Jan Kończak

Ta strona jest tylko do odczytu. Możesz wyświetlić źródła tej strony ale nie możesz ich zmienić.
===== VLANy – wstęp =====
==== [ekstra] Motywacje dla VLANów ====

=== Ruch rozgłoszeniowy ===

Wraz ze wzrostem liczby użytkowników w sieci wzrasta ilość pakietów
rozgłoszeniowych.
\\
<small>Np. każde urządzenie wysyła co jakiś czas pakiety ARP z pytaniem "jaki
MAC ma podane IP", drukarki rozgłaszają że istnieją, switche sprawdzają czy nie
ma pętli, urządzenia i programy od Apple szukają siebie nawzajem, klienci
Dropboksa szuka innych klientów Dropboksa w lokalnej sieci. </small>
\\
Duża ilość takich pakietów (dostarczanych do każdego, niezależnie od tego czy
go te pakiety interesują czy nie) może negatywnie wpłynąć na działanie sieci,
szczególnie bezprzewodowej.

Żeby zmniejszyć ruch rozgłoszeniowy, można podzielić domeny rozgłoszeniowe przez
podzielenie użytkowników na **osobne sieci**.
\\
Zauważ że na warstwie łącza danych ramki wysyłane na adres rozgłoszeniowy
trafiają do wszystkich – nawet jeśli urządzenia należą do innych sieci IP,
więc potrzeba osobnych urządzeń warstwy łącza danych (switchy).

=== Względy bezpieczeństwa ===

Dla bezpieczeństwa w sieci użytkownicy powinni mieć dostęp tylko do wybranych
zasobów.
\\
<small>Np. użytkownicy korzystający z WiFi dla gości mają mieć dostęp jedynie do
internetu i nie powinni mieć dostępu do żadnych zasobów, pracownicy (poza
wskazanymi działami) nie mają mieć dostępu do serwerów kadrowo-płacowych,
tylko administratorzy mają mieć dostęp do zarządzania sprzętem.
</small>
\\
Do egzekwowanie takich zasad służą firewalle (o których będzie później w
semestrze).
\\
<small>
Gdzie umieścić taki firewall jeśli pracownicy i punkty dostępu do WiFi dla gości
są w całym budynku, pracownicy działu kadr, płac i księgowości siedzi w kilku
miejscach a każdym sprzętem musi zarządzać administrator?
</small>

Żeby móc w jednym miejscu zarządzać firewallem, można dla każdej z grup których
mają dotyczyć inne reguły (<small>np. goście, pracownicy, kadry-płace,
administratorzy sieci</small>) stworzyć **oddzielną sieć** złożoną z osobnych
urządzeń. Potem wszystkie sieci podłącza się do urządzenia pełniącego rolę
firewalla i na nim – w jednym miejscu – wykonuje potrzebną konfigurację.

=== QoS – quality of service ===

W sieciach może pojawić się potrzeba "lepszego" traktowania wybranego ruchu – np.
rozmów telefonicznych (VoIP). Zwykły Ethernet nie daje takiej możliwości, ale
można stworzyć **osobne sieci** np. dla ruchu który ma być obsługiwany w pierwszej
kolejności, a potem na routerch priorytetowo traktować wybrany ruch (<small>NB:
pakiety IP mają pole DiffServ określające priorytety</small>).

