Virtuálne LANs

8.1.1. Úvod do VLAN


ciscoVLAN logicky segmentuje prepínanú sieť založených na funkciách, projekčnom týme alebo na aplikáciách nehľadiac na fyzické umiestnenie alebo prepojenie na sieť. Konfigurácia alebo rekonfigurácia je robená cez softvér. Fyzické prepájanie káblov alebo zariadení pri VLAN je nepotrebné. VLAN pozostáva z hostov a sieťových zariadení prepojených do samostatnej bridging domain. VLAN sú vytvorené na poskytovanie segmentačných služieb tradične poskytovanými fyzickými routrami v LAN konfigurácii, doprava môže byť smerované len medzi VLAN.
8.2.1. Broadcastová doména z VLAN a routrami
VLAN je broadcastová doména tvorená jedným alebo viacerými prepínačmi.
ciscoNa obrázku sú vytvorené 3 oddelené
broadcastové domény použitím 3 prepínačov, vrstva 3 umožňuje posielať pakety do rôznych broadcastových domén.
Na tomto obrázku sú tiež 3 broadcastové domény, ale s jedným routrom a jedným prepínačom. Router smeruje dopravu medzi VLAN použitím L3.
Ak Workstation 1 v Engineering VLAN chce poslať rámec na Workstation 2 v Sales VLAN, rámec bude poslaný na Fa0/0.
Implementovanie VLAN na prepínačoch:

  1. prepínač udržiava pre každú VLAN samostatné bridging table
  2. ak rámec prichádza na VLAN1, prepínač hľadá v bridging table pre VLAN1
  3. pri neznámom rámci si prepínač pridá zdrojovú adresu do bridging table
  4. po skontrolovaní cieľovej adresy je vykonané presunutie
  5. pri učení a presúvaní sa vytvára adresná tabuľka

8.1.3. Operácie VLAN
Každý port prepínača môže byť pridelený do rôznej VLAN. Porty pridelené do jednej VLAN zdieľajú broadcast. Užívatelia pripojený do rovnakého segmentu zdieľajú šírku pásma pre segment.


cisco

VLAN1 je určená na manažovanie a nedá sa zmazať. management software - slúži na dynamické pridelenie k VLAN, u Cisca je to CiscoWorks 2000 alebo CiscoWorks for Switched Internetworks. Členstvo sa prideľuje na základe MAC adries. Tento spôsob je jednoduchý na správu. Prepínač filtruje dopravu, komunikácia je v rámci segmentu, pri požiadavke o komunikáciu mimo segmentu je rámec presunutý na správne rozhranie.


8.1.4.   Výhody VLANs
VLAN umožňujú sieťovým administrátorom organizovať VLAN logicky a nie fyzicky. Administrátor je schopný:


cisco
  1. jednoducho presúvať pracovné stanice na LAN
  2. jednoducho pridávať pracovné stanice na LAN
  3. jednoducho meniť LAN konfiguráciu
  4. jednoducho kontrolovať sieťovú dopravu
  5. zlepšiť bezpečnosť

8.1.5.   Typy VLAN
Druhu členstva vo VLAN na základe pridelenia paketov:

  1. Port-based VLANs
  2. MAC address based VLANs

-      Protocol based VLANs
Závislosť počtu VLAN od:

  1. formátu dopravy
  2. typu aplikácií
  3. potrieb sieťového manažmentu
  4. príslušenstva k skupine

8.2.1. Základy VLAN
V prepínaných sieťach prepínače umožňujú pracovným staniciam prideliť plnú šírku pásma bez vzájomného ovplyvňovania.
Každá VLAN musí mať pridelenú jedinečnú L3 adresu na prepínanie medzi VLANs. Charakteristika end-to-end VLAN:

  1. užívatelia sú zoskupený do VLAN nezávisle na fyzickom umiestnení, ale na základe skupiny alebo pracovnej funkcie
  2. všetci užívatelia vo VLAN by mali rovnaký 80/20 dopravný prúdový vzor
  3. pri presune užívateľov ostáva zachovaná príslušnosť k VLAN
  4. každá VLAN má spoločnú bezpečnosť

8.2.2. Geografia VLANs
End-to-end VLANs umožňujú zoskupenie zariadení na základe využitia zdrojov. Parametrami sú využitie servera, tímový projekt a úrad. V End-to-end VLANs je 80% dopravy v miestnej LAN. Je zavádzané nové pravidlo 20/80. 80% je pre vzdialenú dopravu a 20 pre lokálnu.


