niedziela, 8 stycznia 2017

ICDN 1 - VLAN cz.18

W poniższym wpisie zajmiemy się siecią VLAN, jest to wydzielona wirtualna sieć w sieci fizycznej, pozwalająca na optymalizację działania poprzez ograniczenie rozgłoszeń, oraz odcięcie części komputerów, np. w księgowości od dostępu dla pozostałych..

Poniższe polecenia pokazują działanie VLAN na switchu, natomiast w jednym z następnych wpisów pokażę  konfigurację VLAN na routerze.

Na przełączniku możemy skonfigurować do 4096 VLAN'ów.

Aby możliwa była komunikacja pomiędzy sieciami VLAN, każda ramka zawiera poza standardowymi polami, również dodatkowe przy pomocy którego tagowany jest ruch przychodzący do przełącznika. Tagowanie krótko mówiąc jest to dodanie do ramki numeru sieci VLAN, ponieważ przełącznik wie do jakiej sieci VLAN należy port, do którego podłączony jest host, który wysłał ramkę.




1. Konfiguracja sieci VLAN:

Po uruchomieniu switch'a domyślnie zawarte są w nim sieci VLAN, domyślna ma numer 1, natomiast istnieję nie wykorzystywane już dziś 1002,1003,1004,1005.

Przechodzimy do konsoli switch'a wydajemy polecenie show vlan w trybie uprzywilejowanym.


Widzimy że wszystkie porty switch'a są przypisane do VLAN 1 - określonego jako default.

Przygotujemy teraz symulację sieci, która będzie składała się z 2 hostów oraz switch'a.
Host 0 - IP: 192.168.100.20, maska: 255.255.255.0
Host 1 - IP: 192.168.100.30, maska: 255.255.255.0



Wykonując ping pomiędzy hostami bez problemu otrzymamy pozytywny rezultat. Jednak gdy utworzymy VLAN'y oraz przypiszemy je do portów na switch'u wtedy w rezultacie otrzymamy brak połączenie pomimo tego że obydwa hosty znajdują się w tej samej sieci.

Rozpoczniemy od utworzenia 2 sieci VLAN na przełączniku o numerach 50 oraz 60 wraz z nazwami odpowiednio: VLAN 50 oraz VLAN 60.

Wykonujemy w trybie konfiguracji globalnej polecenia:



Po tym zabiegu mamy na liście 2 dodatkowe sieci VLAN:



Widzimy że na razie żaden port nie jest przypisany do nowo utworzonych sieci VLAN.

Dodamy teraz do odpowiednich VLAN'ów porty podłączone do do hostów.
Hosty podłączone są do portów f0/1(VLAN 50) oraz f0/2(VLAN 60).
Porty do których podłączone są hosty muszą zostać ustawione w trybie access.





Po wykonaniu powyższych poleceń oraz ponownym wykonaniu show vlan zobaczymy przypisane w/w do konkretnych  VLAN.





Jeżeli chcemy usunąć sieć VLAN, przechodzimy do trybu konfiguracji globalnej wydajemy polecenie no vlan 50, po usunięciu sieci musimy przypisać ponownie do vlan domyślnego port/porty które był przypisane wcześniej do usuniętej sieci VLAN.

2. Połączenia Trunk przy VLAN:

Połączenia trunk są wykorzystywane w przypadku połączenia 2 lub więcej switch'y. Krótko mówiąc trunk tworzy "tunel" pomiędzy portami na switch'u pozwalając wysyłać ramki z tagiem określonych sieci VLAN.


Tworzymy nową symulację sieci z wykorzystaniem połączeń trunkowych:

1. Dodajemy 2 switch'e 2960 podpinamy przewodem z przeplotem do portów G0/1
2. Dodajemy 4 hosty:
2.1 Host 0 - 192.168.100.1 /255.255.255.0 - należy do VLAN 10
2.2 Host 1 - 192.168.20.1 /255.255.255.0 - należy do VLAN 20
2.3 Host 2 - 192.168.20.2 /255.255.255.0 - należy do VLAN 20
2.3 Host 3 - 192.168.10.2 /255.255.255.0 - należy do VLAN 10




Zaczynamy konfigurację naszej sieci:

Tworzymy sieci VLAN 10 oraz 20 na Switch0 oraz Switch1:


Mając ustawione VLAN przejdziemy teraz do konfiguracji połączenia trunk pomiędzy switcha'mi, polecenie wykonujmy na obydwu switch'ach:



Po wykonaniu powyższych poleceń możemy wykonać ping pomiędzy hostami będącymi w tej samej sieci VLAN(Host 0 z Host 3 oraz Host 1 z Host 2). Jak wykonać ping pomiędzy różnymi sieciami VLAN pokażemy w kolejnych wpisach dotyczących routera.