==== Streszczenie teorii ====

== Zwykłe porty (access ports) ==
<html><div style="margin-top:-1.2em"></div></html>
Technologia VLAN pozwala skonfigurować jeden (fizyczny) switch tak by zmienił
się w kilka (wirtualnych) switchy, które zachowują się tak jakby były zupełnie
odrębnymi urządzeniami.
<html>
<div style="display:block; text-align:center">
<svg width="381.5" height="32.75" viewBox="0 0 100.939 8.665" xmlns="http://www.w3.org/2000/svg"><path style="-inkscape-font-specification:'DejaVu Sans Mono'" d="M66.2 12.792v.402h.316v-.402zm5.772 0v1.688h.317v-.098c0-.196.04-.347.118-.452a.406.406 0 0 1 .344-.158c.13 0 .225.04.285.122.061.082.092.21.092.383v.203h.318v-.203c0-.262-.048-.457-.146-.586-.097-.13-.243-.195-.44-.195a.657.657 0 0 0-.342.087.592.592 0 0 0-.23.25v-1.041Zm-3.843.203v.548h-.515v.246h.515v.691h.317v-.69h.72v-.247h-.72v-.548zm-6.015.501c-.232 0-.41.051-.536.152a.514.514 0 0 0-.188.427.47.47 0 0 0 .126.346c.084.084.217.144.4.18l.118.024.014.003c.282.056.422.158.422.305a.282.282 0 0 1-.115.24.544.544 0 0 1-.326.084 1.15 1.15 0 0 1-.306-.045 1.881 1.881 0 0 1-.34-.137v.327c.122.04.235.07.34.089.104.02.204.031.3.031.24 0 .429-.053.564-.16a.54.54 0 0 0 .203-.448.5.5 0 0 0-.121-.35.617.617 0 0 0-.357-.179l-.128-.024c-.21-.04-.341-.081-.394-.124-.053-.042-.08-.107-.08-.193 0-.095.036-.166.106-.212.071-.047.178-.07.322-.07.095 0
.189.013.28.04.092.026.184.065.274.118v-.31a1.484 1.484 0 0 0-.579-.114zm8.686 0c-.298 0-.532.09-.7.27-.163.173-.246.411-.251.714h.335c.004-.224.056-.399.158-.522.107-.128.26-.193.458-.193.107 0 .203.017.287.05a.842.842 0 0 1 .253.162v-.332a1.174 1.174 0 0 0-.267-.112 1.031 1.031 0 0 0-.273-.037zm-7.66.047.22.937h.296l-.202-.937zm1.81 0-.201.937h.296l.22-.937zm.755 0v.246h.495v.691h.316v-.937zm-1.64.563-.103.374h.22l.02-.065.018.065h.22l-.104-.374z" transform="translate(-5.16 -12.215)"/><path fill="none" stroke="#000" stroke-width=".265" stroke-linejoin="round" stroke-dasharray=".79375,.264583" d="M55.768.132h45.038v8H55.768z"/><path fill="none" stroke="#000" stroke-width=".265" stroke-linejoin="round" d="M.133.132H45.17v8H.133z"/><path d="M2.782 7.065H5.43v1.6H2.78zm37.09 0h2.649v1.6h-2.65zm-31.792 0h2.65v1.6H8.08zm5.299 0h2.649v1.6h-2.65zm21.195 0h2.649v1.6h-2.65zm-15.896 0h2.649v1.6h-2.65zm5.299 0h2.649v1.6h-2.65zm5.298 0h2.649v1.6h-2.65z"/><path fill="none" stroke="green" stroke-width=".265"
stroke-linejoin="round" d="M73.784 2.265h24.904v5.866H73.784z"/><path fill="none" stroke="maroon" stroke-width=".265" stroke-linejoin="round" d="M57.888 2.265h14.306v5.866H57.888z"/><path fill="maroon" d="M58.418 7.065h2.649v1.6h-2.65z"/><path fill="green" d="M95.508 7.065h2.649v1.6h-2.65z"/><path fill="maroon" d="M63.716 7.065h2.649v1.6h-2.65zm5.299 0h2.649v1.6h-2.65z"/><path fill="green" d="M90.209 7.065h2.649v1.6h-2.65zm-15.896 0h2.649v1.6h-2.65zm5.299 0h2.649v1.6h-2.65zm5.298 0h2.65v1.6h-2.65z"/><text xml:space="preserve" style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center;text-decoration-color:#000;-inkscape-stroke:none" x="70.215" y="17.589" font-weight="700" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" text-anchor="middle" fill="maroon" stroke-width=".265" transform="translate(-5.16 -12.215)"><tspan style="-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center" x="70.215" y="17.589">vlan 1</tspan>
</text><text xml:space="preserve" style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center;text-decoration-color:#000;-inkscape-stroke:none" x="91.472" y="17.589" font-weight="700" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" text-anchor="middle" fill="green" stroke-width=".265" transform="translate(-5.16 -12.215)"><tspan style="-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center" x="91.472" y="17.589">vlan 2</tspan></text><path d="M47.757 2.955h2.823V1.896l1.763 1.764-1.763 1.764V4.366h-2.823z" fill="none" stroke="gray" stroke-width=".265"/><text xml:space="preserve" style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono';text-decoration-color:#000;-inkscape-stroke:none" x="5.278" y="15.472" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" stroke="#000" stroke-width=".265" transform="translate(-5.16 -12.215)">
<tspan x="5.278" y="15.472" stroke="none">switch</tspan></text><path fill="none" stroke="maroon" stroke-width=".265" stroke-linejoin="round" d="M57.888 2.265h14.306v5.866H57.888z"/></svg>
</div>
</html>
**Konfiguracja switcha polega na określeniu które porty należą do którego VLANu**.
\\
Po takiej konfiguracji porty należące do tego samego VLANu mogą się komunikować,
porty należące do różnych VLANów nie mogą.

