Sieci VLAN ========== Wstęp ----- Sieć :abbr:`VLAN (Virtual LAN)` (ang. *Virtual LAN*) to wydzielona logicznie sieć urządzeń w ramach innej, większej sieci fizycznej. Urządzenia tworzące sieć VLAN, niezależnie od swojej fizycznej lokalizacji (przełącznika, do którego są podłączone), mogą się swobodnie komunikować ze sobą, a jednocześnie są odseparowane od innych sieci VLAN, co oznacza, że na poziomie przełącznika nie ma żadnej możliwości skomunikowania urządzeń należących do dwóch różnych sieci VLAN (dotyczy to także ramek rozgłoszeniowych). Sieci VLAN konfiguruje się w przełącznikach, urządzeniach sieciowych warstwy 2 modelu ISO/OSI. Jedna sieć VLAN może swym zasięgiem obejmować wiele przełączników, a w najprostszym przypadku tworzona jest w jednym przełączniku. Sieć VLAN identyfikowana jest poprzez liczbę całkowitą. Ideę sieci VLAN zilustrowano na poniższym rysunku. .. _Rys. 1: .. figure:: img/VLAN1.png :align: center :width: 550px Rys.1. Idea sieci VLAN Ze stosowaniem sieci VLAN wiąże się kilka korzyści. Pozwalają one ograniczyć ruch rozgłoszeniowy, gdyż rozgłaszane ramki trafiają tylko do komputerów w obrębie danej sieci VLAN, nie "zalewają" całej sieci LAN. Ponadto, stosując sieci VLAN łatwo jest dostosować strukturę sieci do zmian w organizacji, ponieważ administrator może dokonać zmian topologii sieci programowo, a nie sprzętowo. Na przykład jeśli użytkownik należący do danej sieci VLAN zmienia stanowisko pracy, administrator po prostu konfiguruje przełącznik tak, by nowe stanowisko należało do odpowiedniej sieci VLAN. Do odzwierciedlenia zmiany administrator używa oprogramowania, a nie sprzętu (okablowania). Taka elastyczność jest szczególnie ceniona w dużych sieciach, w których często zachodzą zmiany w fizycznej topologii sieci. I wreszcie, podział sieci fizycznej na wiele sieci VLAN zwiększa bezpieczeństwo sieci komputerowej już z racji samej tylko separacji ruchu sieciowego w różnych sieciach VLAN. Rodzaje sieci VLAN ------------------ Sieć VLAN tworzą porty jednego lub wielu przełączników. Wyróżnia się dwie odmiany sieci VLAN: **statyczne** i **dynamiczne**. W statycznych sieciach VLAN porty te konfigurowane są w przełączniku statycznie przez administratora. Przynależność danego portu do sieci VLAN nie może ulec zmianie, dopóki administrator nie zmieni konfiguracji. W sieciach dynamicznych natomiast przełącznik, odpytując specjalny serwer, automatycznie ustala, do jakiej sieci VLAN przypisać dany port, na przykład na podstawie adresu MAC maszyny, która rejestruje się w sieci komputerowej. Identfikacja sieci VLAN ----------------------- Aby pomiędzy przełącznikami jednym łączem przesyłać ramki z różnych sieci VLAN, należy na tym łączu umożliwić przesyłanie ramek w ramach różnych sieci VLAN. Takie łącze określane jest mianem **łącza trunk** (ang. *VLAN trunk*). Komunikację w ramach jednej sieci VLAN wykorzystującej łącza trunk (czyli sieci VLAN obejmującej więcej niż jeden przełącznik) umożliwia technika oznaczania ramek sieciowych identyfikatorem sieci VLAN (ang. *VLAN ID*). Technika ta polega na dodawaniu do ramki 12-bitowej liczby identyfikującej sieć VLAN nadawcy. Tak zmodyfikowana ramka przesyłana jest łączami trunk tak długo, aż dotrze do docelowego przełącznika. Ten zaś przed przekazaniem ramki na właściwy port usuwa z niej nadmiarową informację, wprowadzoną przez przełącznik źródłowy. Istnieje kilka sposobów oznaczania ramek, lecz jeden z nich, zgodny z powyższym opisem, objęto standardem IEEE 802.1Q [IEEE802.1Q]_. Podejście to nazywane jest etykietowaniem ramek (ang. *frame tagging*). Komunikacja pomiędzy sieciami VLAN ---------------------------------- Przełączniki nie mogą przesyłać ramek między różnymi sieciami VLAN, gdyż naruszałoby to podstawową ideę tworzenia sieci VLAN - separację ruchu sieciowego. Do komunikacji między sieciami VLAN stosowane są więc urządzenia warstwy wyższej, sieciowej - rutery. Każda sieć VLAN na wyższym poziomie przekłada się na odrębną sieć IP. Zadaniem rutera zaś jest przenoszenie ruchu sieciowego między różnymi sieciami IP. W ten sposób uzyskuje się możliwość komunikowania różnych sieci VLAN. Niniejsze ćwiczenie polega na utworzeniu