VLAN (Virtual LAN)

Question 1

VLAN (Virtual LAN)

Answer 1

Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Můžeme tedy naši síť segmentovat na menší sítě uvnitř fyzické struktury původní sítě.

Question 2

VLAN (Virtual LAN) - vysvětlení

Answer 2

Jednoduše řečeno pomocí VLAN můžeme dosáhnout stejného efektu, jako když máme skupinu zařízení připojených do jednoho (několika propojených) switche a druhou skupinu do jiného (jiných) switche. Jsou to dvě nezávislé sítě, které spolu nemohou komunikovat (jsou fyzicky odděleny). Pomocí VLAN můžeme takovéto dvě sítě vytvořit na jednom (nebo několika propojených) switchi.

Question 3

VLAN (Virtual LAN) - v praxi

Answer 3

V praxi samozřejmě často potřebujeme komunikaci mezi těmito sítěmi. S VLAN můžeme pracovat stejně jako s normálními sítěmi. Tedy použít mezi nimi jakýkoliv způsob routování. Často se dnes využívá L3 switch (switch, který funguje na třetí vrstvě OSI) pro inter-VLAN routing – směrování mezi VLAN.

Question 4

Důvody pro potřebu VLAN

Answer 4

seskupování uživatelů v síti podle skupin či oddělení nebo podle služeb místo podle fyzického umístění a oddělení komunikace mezi těmito skupinami
snížení broadcastů v síti, které začaly být problémem již před několika lety
zjednodušená správa – k přesunu zařízení do jiné sítě stačí překonfigurovat zařazení do VLANy, tedy správce konfiguruje SW (zařazení do VLAN) a ne HW (fyzické přepojení)

Question 5

Metody zařazení komunikace VLAN

Answer 5

Přiřazení do VLANy se nastavuje typicky na switchi (pouze v některých speciálních případech přichází označená komunikace přes trunk z jiného zařízení).
Na switchích, které podporují VLANy, vždy existuje alespoň jedna VLAN. Jedná se o defaultní VLAN číslo 1, kterou není možno smazat či vypnout. Pokud nenastavíme jinak, tak jsou všechny porty (tedy veškerá komunikace) zařazeny do VLAN 1.

Question 6

Pro zařazení komunikace do VLANy existují čtyři základní metody

Answer 6

Pro zařazení komunikace do VLANy existují čtyři základní metody, ale v praxi je nejvíce využívána možnost první – zařazení dle portu.
Podle portu
Podle MAC adresy
Podle protokolu (informace z 3. vrstvy)
Podle autentizace

Question 7

Podle portu

Answer 7

port switche je ručně a napevno zařazen (nakonfigurován) pro konkrétní VLANu. Jedná se o nejrychlejší a nejpoužívanější řešení

Question 8

Podle MAC adresy

Answer 8

jedná se o dynamičtější řešení, protože VLANy jsou asociovány s MAC adresou počítače, takže nezáleží, do jakého portu připojíme počítač. Náročnější na konfiguraci a výkon. CISCO má řešení VLAN Membership Policy Server (VMPS)

Question 9

Podle protokolu (informace z 3. vrstvy)

Answer 9

v praxi není příliš rozšířené; zařízení musí mít napevno nakonfigurovanou IP adresu a switch se musí dívat do 3. vrstvy > zpomalení

Question 10

Podle autentizace

Answer 10

primárně bezpečnostní metoda, je velmi univerzální — nezáleží na fyzickém zařízení ani na místě zapojení. Ověří se uživatel nebo zařízení pomocí protokolu IEEE 802.1x a podle informací se automaticky umístí do VLANy.

Question 11

Přidělování VLAN čísel

Answer 11

# (O a 4095) - Rezervované pro systémové využití
1 - Cisco defaultní VLAN. Nemůže být změněna ani smazána – defaultně jsou zde všechny porty
2–1005 - Můžeme vytvářet, používat, měnit a mazat.
1006–4094 - Můžeme vytvářet, pojmenovávat a používat. Nemůžeme měnit ale tyto parametry (stav vždy aktivní, enabled — nemůžeme ji vypnout)
3968–4047 a 4094 - VLANy pro interní využití. Nemůžeme je vytvářet, mazat ani měnit.

Question 12

Porty

Answer 12

Fyzické porty například na switchi se označují (adresuji) typem
FastEthernet — písmeno f
GigabitEthernet — písmeno g
TenGigabitEthernet — písmeno t
a číslem [slot]/[port], případně [stoh]/[slot]/[port]
například: fa0/15
Vytvořit VLAN můžeme v Globální konfiguraci pomocí příkazu: interface vlan[číslo]

Question 13

Přidělování— módy

Answer 13

Přidělujeme port dané VLANě — port based
ACCESS
Trunk
Dynamic

Question 14

ACCESS

Answer 14

Port má nakonfigurovanou pouze jednu VLANu, nese komunikaci pouze jedné.
Pro spojení VLAN u dvou switchů je potřeba pro každou VLANu jeden drát.
Přijímá netagované pakety a zařazuje je té VLANy, kterou má nastavenou.
Používá se pro bezpečnost, protože packet z jiné VLANy se zahazuje, to samé platí i pro otagované pakety

Question 15

Trunk

Answer 15

Slouží primárně k tornu, abychom více switchů propojili mezi sebou a komunikace zůstala ve správné VLANě.
Dnes se také často používá pro připojení některých serverů, které potřebují komunikovat do více VLAN. Zpočátku byla metoda trunku docela obtížná, protože nefungovala u všech výrobců, proto se vyvinul standard IEEE 802.1q. Samozřejmě lze propojit dva access porty na dvou switchích a zařadit je do stejné VLANy, ale to je nepraktické.