== Porty z ruchem tagowanym (tagged/trunk ports) ==
<html><div style="margin-top:-1.2em"></div></html>
Aby połączyć switch na którym jest kilka VLANów z innym urządzeniem (i nie
musieć używać po jednym porcie z każdego VLANu) można skonfigurować wybrane
porty tak, by przesyłały ruch z wielu VLANów po jednym porcie, oznaczając
odpowiednio każdą ramkę numerem VLANu z którego pochodzi (ang. VLAN tagging).
Taką możliwość daje standard **802.1Q** i jest ona powszechnie wspierana przez
urządzenia sieciowe. Cisco nazywa port na który mogą pojawiać się ramki z wielu
VLANów **trunk**iem.
<html>
<div style="display:block; text-align:center">
<svg width="381.5" height="91" viewBox="0 0 100.939 24.077" xmlns="http://www.w3.org/2000/svg"><g transform="translate(-5.16 -12.215)"><path d="M80.786 20.814v6.232" fill="none" stroke="#000" stroke-width=".882"/><path d="M25.162 20.88v5.919m-5.299-5.919-.2 6.652" fill="none" stroke="#000" stroke-width=".265" stroke-linecap="square"/><path fill="none" stroke="#000" stroke-width=".265" stroke-linejoin="round" stroke-dasharray=".79375,.264583" d="M60.927 12.347h45.038v8H60.927z"/><path fill="none" stroke="green" stroke-width=".265" stroke-linejoin="round" d="M84.314 14.464h19.532v5.883H84.314z"/><path fill="none" stroke="maroon" stroke-width=".265" stroke-linejoin="round" d="M63.047 14.48h14.306v5.866H63.047z"/><path fill="maroon" d="M63.577 19.28h2.649v1.6h-2.649z"/><path fill="green" d="M100.667 19.28h2.649v1.6h-2.649z"/><path fill="maroon" d="M68.875 19.28h2.649v1.6h-2.649zm5.299 0h2.649v1.6h-2.649z"/><path fill="green" d="M95.368 19.28h2.649v1.6h-2.649z"/><path d="M79.472 19.28h2.649v1.6h-2.649z"/><path
fill="green" d="M84.771 19.28h2.649v1.6h-2.649zm5.299 0h2.649v1.6H90.07z"/><text xml:space="preserve" style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center;text-decoration-color:#000;-inkscape-stroke:none" x="69.157" y="17.589" font-weight="700" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" text-anchor="middle" fill="maroon" stroke-width=".265"><tspan style="-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center" x="69.157" y="17.589">vlan1</tspan></text><text xml:space="preserve" style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center;text-decoration-color:#000;-inkscape-stroke:none" x="94.158" y="17.589" font-weight="700" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" text-anchor="middle" fill="green" stroke-width=".265"><tspan style="-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center" x="94.158"
y="17.589">vlan 2</tspan></text><path d="M52.917 15.17h2.822v-1.06l1.764 1.764-1.764 1.764V16.58h-2.822z" fill="none" stroke="gray" stroke-width=".265"/><path fill="none" stroke="maroon" stroke-width=".265" stroke-linejoin="round" d="M63.047 14.48h14.306v5.866H63.047z"/><path fill="none" stroke="#000" stroke-width=".265" stroke-linejoin="round" stroke-dasharray=".79375,.264583" d="M5.292 12.347H50.33v8H5.292z"/><path fill="none" stroke="green" stroke-width=".265" stroke-linejoin="round" d="M23.307 14.48h24.904v5.866H23.307z"/><path fill="none" stroke="maroon" stroke-width=".265" stroke-linejoin="round" d="M7.411 14.48h14.306v5.866H7.411z"/><path fill="maroon" d="M7.941 19.28h2.649v1.6H7.941z"/><path fill="green" d="M45.031 19.28h2.649v1.6h-2.649z"/><path fill="maroon" d="M13.24 19.28h2.649v1.6H13.24zm5.298 0h2.649v1.6h-2.649z"/><path fill="green" d="M39.733 19.28h2.649v1.6h-2.649zm-15.896 0h2.649v1.6h-2.649zm5.299 0h2.649v1.6h-2.649zm5.298 0h2.649v1.6h-2.649z"/><text xml:space="preserve"
