Transcript VLANs

VLANs
LAN Switching and Wireless – Chapter 3
ITE I Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
1
Objectives
 VLANs in a converged network
 Trunking VLANs in a converged network
 Configuration of VLANs on switches
 Troubleshooting misconfigurations in
VLANs
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
2
Introduction to VLANs
Umíme si představit, že do jedné
skupiny počítačů budou patřit ty,
které jsou připojené na jeden
přepínač. Bude to např. v rámci
jednoho patra, kde sídlí lidé, kteří
k sobě nějak patří, třeba
ředitelství, vývoj, ekonomický
úsek ...
Ale co když všichni vývojáři sedí
v přízemí a jednoho museli
posadit do 1. patra?
Pak se hodí mít možnost seskupovat
libovolně, i jinak, než jen podle
přepínačů.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
3
VLANs
VLAN umožňují dělit
síť logicky podle
funkce organizace,
projektových týmů
nebo aplikací, nejen na
základě fyzického
nebo prostorového
uspořádání.
VLANs logically segment switched networks
based on an organization's functions, project
teams, or applications as opposed to a
physical or geographical basis.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
4
Broadcast Domains
Toto je klasické
uspořádání bez VLAN.
Každé oddělení má svůj
switch, který všechny
svoje počítače obsluhuje
jako jednu broadcast
doménu.
Každé oddělení (tj. každý
switch) má svoji síť s
jinou adresou.
Jednotlivé sítě
odděluje / spojuje router.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
5
Example: 3 Broadcast Domains, 3 VLANs
Stejné požadavky ve
stejném podniku, ale
řešené pomocí VLAN.
Všichni sdílejí jeden
společný switch. Jsou
od sebe odděleni
pomocí VLAN.
Komunikaci mezi VLAN
zajišťuje router.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
6
Example: 3 Broadcast Domains, 3 VLANs
Jsou zde tři sítě
s různými
adresami.
Síťová vrstva – jede se podle IP adres.
Počítače jsou
takto logicky
seskupeny ...
Datová – podle MAC adres.
... bez ohledu na
to, jak jsou
fyzicky
nadrátovány k
přepínačům.
Fyzická – konektory, kabely, ...
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
7
VLANs in a Converged Network
Types of VLANs
Typy VLAN
• Data
• Datová
• Default
• Přednastavená
• Native
• Původní, přirozená
• Management
• Řídicí
• Voice
• Hlasová
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
8
VLANs in a Converged Network
Data VLAN = Datová VLAN
Datová VLAN je konfigurovaná jen pro přenos dat, která generují
uživatelé. Nedávají se do ní hlasová data ani data pro řízení a správu sítě.
Někdy se jí také říká „uživatelská“ = „user“ VLAN.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
9
VLANs in a Converged Network
Default VLAN = Přednastavená VLAN
Default VLAN je ta, ke které patří všechny porty po prvním zapnutí
přepínače. U přepínačů Cisco je default VLAN po prvním zapnutí VLAN1.
Není možné ji přejmenovat ani vymazat.
Kvůli bezpečnosti je dobré toto změnit a udělat default VLAN z některé jiné
VLAN.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
10
VLANs in a Converged Network
Native VLAN = původní, přirozená VLAN
Asi měl být vybarvený i
tento spoj.
Native VLAN je ta, do které patří trunk interfaces = hlavní rozhraní, v obrázku F0/1, F0/3, F0/5.
Jsou to rozhraní, po kterých běží provoz všech VLAN. Native VLAN má v obrázku číslo 99.
Framy pocházející z jednotlivých VLAN dostávají na vstupu do sítě značky (tags), jsou
značkované (tagged). Podle těchto značek jsou pak rozdělovány do správných VLAN při
výstupu ze sítě. 802.1Q je protokol, kterým je toto značkování řízeno.
Dostane-li se do sítě frame neoznačený (untagged), je umístěn do native VLAN. Zařízení,
připojená k native VLAN (např. PC vlevo nahoře), generují framy neoznačené (untagged).
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
11
VLANs in a Converged Network
Management VLAN = Řídicí VLAN
Asi měl být vybarvený i
tento spoj.
Řídicí (management) VLAN je kterákoliv, které jsme přiřadili IP adresu a tím jí dali schopnost
řídit přepínač. Přes tuto IP adresu můžeme přepínač ovládat pomocí HTTP, Telnet, SSH nebo
SNMP.
Po prvním zapnutí přepínače je řídicí (management) VLAN1. Kvůli bezpečnosti je vhodné to
změnit.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
12
VLANs in a Converged Network
Zvláštní úloha VLAN1
• po prvním zapnutí (out-of-the-box) je VLAN1
•
data VLAN
•
default VLAN
•
management VLAN
• po prvním zapnutí do ní patří všechny porty
• nelze ji vymazat
• nelze ji přejmenovat
• jde po ní řídicí provoz vrstvy 2, např. CDP, STP, nelze to změnit
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
13
VLANs in a Converged Network
Příklad konfigurace VLAN – viz předchozí obrázky
Funkce
Out-of-the-box
Po konfiguraci
Data VLAN
VLAN1
VLAN20, VLAN30
Default VLAN
VLAN1
VLAN30
Native VLAN
Není žádná, protože
switch má všechny
interface rovnocenné,
žádné trunk interfaces
VLAN1
VLAN99
VLAN1
VLAN1
Management VLAN
Řídicí provoz vrstvy 2
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
VLAN99
14
VLANs in a Converged Network
Shrnutí VLAN
VLAN
Vlastnosti
Data VLAN
Běhají po nich data generovaná uživateli.