Question 16

Metody trunku

Answer 16

IEEE 802.1q

Cisco ISL

Question 17

Metody trunku - IEEE 802.1q

Answer 17

standardizovaná metoda, kterou podporují všechny switche. Funguje na principu tzv. tagování, do hlavičky paketu přidá 4B informaci (2B – 0x8100 = je to 802.1p/802.1p, 2B – priorita + číslo VLANy) a přepočítá CRC. Používá se také pro QoS.

Question 18

Metody trunku - Cisco ISL

Answer 18

Cisco proprietární metoda, kterou podporují pouze vyšší řady switchů. Vezme celý původní paket a zabalí jej (encapsulate) jako obsah nového paketu. Přidává tedy 30B k obsahu.
interface gi0/1
switchport mode access 
switchport access vlan 10
nebo do trunk modu
switchport trunk allowed vlan 10

Question 19

Dynamic

Answer 19

Vyjednává o stavu portu (access nebo trunk) pomocí protokolu DTP.

Question 20

DTP (dynamit trunking protocol)

Answer 20

Dynamic-desirable

Dynamic-auto

Question 21

Dynamic-desirable

Answer 21

vyjednávání začne, pokud je druhý trunk, desirable, nebo auto. Aktivně zkouší přepnout druhou stranu do trunku.

Question 22

Dynamic-auto

Answer 22

vyjednávání začne, pokud je druhá strana trunk nebo desirable. Nesnaží se aktivně přepnout druhou stranu.

Question 23

Zabezpečení komunikace v rámci VLÁNY

Answer 23

SWITCH(config-if)#switchport protected
Mezi porty se neposílá žádná komunikace (broadcast, multicast, unicast), pouze komunikace na Layer 3 (s ip adresou a pomocí routování)

Question 24

Zabezpečení portu

Answer 24

SWITCH(config-if)#switchport port-security
metoda zabezpečení přístupu do sítě. Na portu, kde je nastavena, kontroluje, zda pakety přichází z povolení MAC adresy.
Pro nastavení musí být port ve statickém módu (trunk, access, ale ne dynamic).
Pokud nemá žádné MAC adresy, tak se používají adresy dynamické (až po maximum), ty se, pokud se neuloží konfigurace, tak se po restart smažou.
SWITCH(config-if)# switchport port-security max [počet]
Nastavíme kolik MAC adres je pro port povoleno. Defaultní je 1
SWITCH(config-if)#switchport port-security mac-address [adresa]
Přidá mac adresu do konfigurace povolených.
SWITCH(config-if)#switchport port-security violation [typ]
Nastavení pravidla, pokud přijde komunikace z MAC adresy, která není povolení.

Question 25

Zabezpečení portu - typy

Answer 25

Protect
Restrict
Shutdown

Question 26

Protect

Answer 26

nepovolená komunikace je zahazována

Question 27

Restrict

Answer 27

pošle informativní SNMP trap (pošle se všem správcům)

Question 28

Shutdown

Answer 28

port se zablokuje, přepne do stavu Error-disabled, pro opětovné zapnutí je potřeba jej nejprve vypnout.

Question 29

IP adresa a brána

Answer 29

Některým interfacem se může nastavit IP adresa, kvůli komunikaci se switchem.
SWITCH(config)#interface vlan [číslo]
SWITCH(config-if)#ip address [ip] [maska]
A výchozí bránu, kam může switch posílat pro něj nesměrovatelné pakety.
SWITCH(config)#ip default-gateway [ip]

Question 30

VTP (VLAN trunk protocol)

Answer 30

Protokol, který byl navržen pro jednoduší administraci. Pokud se nakonfiguruje nová VLANA na VTP serveru, tato VLANA je distribuována všem switchům v doméně. Tak se tato VLANA nemusí konfigurovat všude.

Question 31

VTP (VLAN trunk protocol) - mody

Answer 31

Server
Client
Transparent

Question 32

Server

Answer 32

v tomto módu můžeme vyvářet, měnit a mazat VLANy. Tyto změny budou poté přeposlány ostatním switchům.

Question 33

Client

Answer 33

Nemůžeme vytvářet, měnit ani mazat VLANy.

Question 34

Transparent

Answer 34

V podstatě vypnutí VTP. Takovýto switch nesynchronizuje VLANy podle obdržených pokynů.