style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center;text-decoration-color:#000;-inkscape-stroke:none" x="14.58" y="17.589" font-weight="700" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" text-anchor="middle" fill="maroon" stroke-width=".265"><tspan style="-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center" x="14.58" y="17.589">vlan 1</tspan></text><text xml:space="preserve" style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center;text-decoration-color:#000;-inkscape-stroke:none" x="35.836" y="17.589" font-weight="700" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" text-anchor="middle" fill="green" stroke-width=".265"><tspan style="-inkscape-font-specification:'DejaVu Sans Mono Bold';text-align:center" x="35.836" y="17.589">vlan 2</tspan></text><path fill="none" stroke="maroon" stroke-width=".265" stroke-linejoin="round"
d="M7.411 14.48h14.306v5.866H7.411z"/><text xml:space="preserve" style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono';text-decoration-color:#000;-inkscape-stroke:none" x="18.545" y="32.964" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" stroke-width=".265"><tspan x="18.545" y="32.964">router</tspan></text><path d="M23.837 26.799h2.649v1.6h-2.649z"/><ellipse cx="25.162" cy="31.75" rx="10.583" ry="4.41" fill="none" stroke="#000" stroke-width=".265" stroke-linejoin="round"/><path d="m18.383 27.875 2.559-.686.414 1.546-2.559.685z"/><text xml:space="preserve" style="line-height:100%;-inkscape-font-specification:'DejaVu Sans Mono';text-decoration-color:#000;-inkscape-stroke:none" x="74.181" y="32.964" font-size="3.528" font-family="DejaVu Sans Mono" letter-spacing="0" word-spacing="0" stroke-width=".265"><tspan x="74.181" y="32.964">router</tspan></text><path d="M79.472 26.799h2.649v1.6h-2.649z"/><ellipse cx="80.797" cy="31.75" rx="10.583" ry="4.41"
fill="none" stroke="#000" stroke-width=".265" stroke-linejoin="round"/><path fill="maroon" d="M76.2 17.819V15.17h1.6v2.649z"/><path fill="green" d="M83.867 17.819V15.17h1.6v2.649z"/><path d="M77.8 16.494h2.81v12.434" fill="none" stroke="maroon" stroke-width=".265"/><path d="M83.867 16.494h-2.904v12.434" fill="none" stroke="green" stroke-width=".265"/><path fill="green" d="M80.83 28.222h1.014v1.411H80.83z"/><path fill="maroon" d="M79.728 28.222h1.015v1.411h-1.015z"/></g></svg>
</div>
</html>
Do poprawnej pracy każda strona portu na którym przesyłane są ramki z wielu
VLANów (**portu trunk**) musi zostać skonfigurowana: **na switchach** wystarczy
**ustawić które VLANy mają być przekazywane jako tagowane** przez ten port,
**na routerach dla każdego VLANu trzeba stworzyć osobny wirtualny interfejs**.
\\
<small>Porty przekazujące ruch tagowany można też skonfigurować tak żeby 
przekazywały ramki z VLANów z których nie ma żadnego zwykłego portu na tym
switchu.</small>

