Virtual Local Area Network
VLAN=domeniu de broadcast=spatiu de adrese IP
Nu trebuiesc porturi consecutive pe switch.
By default toate porturile fac parte dintr-un singur domeniu de broadcast
Este o separare logica a switch-ului
- 2950 (maxim 64 de VLAN-uri)
- 2960 (maxim 255 VLAN-uri)
VLAN-ul default pentru interfete de tip ethernet este 1
Comunicarea intre vlan-uri este imposibila(1)
Motivatii pentru constructia de VLAN-uri
- Domeniul de broadcast initial mare
- Securitate initial redusa
- Domeniul de troubleshooting initial mare
(1)Host-urile conectate la porturile din VLAN-uri diferite ale aceluiasi switch nu pot comunica intre ele.
Tipuri de port
Interfete de tip access
- Sunt asociabile unui singur VLAN
- By default fac parte din VLAN-ul 1
- Traficul care intra / iese are encapsularea Ethernet
Interfete de tip Trunk
Introducere:
Vreau ca C3 sa faca parte din acelasi VLAN ca si C1 . Interfete de tip access
O solutie este folosirea unui port de pe SW A catre SW B cu un cablu cross. Se prelungeste VLAN-ul 10 dincolo de SW A catre SW B.
Nu este o metoda scalabila ca si numar de porturi foloite si cabluri.
Nu am nevoie de porturi diferite pentru fiecare VLAN in parte.Pe langa asta solutia este scalabila pentru ca se foloseste doar un singur cablu pentru toate VLAN-urile. Acestea sunt multiplexate intr-o singura interfata de tip trunk.
- Sunt asociate tuturor VLAN-urilor posibile
- By default fac parte din VLAN-ul 1
- Traficul care intra / iese are fie encapsulare.
- ISL (Inter Switch Link)
- IEEE 802.1q
Aceste protocoale permit pastrarea identitatii VLAN-ului de origine.
Daca se doreste automatizarea procesului prin care un port rezulta fie acces sau trunk, se poate opta pentru folosirea protocolului DTP
DTP – Dynamic Trunking Protocol
- este proprietar
- functioneaza la nivelul 2.5 OSI (la fel ca ARP sau CDP)
- schimba mesaje cu partenerul CISCO direct conectat la un interval de 30 de secunde
- MAC destinatie multicast rezervat comunicatiei intre echipamente Cisco
Rolul DTP:
- permite negocierea tipului de port cu echipamentul vecin Cisco
Impedimente:
- Un router intre doua switch-uri Cisco care folosesc DTP va arunca pachetele
- Un switch de la alt vendor va forwoarda traficul pana ajunge la un switch Cisco
- Posibila bresa de securitate daca userii au acces la un port care trimite informatii DTP
(acestia pot rula programe care mimeaza un switch cu DTP activat, scopul final fiind de a capta tot traficul de pe acel switch)
Ce se poate intampla in urma negocierii folosind DTP pe doua switch-uri Cisco
| Siwtch A Fa0/1 | Switch B Fa0/2 | Switch A Fa0/1 | Switch B Fa0/2 |
| Dynamic Desirable | Dynamic Desirable(1) | Trunk | Trunk |
| Dynamic Auto(2) | Trunk | Trunk | |
| Access(3) | Access | Access | |
| Trunk | Trunk | Trunk | |
| Dynamic Auto | Dynamic Auto(4) | Access | Access |
| Access(5) | Access | Access | |
| Trunk | Trunk | Trunk | |
| Access | Access | Access | Access |
| Trunk(6) | Access | Trunk (!) | |
| Trunk | Trunk | Trunk | Trunk |
1) Initieaza negocierea cu partenerul de link si sa ii ceara partenerului de link sa fie trunk.
Vecinul poate sa il ignore, poate sa fie deacord cu el, poate sa nu fie deacord cu el daca e configurat manual sa fie acces. Daca amandoua sunt in modul dinamic switch-urile sunt deacord cu tot ce li-se spune. By default ajung trunk.