Możemy pokazać dokładne informacje dotyczące połączenie trunk:



 Po wydaniu polecenia zobaczymy na których portach ustanowiono trunk (tutaj G0/1), dodatkowo zobaczymy jakie sieci VLAN połączenie trunk przepuszcza pomiędzy switchami.

Możemy ograniczyć transfer połączeniem trunk tylko do konkretnych sieci VLAN, zróbmy to dla VLAN 20:


Po takim zabiegu możemy wykonać ping tylko pomiędzy hostami sieci VLAN 20, dla VLAN 10 polecenie ping nie zostanie wykonane.


Jeżeli chcemy zobaczyć dokładne informacje na temat portów tryby access (tam gdzie są podłączone hosty) wykonujemy poniższe polecenie:





3. VTP:

Ostatnią rzeczą dotyczącą VLAN na switch'u jest protokół VTP który pozwala na replikowanie ustawień switch'a(servera-administrator może zmieniać konfigurację) na pozostałe switch'e(klienty-konfiguracja jest stała, nie można jej zmienić) w sieci, pod warunkiem że pomiędzy mini istnieje połączenie trunk.
Możliwa jest replikacja tylko na niektóre switch'e, jak również zabezpieczenie przed wprowadzeniem switch'a który może zostać wykorzystany do ataku od wewnątrz.
Poniżej przykładowa konfiguracja(podłączenia kablem z przeplotem oraz ustawione połączenia trunk):



Na początek sprawdzimy status protokołu VTP:



Widzimy poczynając od góry:
1. VTP Version - pokazuje wersję VTP
2. Configuration Revision - jeżeli pokazuje 0 oznacza to że switch nie został zmieniony jeżeli chodzi o VLAN.
3. Max VLANs ... - maksymalna liczba VLAN'ów do ustawienia na switch'u.
4. Number of existing VLANs - obecnie utworzone VLAN'y.
5. VTP operating mode - switch może być w trybie serwera lub klienta.
6. VTP Domain Mode - w celu wymiany konfiguracji konieczna jest konfiguracja domeny, która obejmuje tylko i wyłącznie switch'e.
7. VTP Pruning Mode - wymiana rozgłoszeń pomiędzy switchami poprzez połączenie trunk, które kierowane są do koniecznej sieci VLAN. Jeżeli na S1 jest np. VLAN 10 i 20, na S2 tylko VLAN 10, rozgłoszenie nie będzie wysyłane do S2 jeżeli szukany będzie host należący do VLAN 10 rozgłoszenie nie będzie wysyłane do S2, dzięki czemu ograniczamy ruch w sieci.
8.VTP V2 Mode - pokazuje czy wersja VTP 2 jest skonfigurowana.

Widzimy również że nie została dokonana żadna modyfikacja oraz żaden update ustawień.

 
3.1 Zmieniamy na S1 oraz S2 VTP Operating Mode na Client:



3.2 Ustalamy nazwę domeny(S0):





Sprawdzamy wprowadzone zmiany na S0, poleceniem show vtp status - widzimy że nazwa domeny została zmieniona.




Po zmianie podłączenia na trunk pomiędzy switch'ami powinniśmy otrzymać poniższy widok na S1 oraz S2 - nazwa domeny została rozpowszechniona na pozostałe switch'e.



3.3 Tworzenie sieci VLAN na S0:




Po ponownym wydaniu polecenia show vtp status, widzimy datę oraz godzinę utworzenia VLAN oraz to że liczba obecnie utworzonych sieci VLAN została zmieniona na 6.



3.3 Hasło:

Możemy ustawić hasło, dzięki któremu tylko określone switch'e, które mają to samo hasło mogą być automatycznie aktualizowane.




Dodajmy na S0 nowy VLAN o numerze 101, zobaczymy gdzie zostanie zaktualizowany.







Na S1 mamy zaktualizowaną liczbę VLAN



Na S2 nie mamy VLAN 101, więc ustawione hasło działa, gdyby ktoś chciał podmienić switch w celu przeprowadzenia ataku konfiguracja z S0 nie zostanie skopiowana.



3.4 VTP Prunning:

Ustawienie vtp prunning na S0 spowoduje ograniczenie ruchu pomiędzy min. 2 switchami, gdy na jednym ze switch'y próbujemy połączyć się z hostem który należy do określonego VLAN'u którego nie ma na drugim rozgłoszenie nie zostanie przesłane dalej, dzięki czemu ruch nie będzie obciążał sieci.

3.5 Usunięcie VLAN:

Usunięcie ustawień dotyczących VLAN następuje po usunięciu pliku vlan.dat, wystarczy w trybie uprzywilejowanym wydać polecenie delete vlan.dat, akceptujemy usunięcie, od tej pory switch nie zawiera już sieci vlan.

Brak komentarzy:

Prześlij komentarz