8.2.3. Konfigurovanie statickej VLANs
Statické VLAN sú porty na prepínači, ktoré sú manuálne pridelené do VLAN použitím VLAN manažment aplikácie alebo pracujú priamo vnútri prepínača. Statické siete dobre pracujú v sieťach kde:
-     presuny sú kontrolované a manažované
-      kde je veľký VLAN manažment softvér na konfigurovanie portov
Smernice pre konfigurovanie Cisco 29xx prepínačov:

  1. maximálny počet VLAN je závislý od prepínača
  2. VLAN1 je factory-default VLANs, je default Ethernet VLAN
  3. Cisco Discovery Protocol (CDP) a VLAN Trunking Protocol (VTP) advertisements sú posielané na VLAN 1.
  4. IP adresa broadcastovej domény je na VLAN1

-      prepínač musí byť ako VTP server pri vytváraní, pridávaní a mazaní VLAN
Vytvorenie VLAN:
Switch#vlan database
Switch(vlan)#vlan vlan_number
Switch(vlan)#exit
Pridelenie portov k VLAN:
Switch(config)#interface fastethernet 0/9
Switch(config-if)#switchport access vlan vlan_number
8.2.4.   Overovanie VLAN konfigurácie
Príkazy na overovanie konfigurácie:
show vlan
show vlan brief
show vlan id id_number

  1. Uloženie VLAN konfigurácie copy running-config tftp – uloží nastavenie na ftp ako textový súbor
  2. Mazanie VLAN

cisco

no switchport access vlan číslo_VLAN – odstránenie portu z VLAN


cisco

8.3.2. Proces odstraňovanie porúch vo VLAN
Kroky pre izolovanie problému v prepínaných sieťach:

  1. skontrolovať fyzické indikátory, ako stav LED
  2. štartovať so samostatnou konfiguráciou
  3. skontrolovať L1 a L2 linky
  4. odstraňovať poruchy vo VLAN v okruhu niekoľkých prepínačoch

Pri riešení problému skontrolujeme, či sa problém nevracia, či nedochádza k preťaženiu.


8.3.3.   Prevencia broadcastovej búrky
Broadcastová búrka nastáva pri príjme veľkého počtu broadcastových paketov na porte. Presun týchto
paketov spomalí sieť. Kontrola búrok je konfigurovatelná, defaultne býva zakázaná.
STP problémy obsahujú broadcastové búrky, slučky, stratené pakety
Funkcia Spanning-Tree Protocol (STP): zaistenie, že nenastanú logické slučky v sieti s root
prepínačom, ktorý je centrálnym bodom spanning-tree konfigurácie
Umiestnenie root bridge v rozširujúcom prepínači
8.3.4.   Odstraňovanie porúch vo VLAN
Príkazy pre odstraňovaní porúch show a debug.
Skontrolovať pripojenie routra na prepínač, skontrolovať konfiguráciu rozhraní, overiť duplexnú


cisco

konfiguráciu.
show vlan – zobrazí VLAN konfiguráciu na
prepínači, obsahuje VLAN ID, meno, stav,
pridelené porty
show spanning-tree – zobrazí STP nastavenia
použité pre router
Aktuálne parametre spanning-tree:
Bridge Identifier has priority 32768, address
0008.e32e.e600
Configured hello time 2, Max age 20, forward
delay 15
Riadok zobrazujúci, že router je root
spanning-tree:
We are the root of the spanning tree.
8.3.5. Scenáre odstraňovanie porúch vo VLAN
Variant 1: Medzi prepínačom a smerovačom nemôže byť zavedená trunk linka:

  1. show interface, overenie, že je port pripojený a neprijíma frame-check-sequence (FCS) chyby
  2. na prepínači: show int status, na routri: show interface, treba overiť, či je správna rýchlosť a duplex medzi prepínačom a smerovačom,
  3. show interface, overenie, že pre každú VLAN je pridelené fyzické rozhranie routra
  4. show interface alebo show running-config, overenie, či na každom subrozhraní smerovača je správny typ zapuzdrenia, VLAN číslo, IP adresa a maska

-      show version, overenie, či verzia IOS podporuje trunking
Variant 2: VTP nesprávne propaguje konfiguračné zmeny vo VLAN:

  1. show int status, overenie, že prepínače sú prepojené cez trunk linky, VTP aktualizácie sú posielané len cez trunkové linky
  2. show vtp status, overenie, či je rovnaké doménové meno na všetkých prepínačoch, prepínač musí byť VTP klient alebo server
  3. no vtp password password, zmazanie hesla, treba preveriť, či na všetkých prepínačoch je rovnaké heslo

Variant 3: Stratené pakety sú v slučkách
-     Spanning-tree prepínače využívajú na oznámenie o topologických zmenách v sieti pakety: Bridge
Protocol Data Unit packets (BPDUs). Tie sa posielajú na root, v sieti môže byť len jeden.
Problém môže vzniknúť, ak v sieti sú 2 spanning-tree algoritmy: IEEE a DEC. Riešením je použiť
jeden typ s spanning-tree algoritmu.