== 802.1Q – znaczniki ==
<html><div style="margin-top:-1.2em"></div></html>
W ramce Ethernet II znacznik (tag) dodaje się między adresy MAC a pole EtherType,
ustawiając w miejscu tego pola stałą wartość (<small>''0x8100''</small>)
która pozwala odróżniać tagowane ramki od nietagowanych.
       [[https://en.wikipedia.org/wiki/IEEE_802.1Q?useskin=vector#Frame_format|Ilustracja z wikipedii]]
\\
Na znacznik, poza wspomnianą stałą, składają się 4 bity określających priorytet
i **12 bitów** określających numer VLANu.

===== Połączenia szeregowe RS-232 =====

[[http://pl.wikipedia.org/wiki/RS-232|RS-232]] - standard szeregowej transmisji
danych. Dawniej łączono terminal z komputerem po RS-232, potem używano go do
łączenia komputerów ze sobą i z urządzeniami zewnętrznymi (np. myszą). 
Został zastąpiony przez standard USB, jednak w tej chwili wciąż wiele urządzeń
wciąż korzysta / wspiera ten protokół. Na jego bazie powstało wiele nowych
i powiązanych protokołów. 

Cisco (i inni producenci sprzętu sieciowego) używa części standardu RS-232 do
łączenia swoich produktów przez port zwany konsolą (console) z komputerami.
Cisco nie używa standardowych gniazd, port konsoli jest gniazdem 8P8C vel RJ-45
<small>([[https://www.cisco.com/c/en/us/support/docs/routers/7000-series-routers/12223-14.html|szczegóły]])</small>.
                                             
W wielu komputerach i laptopach nie montuje się portów RS-232, w razie
potrzeby należy użyć z konwertera USB ↔ RS-232.

Obsługa portu szeregowego RS-232 (w Windowsie nazywanego portem COM) możliwa
jest przy pomocy następujących narzędzi:
<html><div style="margin-top:-1.2em"></div></html>
  * Linux:
    * ''picocom [-b<baud>] /dev/tty<reszta_nazwy_pliku_portu>''       (wyjście z picocom: ''ctrl+a ctrl+q'') \\ np. **''picocom -b115200 /dev/ttyS0''**
    * ''minicom [-s]''  
  * Windows:
    * ''putty''

Do prawidłowej pracy portu szeregowego należy z obu stron ustawić identyczne
parametry – ilość bitów danych, stopu i parzystość (np. 8N1), prędkość (np. 9600,
115200), sterowanie przepływem (np. wyłączone).

<html>
<table style="border:0px">
<tr>
<td style="vertical-align:middle;border:0px;border-right:1px gray solid">
<span style="color:red; font-size:300%;">!</span>
</td>
<td style="font-size:90%;border:0px">
</html>
Switche serii Cisco Business 350 używane na zajęciach oczekują znaku
ASCII 'delete' do usunięcia znaku spod kursora i znaku ASCII 'backspace' do
usunięcia znaku przed kursorem. Choć to oczekiwanie brzmi to rozsądnie,
normalnie naciśnięcie klawisza ''←'' generuje znak ASCII 'delete', a naciśnięcie
klawisza <small>''Delete''</small> generuje sekwencję '\e[3~'.

W konsoli Cisco Business 350, żeby wymazać znak spod kursora, naciśnij ''←'', a
żeby wymazać znak poprzedzający kursor, naciśnij <small>''Ctrl''</small> + ''←''.
\\
**Możesz też uruchomić konsolę z ustawionym odpowiednio dla Cisco zachowaniem
klawisza ''←'' i <small>''Delete''</small> używając
{{xterm-delbs.desktop|tego skrótu}}**.

Poza switchami serii Cisco Business 350 pozostały sprzęt Cisco z laboratorium 
działa normalnie.
<html><div style="display:block;margin-top:-1.2em"></div>
</td>
</tr>
</table>
</html>

===== Konfiguracja switchy Cisco =====

Większość urządzeń Cisco pracuje pod kontrolą systemu [[http://en.wikipedia.org/wiki/Cisco_IOS|IOS]].

==== Cisco IOS – linia poleceń ====

<small>Na [[https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fundamentals/configuration/15mt/fundamentals-15-mt-book/cf-cli-basics.html|stronach]]
Cisco można znaleźć instrukcję obsługi linii poleceń.</small>

Autouzupełnianie, poruszanie się po różnych trybach:
<html><div style="margin-top:-1.2em"></div></html>
  * ''?'' podpowiada możliwe komendy i ich składnie
  * ''tab'' autouzupełnia komendy
  * ''exit'' wychodzi o jeden tryb w górę, działa do trybu uprzywilejowanego
  * ''disable'' wychodzi z trybu uprzywilejowanego (porównaj: ''enable'')
  * ''end'' / ''ctrl+z'' cofa się do trybu uprzywilejowanego
  * ''do <komenda>'' pozwala wykonać komendę z wcześniejszego poziomu - np. komendę ''show vlan'' w trybie konfiguracji  
  * komendy można skracać (póki są jednoznaczne), np. zamiast ''configure terminal'' wystarczy ''conf t''

