VLAN
VLAN (Virtual LAN) bezeichnet die logische Trennung von Subnetzen innerhalb eines physikalischen Gerätes (meist Switch). Hierbei werden die Frames (Layer 2 Daten) durch das „taggen“ den jeweiligen VLANs zugeordnet. Ausnahme bildet das sog. „native VLAN“. Dieses VLAN wird als einziges nicht markiert. Es muss also auf beiden Seiten des Trunks definiert sein, welches VLAN das native VLAN ist (Standard VLAN 1) und kann für jeden Trunk anders konfiguriert werden.
Da jedes Interface einem einzigen VLAN zugeordnet werden muss (Es sei denn es ist ein Trunkport) wird beim Verlassen des Interfaces die Markierung entfernt, da das Endgerät mit den VLAN Informationen nichts anfangen kann.
Ein Virtual LAN ist im Grunde genommen eine Broadcast-domain. Jeder Port an einem Switch ist eine Kollisionsdomäne, aber alle Ports befinden sich in einer Broadcastdomäne. Würde jeder Port ein eigenes VLAN nutzen, wäre jeder Port sowohl Kollisions-, als Broadcastdomäne.
Sie können auf einem Switch Broadcastdomänen trennen, in dem Sie VLANs definieren und den Ports das entsprechende VLAN zuordnen.
Warum VLAN?
Zusammenfassen in Arbeitsgruppen, oder Abteilungen wird vereinfacht. Entfernungen zwischen Gruppenmitgliedern spielen keine Rolle.
Overhead wird reduziert, da Broadcastdomänen kleiner sind.
Höhere Sicherheit: Wichtige Endgeräte (Server mit Kontodaten) in eigenes VLAN
Traffic aufteilen (z.B. IP Phones in anderes VLAN als PCs)
Einrichten von VLAN
Variante 1
Sie teilen dem Switch einfach mit: Interface 0/1 ist im VLAN 1
Sie benötigen keine Kenntnis der MAC des Gerätes, welches an den Port angeschlossen wird, allerdings sollten Sie eine gute Dokumentation schreiben, um sicher zu gehen, dass Sie die richtigen Geräte mit den richtigen Ports verbinden.
Befehle:
#enable
#vlan database
#vlan 4 name Testlan
#exit
#configure terminal
#interface fastethernet 0/7 oder mehrere interface range fastethernet 0/9 – 11
#switchport mode access
#switchport access vlan 4
Variante 2
Fast gar nicht genutzt!
Sie lesen die MAC jedes Gerätes aus und weisen MAC Adressen den VLANs zu. Der Vorteil ist, dass Sie mit dem Gerät umziehen können und in Ihrem VLAN bleiben. Der Nachteil ist: Lesen Sie in einer Firma mit 120 PCs, 15 Printservern, 120 IP Phones und weiteren 20 Netzwerkgeräten, die MAC Adressen aus. Viel Spaß! 😉
Trunking
Als trunking wird das verbinden von zwei Switches bezeichnet. Wenn VLANs genutzt werden, bekommen die Frames eine zusätzliche Markierung, die die VLAN Zugehörigkeit definiert. So weiß jeder Switch im Netz, wohin das Frame gehört, bzw. auf welchen Ports der Broadcast raus darf.
Trunking Protokolle
Cisco ISL
Proprietäres Trunking Protokoll von Cisco und kann zwischen zwei Cisco Switches laufen.
ISL verkapselt das Frame vollständig mit Header und Trailer. Im ISL Header finden sich Felder die VLAN und BPDU Informationen enthalten. Außerdem werden im ISL Header die Quell- und Ziel MAC der beiden Switches eingetragen.
IEEE 802.1q
Trunking Protokoll, welches auch zwischen Cisco und Nicht-Cisco Switches läuft. Das Frame wird nicht verkapselt, es wird dem Ethernet Header nur ein 4 Byte Header hinzugefügt und der Trailer wird neu berechnet. Im Header wird nur die Priorität und die VLAN-ID eingetragen.
Damit ein Trunk geformt werden kann, müssen die Ports in den Trunk Mode versetzt werden, bzw. so konfiguriert sein, dass Trunking in Frage kommt. Wenn beide Ports eines Switches auf switchport mode dynamic auto oder switchport mode access (access verhindert trunking komplett) eingestellt sind, wird sich nie ein Trunk formen, da kein Switch im Auto Modus Trunking vorschlägt. Ist ein am Trunk beteiligter Port im switchport mode Trunk oder switchport mode dynamic desirable, wird ein Trunk zwischen den beiden Ports geformt, selbst wenn der andere Port auf auto steht.