Default VLAN
Patří do ní všechny porty, které jsme nepřeřadili
jinam.
Native VLAN
Patří do ní trunk interfaces.
Management VLAN
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Má IP adresu.
Cisco Public
15
VLANs in a Converged Network
 VLAN port membership modes
Static VLAN - Ports are manually assigned to a VLAN. Static VLANs are
configured using the Cisco CLI or with GUI management applications.
Statická VLAN – Porty se ručně přiřadí do VLAN. Je to nejobvyklejší
způsob. Statické VLAN se konfigurují pomocí příkazového řádku nebo
pomocí grafického rozhraní.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
16
VLANs in a Converged Network
 VLAN port membership modes
Dynamic port VLAN membership is configured using a special server called a
VLAN Membership Policy Server (VMPS). With the VMPS, you assign switch
ports to VLANs dynamically, based on the source MAC address. When you
move a host from a port on one switch to a port on another switch, the switch
dynamically assigns the new port to the proper VLAN.
Dynamická VLAN – Porty přiřazuje do VLAN server, zvaný VLAN Membership
Policy Server (VMPS). Porty se přiřazují dynamicky podle MAC adresy. Když se
PC přestěhuje na jiný port a dokonce jiný switch, server automaticky přiřadí port
do správné VLAN.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
17
VLANs in a Converged Network
 VLAN port membership modes
Hlasová
Datová
Voice VLAN - A port is configured so that it can support an IP phone. You need to first configure a VLAN
for voice and a VLAN for data. The network must be configured to transmit the voice traffic with a
priority. When a phone is first plugged into a switch port that is in voice mode, the switch port provides
the phone with the appropriate voice VLAN ID and configuration. The IP phone tags the voice frames
with the voice VLAN ID and the network forwards all voice traffic through the voice VLAN.
Hlasová VLAN – Port se konfiguruje tak, aby podporoval IP telefon. Nejdřív musíme vytvořit jednu VLAN
pro hlas a jednu pro data. Síť musí být konfigurována tak, aby hlasový provoz přenášela přednostně.
Když poprvé připojíme IP telefon k portu v hlasovém módu, switch poskytne telefonu jeho VLAN ID a
konfiguraci. IP telefon pak značkuje svoje rámce tímto přiděleným ID a síť hlasové rámce přenáší po
hlasové VLAN.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
18
VLANs in a Converged Network
Broadcast domains without VLANs
V síti bez VLAN tvoří všechny počítače jednu velkou broadcast
doménu, protože jsou všechny v jedné síti: 172.17.40.0 / 24.
Broadcasty se šíří do všech počítačů v celé síti.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
19
VLANs in a Converged Network
Broadcast domains without VLANs
I kdyby ale nepatřily všechny PC do jedné sítě, jako tady: Vlevo je síť
192.168.1.x, vpravo je síť 192.168.2.x.
Když levý horní chce poprvé pingnout levý dolní (tj. ve své vlastní
síti), tak ARP broadcast dostanou všichni, tj. i ti vpravo.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
20
VLANs in a Converged Network
Broadcast domains with VLANs
Je-li síť rozdělena na VLAN, každý broadcast se šíří jen v rámci své VLAN.
V síti na obrázku zatím není vyřešena komunikace mezi VLAN – není tam
router.
Viz video 3.1.4.1
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
21
VLANs in a Converged Network
Broadcast domains with VLANs
Tady už je router. Komunikace může být intra-VLAN (uvnitř VLAN) a interVLAN (mezi VLAN).
Když se komunikuje uvnitř VLAN, tak ARP request (žádost o zjištění
neznámé MAC adresy ke známé IP adrese) proběhne jako broadcast jen v
rámci jedné VLAN.
Viz video 3.1.4.2
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
22
VLANs in a Converged Network
Broadcast domains with VLANs
Když se komunikuje mezi VLAN, např. z VLAN10 do VLAN20, tak router na
ARP request odpoví MAC adresou svého portu, což je pro odesílatele
default gateway. PC to tedy pošle na default gateway = router.
Když pak router dostane paket s cílovou IP adresou do VLAN20, rozešle do
VLAN20 ARP request a zjistí si MAC adresu cílového počítače. Na tu pak
pošle frame a v něm zabalený paket.
Viz video 3.1.4.2
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
23
VLANs in a Converged Network
Broadcast domains with VLANs
SVI = Switch Virtual
Interface
Podobně to funguje s přepínačem, který umí přepínat na vrstvě 3, tj. podle
IP adres.