''no …'' odwraca działanie komendy\\
Tryb użytkownika - [[http://pl.wikipedia.org/wiki/Znak_zach%C4%99ty|prompt]] **''>''**
<html><div style="margin-top:-1.2em"></div></html>
  * ''show …'' pozwala na pokazanie (w tym trybie tylko __części__) stanu i ustawień 
  * ''enable'' przechodzi do trybu uprzywilejowanego (i zwykle wymaga podania hasła)
<html><div style="margin-top:-1.2em"></div></html>
Tryb uprzywilejowany - prompt **''#''**
<html><div style="margin-top:-1.2em"></div></html>
  * ''show …'' pozwala na pokazanie stanu i ustawień 
  * ''show interfaces status'' podsumowanie interface'ów switcha
  * ''show interfaces [//switchport// [//GigabitEthernet 1//]]'' (długa) informacja o interface'ach
  * ''show vlan'' pokazanie przypisanie portów do VLANów 
  * ''show vlan tag //<numer>//'' / ''show vlan name //<nazwa>//'' - pokazanie porty przypisane do wybranego VLANa
  * ''configure terminal'' przechodzi do trybu konfiguracji
<html><div style="margin-top:-1.2em"></div></html>
Tryb konfiguracji - prompt **''(config) #''**
<html><div style="margin-top:-1.2em"></div></html>
  * ''hostname <nazwa>''  ustawienia nazwy urządzenia
  * ''vlan <numer> [name <nazwa>]'' konfiguruje nowy VLAN, ewentualnie nadając mu nazwę
  * ''interface <nazwa interface'u>'' - wejście w tryb ustawień podanego interface'u - prompt **''(config-if) #''**, np: \\ ''interface Gi 1'' – GigaEthernet (ethernet 1Gbit) \\ ''interface Vlan 4'' – ustawienia wspólne dla całego VLANu \\ Polecenia w trybie konfiguracji interface'u:
    * ''switchport access vlan <nr_vlana>'' dołącza port do wybranego vlanu \\ __Uwaga__: jeśli ustawisz że port należy do VLANu którego nie dodałeś komendą ''vlan…'' konfiguracja może((Zależy od modelu i oprogramowania switcha.)) nie działać
    * ''switchport mode access'' ustawia port jako zwykły port należący do wybranego vlanu (domyślne zachowanie portu)
    * ''switchport mode trunk'' ustawia port by był trunkiem (portem przekazującym ruch z wielu vlanów, ze znacznikami)
    * ''switchport trunk native vlan {<num>|none}'' wybiera jeden vlan dla którego ramki nie będą tagowane w trybie trunk
  *  ''interface range <lista interfejsów>'' – konfiguracja wielu interfejsów naraz, np. \\ ''interface range GigabitEthernet 1-5, GigabitEthernet 11-15''


Dodatkowo:
<html><div style="margin-top:-1.2em"></div></html>
  * ''show running-config'' - konfiguracja (dostępna w trybie uprzywilejowanym)
  * ''show mac address-table'' - informacje o tym, jaki adres MAC był widziany na którym porcie
  * ''show cdp neighbors'' - pokazuje sąsiednie urządzenia Cisco używając [[https://pl.wikipedia.org/wiki/Cisco_Discovery_Protocol|Cisco Discovery Protocol]]
  * ''show ip interface'' - pokazuje adresy IP ustawione dla interfejsów vlan, pozwalające na zdalna administrację switchem 
  * ''ip address <ip> /<maska>'' - wykonane z trybu konfiguracji interfejsu vlan (uwaga na spację między IP i maską!)
  * ''ping <ip>''

++++ Przykładowe wyniki poleceń |
<html><pre>
<b>switch# show vlan</b>
Created by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, V-Voice VLAN