Befehle:
#enable
#configure terminal
#interface fastethernet 0/7 oder mehrere interface range fastethernet 0/9 – 11
#switchport mode dynamic desirable
Das gleiche auf dem entfernten Switch, mit den entsprechenden Portnummern
VLAN Trunking Protokoll – VTP
Cisco Switches nutzen VTP (Cisco Proprietär) um VLAN Konfigurationsinformationen auszutauschen.
So brauchen Sie Ihr VLAN 3 nur auf einem Switch umbenennen, VTP verteilt den neuen Namen. VTP verteilt VLAN Informationen mit Hilfe von Broadcasts. Diese gehen alle 5 Minuten, oder bei Veränderungen vom VTP Server Switch aus. VTP Server wird der Switch, auf dem das VLAN erstellt wurde. Bei jeder Änderung, sendet VTP die neue Konfiguration an alle angeschlossenen Switches. Jedes Update enthält eine Revisionsnummer, die bei jeder Änderung, vor dem Senden um 1 erhöht wird. Empfängt ein Switch ein Update mit höherer Revisionsnummer, überträgt er die VLAN Informationen.
VTP kennt drei Operationsmodi
Server Mode
VTP Server können VLANs erstellen, entfernen oder modifizieren und konfigurieren. Dies müssen Sie sämtlichen VTP Servern und Clients mitteilen. Sie speichern diese Informationen im VRAM.
Client Mode
Ein Client kann keinerlei Änderungen an der VLAN Konfiguration vornehmen. Die Konfigurationsinformationen werden auch nicht gespeichert.
Wozu dann ein Client? Richten Sie mal 30 VLANs auf 17 Switches ohne VTP ein!
Transparent Mode
Hier werden die VTP Informationen zwar weitergeleitet (forward) aber nicht verarbeitet. Im Transparenten Modus gehört der Switch nicht der VTP Domäne an. Speichert aber die VLAN Konfiguration im NVRAM. Es können Änderungen an den VLANs vorgenommen werden, diese werden jedoch nicht bekannt gegeben.
VTP Pruning (VTP Einschränkung)
VTP pruning verhindert, dass Switches, die keine Ports in ein bestimmtes VLAN haben, auch keine Broadcasts für das VLAN empfangen.
Befehle:
#enable
#vlan database
#vtp domain LANTest
#vtp password password
#vtp pruning
#exit
Folgendes Kommando fügt alle VLANs außer 40 – 50 zum Pruning hinzu
Switch(config-if)#switchport trunk pruning vlan except 40-50
Multisubnetzanbindung über Trunks
Trunks
Als Trunk wird eine Verbindung zwischen zwei link-type Geräten (Switch-Switch / Switch-Router) bezeichnet, über die mehr als ein VLAN läuft. Die Interfaces von Switches müssen in den Trunk Modus versetzt werden bzw. in den „dynamic desirable“ Modus. In der Regel laufen über einen Trunk alle angelegten VLANs, es kann jedoch definiert werden, welche VLAN Informationen über den Trunk laufen dürfen. Das Trunkingprotokoll 802.1Q (dot1Q) ist inzwischen Standard, es setzt die VLAN Informationen zwischen dem Ethernet-Header und den Daten ein.
Befehle (Cisco):
VLAN
| Switch# vlan database | Wechselt in den
VLAN CONFIGURATION MODE |
| Switch(vlan)#vlan 2 name test | Erstellt VLAN 2 mit dem Namen test |
| Switch(vlan)#exit | Speichert die VLAN Einstellungen und verlässt den VLAN Mode |
| Switch(config)# vlan 2 | Erstellt VLAN 2 |
| Switch(config-vlan)# name test | Vergibt den Namen test an VLAN 2 |
| Switch(vlan)# no vlan 2 | Löscht ein VLAN |
| Switch(config)# no vlan 2 | Löscht ein VLAN |
| Switch# show vlan | Zeigt Infos über die VLANs |
| Switch(vlan)#vtp server
client transparent |
wechselt den VTP Mode |
| Switch(vlan)# vtp domain ccna_kurs | Ändert die VTP Domain |
| Switch# vtp status | zeigt Überblick über die VTP Einstellungen |
Trunking
| Switch(config-if)#
switchport mode trunk dynamic desirable dynamic auto |
Trunk erstellen |
| Switch# show interface f0/23 trunk | zeigt Infos über den Trunk an (ISL – 802.1Q) |
access -> kein Trunking
trunk -> immer Trunking
dynamic desirable -> wird Trunking,wenn Gegenseite trunk, dynamic desirable, dynamic auto
dynamic auto -> wird Trunking wenn Gegenseite trunk, dynamic desirable