Viz video 3.1.4.3
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
24
Trunking VLANs
Bez trunků: Pro každou VLAN musí být mezi přepínači jeden fyzický spoj
a na každém přepínači jeden port, protože „obyčejné“ porty v módu
access je možno přiřadit jen do jedné VLAN. S přidáním každé další
VLAN na každém přepínači ubude nejméně jeden port, který se pro ni
musí vyhradit.
(Černá propojka je pro management a native VLAN 99.)
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
25
Trunking VLANs
S trunky: Pro všechny VLAN stačí jeden společný spoj – trunk.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
26
Trunking VLANs
How a trunk works
Když PC z některé datové VLAN vyšle frame, přepínač označí frame značkou,
zvanou VLAN ID. S touto značkou frame putuje přes trunky mezi přepínači, a podle
značky přepínače poznají, do které VLAN frame patří.
Když potom frame opouští poslední přepínač na své cestě, má vstoupit do některé
datové VLAN a dojít do cílového PC, poslední přepínač značku z framu vyndá, aby
z ní cílový PC nebyl zmatený.
Viz video 3.2.2
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
27
Trunking VLANs
Switch port trunking modes
DTP = Dynamic Trunking Protocol, Cisco proprietary => ostatní to neumí.
Both periodically send DTP frames, called advertisements.
Oba periodicky vysílají DTP informace.
The port goes in trunking state only if
the remote port is configured to be
trunk or desirable.
The port is in an unconditional
(always on) trunking state.
Periodicky vysílá svoje DTP informace
(advertisments), ale zůstává v trunking
módu.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Periodicky vysílá svoje DTP informace.
Přejde do trunking módu, pokud ten na
druhé straně je trunk nebo je ochoten se
jím stát. Jinak zůstává v access módu.
28
Trunking VLANs
Switch port trunking modes
Jak to dopadne, když oba podporují DTP,
a jeden je nastavený tak a druhý tak:
Je mi to jedno
Chci být trunk
Jsem Trunk
Jsem Access
Nastavíme-li na jedné straně tvrdě Access a na druhé Trunk, bude to
průchozí (patrně v módu Access), ale není to zdravé. Proto se to
nedoporučuje.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
29
Configuring VLANs
 Configuring trunks and VLANs
Vytvoř VLAN
Přiřaď porty
Ověř VLAN
Umožni trunk
Ověř trunk
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
30
Configuring VLANs
IOS commands to create a VLAN
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
31
Configuring VLANs
IOS commands used to verify VLANs
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
32
Configuring VLANs
IOS commands used to create a trunk
Vytvoř trunk
ITE 1 Chapter 6
Která VLAN bude native
(tj. půjde po ní provoz více sítí).
Které VLAN budou na
tomto trunku povolené.
Když tento příkaz vůbec
nezadáme, native bude VLAN1.
Bude to fungovat, ale nebude to
bezpečné.
Když tento příkaz
vůbec nezadáme,
budou povolené
všechny.
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
33
Troubleshooting
Problems with VLANs and trunks
Na jednom portu je určená jako native VLAN 99, na jiném VLAN 100
Na jednom portu je
trunk mód zapnutý, na
protějším vypnutý
VLAN a IP adresy
nejdou dohromady
Nevyjmenovali jsme všechny sítě, které na tomto trunku chceme povolit
(příkaz „switchport trunk allowed vlan add ...“)
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
34
Troubleshooting
Problems with VLANs and trunks
Takto je to zapojeno, tak to chceme. Proč to nejde?
Viz další snímek.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
35
Troubleshooting
Problems with VLANs and trunks
Zde hlásí mismatch => něco k sobě nepasuje ....
... a to 100 na S3 a 99 na S1
Toto je příčina: Na S3 je jako
native VLAN 100 místo VLAN 99
Řešení:
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
36
Troubleshooting
Troubleshooting procedure to fix a problem
Takto je to zapojeno, tak to chceme. Proč to nejde?
Viz další snímek.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
37
Troubleshooting
Troubleshooting procedure to fix a problem
S1 i S3: Oběma je to
jedno (dynamic auto)
=> nastaví se do
módu access, nikoliv
trunk.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
38
Sem jsme došli
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
39
Troubleshooting
Troubleshooting procedure to fix a problem
Řešení:
Oběma nebo aspoň jednomu vnutíme mód trunk.
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
40
Summary
 VLANS
Allow to logically group devices
Used to segment broadcast domains
Benefits of VLANs
» Cost reduction
» Security
» Higher performance
» Better management
» Broadcast reduction
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
41
Summary
 Types of Traffic on a VLAN
Data
Voice
Network protocol
Network management
 Communication between different VLANs requires the
use of routers
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
42
Summary
 Trunks
A common conduit used by multiple VLANS for intraVLAN communication
 IEEE 802.1Q (dot1q)
– The standard trunking protocol
– Uses frame tagging to identify the VLAN to which a frame belongs
– Does not tag native VLAN traffic
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
43
ITE 1 Chapter 6
© 2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
44