Vlan       Name           Tagged Ports      UnTagged Ports      Created by    
---- ----------------- ------------------ ------------------ ---------------- 
 1           1                               gi3-28,Po1-8           D         
 2           2                gi3                gi1                S         
 3      moja_nazwa            gi3                gi2                S      
<b>switch# show interfaces switchport GigabitEthernet 3</b>
S-VLAN Ethernet Type:  0x8100 (802.1q)
VLAN Mapping Tunnel L2 protocols Global CoS: 5
Name: gi3
Switchport: enable
Administrative Mode: trunk
Operational Mode: up
Access Mode VLAN: 1
Access Multicast TV VLAN: none
Trunking Native Mode VLAN: 1
Trunking VLANs: 1-3,5
                        4,6-4094 (Inactive)
General PVID: 1
General VLANs: none
General Egress Tagged VLANs: none
General Forbidden VLANs: none
General Ingress Filtering: enabled
General Acceptable Frame Type: all
General GVRP status: disabled
Customer Mode VLAN: none
Customer Multicast TV VLANs: none
Private-vlan promiscuous-association primary VLAN: none
Private-vlan promiscuous-association Secondary VLANs: none
Private-vlan host-association primary VLAN: none      
Private-vlan host-association Secondary VLAN: none    

VLAN Mapping Tunnel - no resources

VLAN Mapping One-To-One - no resources

Classification rules:

Classification type Group ID VLAN ID 
------------------- -------- ------- 
<b>switch# show interfaces status</b>
                                             Flow Link          Back   Mdix
Port     Type         Duplex  Speed Neg      ctrl State       Pressure Mode
-------- ------------ ------  ----- -------- ---- ----------- -------- -------
gi1      1G-Copper    Full    1000  Enabled  Off  Up          Disabled On     
gi2      1G-Copper    Full    1000  Enabled  Off  Up          Disabled On     
gi3      1G-Copper    Full    1000  Enabled  Off  Up          Disabled On     
gi4      1G-Copper      --      --     --     --  Down           --     --    
gi5      1G-Copper      --      --     --     --  Down           --     --    
<b>switch#show mac address-table</b> 
Flags: I - Internal usage VLAN
Aging time is 300 sec

    Vlan          Mac Address         Port       Type    
------------ --------------------- ---------- ---------- 
     1         c0:2c:17:30:7a:22      gi3      dynamic   
     1         c0:2c:17:30:7a:23      gi3      dynamic   
     1         c0:2c:17:30:a3:41       0         self    
     2         9c:54:16:69:ff:42      gi1      dynamic   
     2         9c:54:16:69:ff:43      gi1      dynamic   
     3         9c:54:16:6a:07:13      gi2      dynamic   
     3         9c:54:16:6a:07:14      gi2      dynamic   
<b>switch#sh ip interface</b>


    IP Address        I/F    I/F Status  Type   Directed  Prec Redirect Status 
                             admin/oper         Broadcast                      
------------------ --------- ---------- ------- --------- ---- -------- ------ 
10.0.0.254/24      vlan 5    UP/UP      Static  disable   No   enable   Valid
</pre></html>
++++

===== Konfiguracja interfejsów na Linuksie =====

Do prawidłowego skonfigurowania w Linuksie połączenia na którym pojawiają się
ramki z oznaczeniem VLANów, należy dla każdego z takich vlanów dodać nowy
wirtualny interfejs komendą:
\\
''ip link add link <nazwa_istniejącego_interfejsu> <nazwa_nowego_interfejsu> type vlan id <numer_vlan>''
\\
np. ''ip link add link //eth0// //eth0.2// type vlan id //2//''

Taki interfejs można usunąć komendą ''ip link del <nazwa>''.

W wynikach szczegółowej listy interfejsów – ''ip --detail link show'' – są
wyświetlane numery VLANów dla interfejsów vlan.

Pamiętaj o włączeniu przekazywania pakietów komendami:
\\
    ''sysctl -a net.ipv4.conf.all.forwarding=1''
\\
    ''sysctl -a net.ipv6.conf.all.forwarding=1''