2) Dynamic Auto no initieaza negociere. Sugestia lui Dyanmic Auto este ca vecinul sa fie trunk, la fel ca Dynamic Desirable.Sugestia amandurora este ca vecinii sa fie trunk numai ca Auto nu initieaza.
3) SWB initieaza negocierea si recomanda SWA sa fie Acces. SWA accepta si recomanda sa fie Trunk. SWB refuza pentru ca a fost configurat ca si acces.
4) Amandoi asteapta un feedback de la celalt. Amandoi deduc ca vecinul nu stie de DTP. Daca nu stie de DTP nu stie de trunking. Daca nu stie de trunking nu o sa ma fac trunk, voi face interfata de tip access.
5) Idem 3
6) Traficul ce iese pe interfata trunk este encapsulat 802.1q sau ISL pe SWB. Pe SWA traficul care intra sau iese este encapsulat Ethernet. Fiind configurate manual nu au cum sa comunice intre ele folosind aceasta combinatie.
Defaults:
C3550 / C2950 – Dynamic Desirable
C3560 / C2960 – Dynamic Auto
Oprirea DTP-ului
Se poate dezactiva primirea sau transmiterea de trafic DTP
- echipamente diferite (poate vecinul nu are habar de DTP)
- poate fi un echipament Cisco care nu are DTP (router) switch-ul detecteaza ca nu i se raspunde la cererile de negociere si seteaza interfata sa fie de tip access desi poate se dorea una de tip trunk.
- securitate – e o idee proasta ca porturile catre end-useri sa negocieze prin DTP, desi placa de pe PC nu stie de DTP interfata rezultata de la switch catre PC poate fi de tip access. Cu alte cuvinte tot se poate stabili conectivitate. Dar exista software-uri care pot sa trimita trafic DTP si sa inceapa se negocieze cu switch-ul Cisco ca link-ul switch-ului catre PC sa fie trunk la care switch-ul este deacord. Astfel se poate pune placa de retea in modul promiscuu (Wireshark) si poate captura traficul din toate VLAN-urile. Si il poate si injecta nu numai captura
- numai cand ai configurat in prealabil interfata ca e access sau trunk
- daca nu a fost configurata sistemul iti va arata o eroare
- nu negocieaza si nici nu i se spune cum sa negocieze
| Siwtch A Fa0/1 | Siwtch B Fa0/2 | Siwtch A Fa0/1 | Siwtch B Fa0/2 |
| Access (DTP off) | Dynamic Desirable | Access | Access |
| Trunk | Access | Trunk (!) | |
| Dynamic Auto | Access | Access | |
| Access | Access | Access | |
| Trunk (DTP off) | Dynamic Desirable | Trunk | Access (!) |
| Trunk | Trunk | Trunk | |
| Dynamic Auto | Trunk | Access (!) | |
| Access | Trunk | Access (!) |
- Toate porturile sunt access
C1 – C2:Pot comunica(1)
C1 – C3:Nu pot comunica(2)
C2 – C3:Nu pot comunica(3)
1) C1 este in VLAN-ul 10 C2 este in VLAN-ul 11. C1 trimite frame-uri pe care SWB le poate primi in VLAN-ul 11.
2) Nu pot comunica pentru ca:
- ce trimite C1 trafic catre C3 e scos de switch pentru ca e asociat vlan-ului 10 care e vlan-ul interfetei de intrare in switch-ul A dar e asociat mai departe VLAN-ului 11 unde nu se gaseste portul de tip access al lui C3 conectat la switch-ul B in VLAN-ul 11 . Portul lui C3 conectat la switch-ul B care face parte din VLAN-ul 10
3) Switch-ul, local, nu permite comunicarea intre VLAN-uri
802.1Q
- Standardizat
- “Recomandat Cisco”
- Layer 2.5 OSI
Tipuri de VLAN-uri
STEP 1
Adaugarea unui VLAN static.
