VLAN (Virtual LAN) Flashcards
VLAN (Virtual LAN)
Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Můžeme tedy naši síť segmentovat na menší sítě uvnitř fyzické struktury původní sítě.
VLAN (Virtual LAN) - vysvětlení
Jednoduše řečeno pomocí VLAN můžeme dosáhnout stejného efektu, jako když máme skupinu zařízení připojených do jednoho (několika propojených) switche a druhou skupinu do jiného (jiných) switche. Jsou to dvě nezávislé sítě, které spolu nemohou komunikovat (jsou fyzicky odděleny). Pomocí VLAN můžeme takovéto dvě sítě vytvořit na jednom (nebo několika propojených) switchi.
VLAN (Virtual LAN) - v praxi
V praxi samozřejmě často potřebujeme komunikaci mezi těmito sítěmi. S VLAN můžeme pracovat stejně jako s normálními sítěmi. Tedy použít mezi nimi jakýkoliv způsob routování. Často se dnes využívá L3 switch (switch, který funguje na třetí vrstvě OSI) pro inter-VLAN routing – směrování mezi VLAN.
Důvody pro potřebu VLAN
seskupování uživatelů v síti podle skupin či oddělení nebo podle služeb místo podle fyzického umístění a oddělení komunikace mezi těmito skupinami
snížení broadcastů v síti, které začaly být problémem již před několika lety
zjednodušená správa – k přesunu zařízení do jiné sítě stačí překonfigurovat zařazení do VLANy, tedy správce konfiguruje SW (zařazení do VLAN) a ne HW (fyzické přepojení)
Metody zařazení komunikace VLAN
Přiřazení do VLANy se nastavuje typicky na switchi (pouze v některých speciálních případech přichází označená komunikace přes trunk z jiného zařízení).
Na switchích, které podporují VLANy, vždy existuje alespoň jedna VLAN. Jedná se o defaultní VLAN číslo 1, kterou není možno smazat či vypnout. Pokud nenastavíme jinak, tak jsou všechny porty (tedy veškerá komunikace) zařazeny do VLAN 1.
Pro zařazení komunikace do VLANy existují čtyři základní metody
Pro zařazení komunikace do VLANy existují čtyři základní metody, ale v praxi je nejvíce využívána možnost první – zařazení dle portu. Podle portu Podle MAC adresy Podle protokolu (informace z 3. vrstvy) Podle autentizace
Podle portu
port switche je ručně a napevno zařazen (nakonfigurován) pro konkrétní VLANu. Jedná se o nejrychlejší a nejpoužívanější řešení
Podle MAC adresy
jedná se o dynamičtější řešení, protože VLANy jsou asociovány s MAC adresou počítače, takže nezáleží, do jakého portu připojíme počítač. Náročnější na konfiguraci a výkon. CISCO má řešení VLAN Membership Policy Server (VMPS)
Podle protokolu (informace z 3. vrstvy)
v praxi není příliš rozšířené; zařízení musí mít napevno nakonfigurovanou IP adresu a switch se musí dívat do 3. vrstvy > zpomalení
Podle autentizace
primárně bezpečnostní metoda, je velmi univerzální — nezáleží na fyzickém zařízení ani na místě zapojení. Ověří se uživatel nebo zařízení pomocí protokolu IEEE 802.1x a podle informací se automaticky umístí do VLANy.
Přidělování VLAN čísel
# (O a 4095) - Rezervované pro systémové využití 1 - Cisco defaultní VLAN. Nemůže být změněna ani smazána – defaultně jsou zde všechny porty 2–1005 - Můžeme vytvářet, používat, měnit a mazat. 1006–4094 - Můžeme vytvářet, pojmenovávat a používat. Nemůžeme měnit ale tyto parametry (stav vždy aktivní, enabled — nemůžeme ji vypnout) 3968–4047 a 4094 - VLANy pro interní využití. Nemůžeme je vytvářet, mazat ani měnit.
Porty
Fyzické porty například na switchi se označují (adresuji) typem
FastEthernet — písmeno f
GigabitEthernet — písmeno g
TenGigabitEthernet — písmeno t
a číslem [slot]/[port], případně [stoh]/[slot]/[port]
například: fa0/15
Vytvořit VLAN můžeme v Globální konfiguraci pomocí příkazu: interface vlan[číslo]
Přidělování— módy
Přidělujeme port dané VLANě — port based
ACCESS
Trunk
Dynamic
ACCESS
Port má nakonfigurovanou pouze jednu VLANu, nese komunikaci pouze jedné.
