mu się nie uda i tak pozostanie jako trunk, jest to tryb domyślny dla trybów trunk i ma też nazwę On
  • switchport mode dynamic auto – powoduje, żę port zmienia się w port trunk, jeśli port po drugiej stronie jest skonfigurowany jako trunk lub desirable
  • switchport mode dynamic desirable – w tym trybie port aktywnie stara zmienić łącze na trunk, staje się łączem trunk w momencie gdy port sąsiadujący jest w trybie trunk, desirable lub auto
  • switchport nonnegotiate – permanentny stan trunk, nie podlega żadnym negocjacjom, do powstania połączenia trunk port sąsiadujący musi być ustawiony w tryb trunk, połączenie w momencie gdy mamy switche od dwóch producentów<

Konfiguracja portu fa 0/1 w tryb trunk:

Switch# configure terminal
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# no shutdown
Switch(config-if)# end
Switch# exit

Ustawienie VLANów jakie będą przechodzić poprzez połączenie trunk:

Switch# configure terminal
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# switchport trunk allowed vlan 10,14,18
Switch(config-if)# end

VTP – Zarządzanie VLANami

W momencie gdy przybywa urządzeń sieciowych w danej firmie, przybywa jednocześnie pracy dla administratorów sieci. Każde urządzenie trzeba skonfigurować oddzielnie, a to wymaga czasu. W przypadku, gdy mamy dużą ilość VLANów i trzeba wprowadzić zmianę np. dodać nowego, ręczna zmiana ustawień mogłaby być kłopotliwa. Dlatego wymyślono VTP – VLAN Trunking Protocol. Jest to protokół, który bardzo sprawnie zarządza VLANami na wszystkich urządzeniach w obrębie jednej firmy.

Administrator wybiera jeden switch, który będzie zarządzał rozsyłaniem informacji o VLANach do reszty. Taki switch będzie skonfigurowany do roli serwera, natomiast pozostałe będą pełniły rolę klientów. W ten sposób oszczędza się czas i możliwość popełnienia błędu w czasie wprowadzania konfiguracji.

Switche mogą być skonfigurowane do pełnienia roli:

  • serwera – rozsyła informacje o VLANach w obrębie danej domeny, na nim wprowadza się wszelkie zmiany: tworzy lub usuwa VLANy, zmienia nazwę domeny
  • klienta – tak samo jak serwer rozsyła informacje o VLANach, ale nie można wprowadzać na nim żadnych zmian
  • transparentnej – switche w tej roli nie biorą udziału w VTP, ale mimo to przekazują otrzymane informacje o VLANach do innych urządzeń

Switche żeby móc przesyłać informacje za pomocą VTP muszą znajdować się w jednej VTP domenie. Wszystkie muszą też być skonfigurowane z tym samym hasłem do danej domeny. W ten sposób można podzielić firmę na kilka domen VTP, co ułatwia administrowanie całą siecią. Switche w jednej domenie porozumiewają się pomiędzy sobą za pomocą VTP adverisements. Switche sprawdzają czy informacje które odbierają są nowsze od tych, które same posiadają za pomocą numeru rewizji. Jeżeli switch otrzyma VTP adevertisement z wyższym numerem – zaktualizuje swoją bazę VLANów, tą informacją, która przyszła. Każde dodanie, lub usunięcie VLANu powoduje zwiększenie numeru rewizji o jeden. Zmiana nazwy domeny VTP, powoduje wyzerowanie numeru rewizji.

Zagrożenia związane z VTP

W tym momencie należy wspomnieć o tym, co się może stać z siecią jeśli podłączymy kolejny switch, który wcześniej był używany w innym miejscu. Nowe switche są domyślnie ustawione na tryb serwer i nie posiadają żadnej dodatkowej konfiguracji. Włączenie takiego switcha nie powinno mieć żadnego wpływu na pracę sieci. Jednak okazuje się, że taki switch uczy się automatycznie nazwy domeny z wiadomości VTP i staje się serwerem. W sytuacji gdy ma wyższy numer rewizji, staje się nowym serwerem – rozgłasza swoje vlany (w szczególności pustą bazę), kasując nasze. Wyższy numer rewizji może wynikać z faktu, że przed podłączeniem do sieci dodaliśmy testowo i usunęliśmy kilka vlanów.

Dobrym rozwiązaniem jest ustawienie takiego switcha w tryb transparent zanim włączymy go do naszej domeny VTP, lub ustawianie go jako klient, w sytuacji gdy ma brać udział w VTP. Dobrym zwyczajem jest również ustawienie hasła, tak aby nic nie stało się automatycznie bez wiedzy administratora (hasło musi się zgadzać aby zaszła relacja w VTP)

Przykład konfiguracji serwera:
Switch#configure terminal
Switch(config)#vtp mode server
Setting device to VTP SERVER mode.
Switch(config)#vtp domain domena1
Changing VTP domain name from NULL to domena1
Switch(config)#vtp password trudnehaslo
Setting device VLAN database password to trudnehaslo
Switch(config)#end

Przykład konfiguracji klienta:
Switch#configure terminal
Switch(config)#vtp mode client
Switch(config)#vtp domain domena1
Changing VTP domain name from NULL to domena1
Switch(config)#vtp password trudnehaslo
Setting device VLAN database password to trudnehaslo
Switch(config)#end

Teraz wystarczy dodać VLAN na switchu serwerze i pojawi się on automatycznie na wszystkich switchach klientach.
Do obejrzenia ustawień VTP używamy komend:
Switch#show vtp status
Switch#show vtp counters

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
2019-01-17T15:46:53+00:00