kilku sieci VLAN w dwóch przełącznikach i połączeniu ich za pomocą rutera. Konfiguracja VLAN w przełącznikach Cisco ---------------------------------------- W ruterach Cisco, w trybie konfiguracji interfejsu używamy dyrektywy :command:`encapsulation dot1q NUMER`, gdzie `NUMER` oznacza numer VLANu. W przełącznikach natomiast służy do tego dyrektywa :command:`switchport accss vlan NUMER`. W przypadku konfiguracji portu trunk, w przełączniku ustawiamy: .. code-block:: ios switchport trunk encapsulation dot1q switchport mode trunk Przykład ```````` Konfiguracja dwóch sieci VLAN w dwóch przełącznikach połączonych łączem trunk. .. _Rys.2: .. figure:: img/VLAN2.png :align: center :width: 550px .. code-block:: ios SwitchA> enable SwitchA# configure terminal SwitchA(config)# interface GigabitEthernet 0/3 SwitchA(config-if)# !przypisanie portow 3 i 4 do sieci VLAN 2 SwitchA(config-if)# switchport access vlan 2 SwitchA(config-if)# interface GigabitEthernet 0/4 SwitchA(config-if)# switchport access vlan 2 SwitchA(config-if)# !przypisanie portow 5 i 6 do sieci VLAN 3 SwitchA(config-if)# interface GigabitEthernet 0/7 SwitchA(config-if)# switchport access vlan 3 SwitchA(config-if)# interface GigabitEthernet 0/8 SwitchA(config-if)# switchport access vlan 3 SwitchA(config-if)# interface GigabitEthernet 0/1 SwitchA(config-if)#!utworzenie lacza VLAN trunk SwitchA(config-if)# switchport trunk encapsulation dot1q SwitchA(config-if)# switchport mode trunk .. _Rys.3: .. figure:: img/VLAN3.png :align: center :width: 550px .. code-block:: ios Router> enable Router# configure terminal Router(config)# interface GigabitEthernet 0/1 Router(config-if)# no shutdown Router(config-if)# !utworzenie pierwszego podinterfejsu Router(config-if)# interface GigabitEthernet 0/1.2 Router(config-if)# !umieszczenie podinterfejsu w sieci VLAN 2 Router(config-if)# encapsulation dot1q 2 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# !utworzenie drugiego podinterfejsu Router(config-if)# interface GigabitEthernet 0/1.3 Router(config-if)# !umieszczenie podinterfejsu w sieci VLAN 3 Router(config-if)# encapsulation dot1q 3 Router(config-if)# ip address 192.168.2.1 255.255.255.0 .. note:: Uwaga - port przełącznika, do którego podłączony jest router, musi również zostać skonfigurowany jako łącze trunk. Konfiguracja VLAN w Mikrotik ---------------------------- W systemie Mikrotik, do konfiguracji VLANów, możemy użyć zarówno programu WinBox, interfejsu WWW lub terminala. Aby dodać nowy interfejs VLAN w WinBox należy dodać nowy interfejs w menu :menuselection:`Interfaces --> +`. W terminalu Mikrotika, VLANy dodajemy następująco (w przykładzie dodajemy VLAN z ID=1 na interfejscie ether1): .. code-block:: bash [root@MiktoTik] > /interface vlan [root@MiktoTik] interface vlan> add name=NAZWA vlan-id=1 interface=ether1 [root@MiktoTik] interface vlan> print Flags: X - disabled, R - running # NAME MTU ARP VLAN-ID INTERFACE 0 X NAZWA 1500 enabled 1 ether1 [root@MiktoTik] interface vlan> enable 0 [root@MiktoTik] interface vlan> print Flags: X - disabled, R - running # NAME MTU ARP VLAN-ID INTERFACE 0 R NAZWA 1500 enabled 1 ether1 Dodawanie VLANów w programie WinBox ilustrują poniższe slajdy: .. fancybox:: img/winbox1.png :width: 800px :height: 450px Dodawanie VLANów w WinBox .. fancybox:: img/winbox2.png :width: 800px :height: 450px :group: gr2 Dodawanie VLANów w WinBox Ćwiczenia --------- 1. Na wzór obrazka :ref:`Rys.2`. W dwóch przełącznikach Cisco Catalyst 3550 skonfiguruj kilka statycznych sieci VLAN połączonych łączem trunk. Do każdej sieci VLAN powinny należeć przynajmniej 2 komputery, podłączone do różnych przełączników. Przed i po skonfigurowaniu sieci VLAN należy stwierdzić, czy możliwa jest komunikacja między komputerami w ramach jednej sieci VLAN i pomiędzy różnymi sieciami VLAN. 2. Na wzór obrazka :ref:`Rys.3`, skonfiguruj ruter Cisco 2800 tak, by komputery należące do różnych sieci VLAN mogły się komunikować. Użyj jednego interfejsu GigabitEthernet rutera i kilku jego podinterfejsów. Literatura ---------- .. [TanenPL] A.S. Tannenbaum, Sieci komputerowe, Helion 2004 .. [IEEE802.1Q] http://standards.ieee.org/getieee802/