++++ Przykład konfiguracji routera na Linuksie: |
<html><pre>
# ip link
1: lo: &lt;LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: &lt;BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:11:38:f0:41:00 brd ff:ff:ff:ff:ff:ff
#
# <span title="Stworzenie na eth0 podinterfejsu dopiętego do sieci o identyfikatorze 10" style="background-color:rgba(0,255,255,0.2)">ip link add eth0.10 link eth0 type <b>vlan id 10</b></span>
# <span title="Stworzenie na eth0 podinterfejsu dopiętego do sieci o identyfikatorze 20" style="background-color:rgba(255,255,0,0.4)">ip link add eth0.20 link eth0 type <b>vlan id 20</b></span>
#
<span title="Włączenie interfejsów" style="background-color:rgba(0,0,0,0.1)"># ip link set eth0 up
# ip link set eth0.10 up
# ip link set eth0.20 up</span>
#
<span title="Ustawienie IP z odpowiednich sieci" style="background-color:rgba(0,0,0,0.1)"># ip link add 192.168.10.1/24 dev eth0.10
# ip link add 192.168.20.1/24 dev eth0.20</span>
#
# ip -d address
1: lo: &lt;LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 promiscuity 0 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: &lt;BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:11:38:f0:41:00 brd ff:ff:ff:ff:ff:ff promiscuity 0 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 
3: <span style="background-color:rgba(0,255,255,0.2)">eth0.10</span>@eth0: &lt;BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:11:38:f0:41:00 brd ff:ff:ff:ff:ff:ff promiscuity 0 
    <span style="background-color:rgba(0,255,255,0.2)">vlan protocol 802.1Q id 10</span> &lt;REORDER_HDR> numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 
    inet 192.168.10.1/24 brd 192.168.10.255 scope global
       valid_lft forever preferred_lft forever
4: <span style="background-color:rgba(255,255,0,0.4)">eth0.20</span>@eth0: &lt;BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:11:38:f0:41:00 brd ff:ff:ff:ff:ff:ff promiscuity 0 
    <span style="background-color:rgba(255,255,0,0.4)">vlan protocol 802.1Q id 20</span> &lt;REORDER_HDR> numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 
    inet 192.168.20.1/24 brd 192.168.20.255 scope global
       valid_lft forever preferred_lft forever
# ip route
192.168.10.0/24 dev eth0.10 proto kernel scope link src 192.168.10.1 
192.168.20.0/24 dev eth0.20 proto kernel scope link src 192.168.20.1
<span title="Włączenie przekazywania pakietów" style="background-color:rgba(0,0,0,0.1)"># sysctl net.ipv4.conf.all.forwarding=1</span>
</pre></html> ++++

=== [Ekstra] Prosta konfiguracja firewalla ===

//Firewall będzie omawiany później. Tutaj podaję gotowe komendy na potrzeby ćwiczeń//

== nftables ==
<small>
Wprowadzenie konfiguracji:
<html>
<div style="margin-top:-1.2em">
<pre style="line-height:100%">
echo '
table inet intervlan {
    chain filterforward {
        type filter hook forward priority filter; policy drop;
        oifname "br0" accept;
        iifname "eth0.2" oifname "eth0.3" counter accept;
        iifname "eth0.3" ct state established counter accept;
        counter;
    };
}
' | nft -f -
</pre>
</div>
<div style="margin-top:-1.2em"></div>
</html>
Wyświetlenie konfiguracji: ''nft list ruleset''
\\
Usunięcie konfiguracji: ''nft delete table inet intervlan''
</small>
== iptables ==
<small>
Wprowadzenie konfiguracji:
<html>
<div style="margin-top:-1.2em">
<pre style="line-height:100%">
iptables  -P FORWARD DROP
ip6tables -P FORWARD DROP
iptables  -A FORWARD -o br0 -j ACCEPT
ip6tables -A FORWARD -o br0 -j ACCEPT
iptables  -A FORWARD -i eth0.2 -o eth0.3 -j ACCEPT
ip6tables -A FORWARD -i eth0.2 -o eth0.3 -j ACCEPT
iptables  -A FORWARD -i eth0.3 -m conntrack --ctstate ESTABLISHED -j ACCEPT
ip6tables -A FORWARD -i eth0.3 -m conntrack --ctstate ESTABLISHED -j ACCEPT
</pre>
</div>
<div style="margin-top:-1.2em"></div>
</html>
Wyświetlenie konfiguracji: ''iptables -vL'' i ''ip6tables -vL''
\\
Usunięcie konfiguracji:
<html>
<pre style="line-height:100%">
iptables  -P FORWARD ACCEPT
ip6tables -P FORWARD ACCEPT
iptables  -F FORWARD
ip6tables -F FORWARD
</pre>
</div></html>
</small>
Jan Kończak

Narzędzia użytkownika

Narzędzia witryny

Narzędzia strony