STEP 2
Assign a Switch Port
After you have created a VLAN, assign one or more ports to the VLAN. When you manually assign a switch port to a VLAN, it is known as a static access port. A static access port can belong to only one VLAN at a time.
Configuratie
| Descriere | Sintaxa | Exemplu / Note |
| Configurare VLAN (global) | (c)#vlan <numar> | sw(c)#vlan 7 sau vlan 7-10, 200 |
| SW (config-vlan)#name <nume> | Optional + un nume pentru mai multe vlan-uri | |
| SW (config-vlan)#exit | aplicarea vlan-ului | |
| sau SW# vlan database | Outdated | |
| Stergerea tuturor VLAN-urilor | SW(c)#no vlan 2-1001; 1006-4094 | Factory defaults vlan.dat |
| delete flash:vlan.dat | Necesita reload | |
| Configurare VLAN per interfata | SW(c)#interface fa0/1 | |
| SW(c-if)#switchport access vlan 200 | portul va fi asociat vlan-ului 200 | |
| comanda nu face int de tip access | ||
| nu e scalabila daca ai multe vlan-uri de creat | ||
| Arata VLAN-urile | SW#show vlan <cr> | nu afiseaza interfete de tip trunk |
| SW#show vlan brief | pe scurt, nu afiseaza int de tip trunk | |
| SW#show vlan id <VID> | 100, toate int de vlan-ul 100, trunk + access | |
| SW#show vlan name [nume-vlan] | key-sensitive, trunk + access | |
| SW#show vlan summary | cate vlan-uri aveti, standard, extinse | |
| Arata interfetele trunk | show interface <fa0/x> trunk(1) | cum este configurata(desirable, auto, static) |
| DTP pornit ISL sau 802.1q | ||
| Detalii despre configruatia la Layer 2 | show interface <fa0/x> switchport(2) | |
| switchport mode | access (administrativ access) | |
| switchport mode | trunk | |
| dynamic auto | ||
| dynamic desirable | ||
| switchport nonegotiate | ||
| switchport access vlan | VID (static access) | |
| dynamic (VMPS) | ||
| S1(config-if)#switchport trunk native vlan vlan id | pe acea interfata de tip trunk vlan-ul nativ este X (trebuie sa exista) | |
| Tundere manuala | switchport trunk allowed vlan | VID1, VID2, etc.(replace) |
| add <VID>, serie de vlan-uri (append) | ||
| remove <VID> | ||
| none (nici un vlan pe trunk) | ||
| all (default) | ||
| except | ||
| #(c-if)switchport trunk encapsulation | dot1q (2950, 2960) | |
| ISL | ||
| negotiate (3550, 3560) | ||
| Configurare manual trunk(3) | switchport access vlan 2 | |
| switchport trunk native vlan 10 | ||
| switchport trunk allowed vlan access 2 | ||
| switchport mode access | ||
| switchport nonegotiate | ||
| switchport mode trunk |
1)
- Care dintre VLAN-uri disponibile, de la 1 la 4094 sunt disponibile pe acea interfata. (Tundere manuala a VLAN-urilor)(Restricitie manuala)
- Dintre VLAN-urile care efectiv exista – care sunt disponibile in contextul in care mai sus am facut limitari (impusa de ce exista in baza de date cu vlan-uri)
- Ce VLAN-uri va accepta switch-ul sa primeasca trafic sa trimita.
STP, VTP Prunning, tehnologii care pot sa blocheze un vlan, nu interfata fizica de tip trunk ci vlan-ul de pe acea interfata de tip trunk.
Blocking, prunning,
Apare si VLAN-ul nativ.
2)
Switchport > interfete de L2, detalii despre configuratia la L2 a unei interfete (VLAN, Static Access, Dynamic Desirable, Dynamic Auto, Trunk sau Access, static access sau dynamic access, negocierea prin DTP (are loc sau nu), softul de tagare(802.1q sau ISL)
3)
Oridnea operatiunulor:
- Encapsularea dot1q – 2960
- Configurarea manuala a interfetei de tip trunk
- Dezactivarea DTP
No comments:
Post a Comment