Pro spojení VLAN u dvou switchů je potřeba pro každou VLANu jeden drát.
Přijímá netagované pakety a zařazuje je té VLANy, kterou má nastavenou.
Používá se pro bezpečnost, protože packet z jiné VLANy se zahazuje, to samé platí i pro otagované pakety
Trunk
Slouží primárně k tornu, abychom více switchů propojili mezi sebou a komunikace zůstala ve správné VLANě.
Dnes se také často používá pro připojení některých serverů, které potřebují komunikovat do více VLAN. Zpočátku byla metoda trunku docela obtížná, protože nefungovala u všech výrobců, proto se vyvinul standard IEEE 802.1q. Samozřejmě lze propojit dva access porty na dvou switchích a zařadit je do stejné VLANy, ale to je nepraktické.
Metody trunku
IEEE 802.1q
Cisco ISL
Metody trunku - IEEE 802.1q
standardizovaná metoda, kterou podporují všechny switche. Funguje na principu tzv. tagování, do hlavičky paketu přidá 4B informaci (2B – 0x8100 = je to 802.1p/802.1p, 2B – priorita + číslo VLANy) a přepočítá CRC. Používá se také pro QoS.
Metody trunku - Cisco ISL
Cisco proprietární metoda, kterou podporují pouze vyšší řady switchů. Vezme celý původní paket a zabalí jej (encapsulate) jako obsah nového paketu. Přidává tedy 30B k obsahu. interface gi0/1 switchport mode access switchport access vlan 10 nebo do trunk modu switchport trunk allowed vlan 10
Dynamic
Vyjednává o stavu portu (access nebo trunk) pomocí protokolu DTP.
DTP (dynamit trunking protocol)
Dynamic-desirable
Dynamic-auto
Dynamic-desirable
vyjednávání začne, pokud je druhý trunk, desirable, nebo auto. Aktivně zkouší přepnout druhou stranu do trunku.
Dynamic-auto
vyjednávání začne, pokud je druhá strana trunk nebo desirable. Nesnaží se aktivně přepnout druhou stranu.
Zabezpečení komunikace v rámci VLÁNY
SWITCH(config-if)#switchport protected
Mezi porty se neposílá žádná komunikace (broadcast, multicast, unicast), pouze komunikace na Layer 3 (s ip adresou a pomocí routování)
Zabezpečení portu
SWITCH(config-if)#switchport port-security
metoda zabezpečení přístupu do sítě. Na portu, kde je nastavena, kontroluje, zda pakety přichází z povolení MAC adresy.
Pro nastavení musí být port ve statickém módu (trunk, access, ale ne dynamic).
Pokud nemá žádné MAC adresy, tak se používají adresy dynamické (až po maximum), ty se, pokud se neuloží konfigurace, tak se po restart smažou.
SWITCH(config-if)# switchport port-security max [počet]
Nastavíme kolik MAC adres je pro port povoleno. Defaultní je 1
SWITCH(config-if)#switchport port-security mac-address [adresa]
Přidá mac adresu do konfigurace povolených.
SWITCH(config-if)#switchport port-security violation [typ]
Nastavení pravidla, pokud přijde komunikace z MAC adresy, která není povolení.
Zabezpečení portu - typy
Protect
Restrict
Shutdown
Protect
nepovolená komunikace je zahazována
Restrict
pošle informativní SNMP trap (pošle se všem správcům)
Shutdown
port se zablokuje, přepne do stavu Error-disabled, pro opětovné zapnutí je potřeba jej nejprve vypnout.
IP adresa a brána
Některým interfacem se může nastavit IP adresa, kvůli komunikaci se switchem.
SWITCH(config)#interface vlan [číslo]
SWITCH(config-if)#ip address [ip] [maska]
A výchozí bránu, kam může switch posílat pro něj nesměrovatelné pakety.
SWITCH(config)#ip default-gateway [ip]
VTP (VLAN trunk protocol)
Protokol, který byl navržen pro jednoduší administraci. Pokud se nakonfiguruje nová VLANA na VTP serveru, tato VLANA je distribuována všem switchům v doméně. Tak se tato VLANA nemusí konfigurovat všude.
VTP (VLAN trunk protocol) - mody
Server
Client
Transparent
Server
v tomto módu můžeme vyvářet, měnit a mazat VLANy. Tyto změny budou poté přeposlány ostatním switchům.
Client
Nemůžeme vytvářet, měnit ani mazat VLANy.
Transparent
V podstatě vypnutí VTP. Takovýto switch nesynchronizuje VLANy podle obdržených pokynů.
