SVEUILITE U SPLITU SPECIJALISTIKI DIPLOMSKI STRUNI STUDIJ POLITEHNIKE

KONFIGURIRANJE VLAN MREE

Seminarski rad

Split, travanj, 2012

Sadraj

1.Uvod ............................................................................................................................................3 2. Virtualna LAN mrea ..............................................................................................................4 3. Povezivanje raunala u VLAN mreu....................................................................................5 3.1 Tipovi veza ........................................................................................................................5 3.2 Povezivanje istih VLAN mrea preko vie preklopnika ..................................................6 3.3 Povezivanje razliitih VLAN-ova .....................................................................................6 3.4 Identifikacija VLAN-a...........................................................................................................7 4 . Konfiguracija VLAN-ova na Cisco preklopniku i usmjerniku .........................................8 4.1 Cisco IOS modovi.................................................................................................................8 4.2 VLAN lanstvo ....................................................................................................................8 4.3 Kreiranje VLAN-a...............................................................................................................9 4.4 Konfiguriranje trunk portova ..........................................................................................10 4.5 Postavke za meusobno usmjeravanje VLAN-ova ..........................................................10 5. Testiranje VLAN mree na simulatoru .............................................................................12 6. Zakljuak : ..............................................................................................................................14 7. Literatura: ...............................................................................................................................15

1.Uvod Postoje mnoge raunalne mree, a jedna od njih je VLAN (Virtualna lokalna mrea) o kojoj u pisati u ovom seminarskom radu. Objasniti cu konfigiriranje VLAN mrea koje su umreene sa preklopnicima (switch-evima) a za komunikaciju izmeu VLAN-ova koriste usmjernik (router). Da bi razumjeli konfiguriranje VLAN mree vano je prvo objasniti osnovne pojmove o mrei i mrenoj opremi koja se koristi u konfiguriranju VLAN mree. Raunalna mrea nastaje povezivanjem dva ili vie raunala. Svrha povezivanja raunala je djeljenje podataka i ureaja kojima se moe pristupiti putem mree. LAN - (engl. Local Area Network) je raunalna mrea u kojoj su raunala smjetena na manjim udaljenostima (unutar doma, ureda ili blisko smjetenih zgrada). Preklopnik (switch) je ureaj koji slui za povezivanje dvaju ili vie raunala unutar iste mree ili za povezivanje raunala i usmjernika za promet koji je namjenjen drugim mreama. Preklopnik radi na drugom sloju OSI standarda, povezuje raunala koji komuniciraju na osnovu njihove fizike adrese (MAC- Media Access Control adresa). Odluku o prosljeivanju okvira preklopnik donosi nakon to pregleda MAC adresu svakog dolaznog okvira i donosi odluku kuda okvir treba prosljediti, te se okvir i prosljeuje. Usmjernik (router) je napredniji ureaj od preklopnika. To je ureaj treeg sloja OSI standarda koji slui za usmjeravanje prometa prema logikim adresama (IP adrese). Odluku o usmjeravanju pojedinog paketa usmjernici donose na temelju mrene adrese odredita. Iz zaglavlja primljenog paketa proitaju odredinu IP adresu i usporede je sa zapisom unutar svojih routing tablica. Ako pronau odgovarajui zapis, takav paket prosljeuju prema izlaznom portu na kojemu se nalazi dostupna odredina mrea. U suprotnom taj se paket odbacuje. Usmjernici mogu imati vie razliitih vrsta portova. Najee su to ethernet portovi namjenjeni za komunikaciju sa lokalnim mreama (LAN) i serijski portovi za komunikaciju sa udaljenim mreama (WAN, Internet). Usmjernici meusobno razmjenjuju informacije o dostupnim mreama. Mogu provoditi inteligentne odluke o prioritetu, sigurnosti i putu kojim paket mora doi do odredita. Raunala se najee umreavaju specijaliziranim kabelima koji imaju veliku propusnost podataka (npr. UTP kabel) koji se prikljuuju na preklopnik. Spajanje raunala sa preklopnikom i preklopnika sa usmjernikom koristimo straight UTP kabel dok za spajanje dva preklopnika ili dva usmjernika koristimo crossover UTP kabel. Spajanje raunala sa preklopnikom ili usmjernikom za konfiguriranje koristimo Cisco konzolni kabel. Postoje razliiti tipovi preklopnika koji mogu imati i dodatne funkcionalnosti (preusmjeravanje tako da promet moe prijei iz jednog VLAN-a u drugi a da i dalje ne odlazi sa preklopnika). To je kombinacija usmjernika i preklopnika, preklopnik koji ima mogunost rada s treim slojem a takvi ureaji nazivaju L3 preklopnicima. 3

2. Virtualna LAN mrea Jedna od tehnologija koja se danas ne moe izbjei pri izgradnji mree jesu virtualni LAN-ovi (VLAN-ovi). VLAN predstavlja skupinu raunala koji mogu biti u jednoj ili vie odvojenih mrea, a koje su napravljene na nain da im je omoguena meusobna komunikacija kao da se nalaze u istoj fizikoj mrei a zapravo su smjeteni u vie razliitih LAN-ova. VLAN-ovi se temelje na logikoj umjesto fizikoj konekciji, oni su izrazito fleksibilni. Gotovo da moemo rei da ne postoji mrea koja u sebi ne sadri VLAN-ove pa je stoga vano poblie objasniti o emu se radi, koje su prednosti koritenja VLAN-ova kao i nain na koji to sve radi. Dobro je povezati korisnike koji pripadaju istoj skupini i esto komuniciraju, a bez uporabe VLAN-ova nemogue je fiziki udaljene skupine korisnika povezati u istu domenu. Zbog navedenog, poeljno je razdvojiti odreenu vrstu korisnika i izolirati ju od ostalih, a za to se u dananjim raunalnim mreama koristi tehnologija virtualnih lokalnih mrea. Tipian primjer koji pokazuje prednosti VLAN-ova je povezivanje razliitih korisnika na razliitim mjestima u istu domenu. Tako se, npr., profesori iz razliitih zgrada jednog fakulteta mogu staviti u isti VLAN, te tako odvojiti od studentskih raunala. Dakle, iako su studentska raunala i raunala profesora spojena na isti preklopnik, njihov promet svejedno ostaje odvojen i praktiki je nemogue da netko iz jednog VLAN-a vidi promet iz drugog VLAN-a.

Slika 2: primjer primjene VLAN-ova Takva fleksibilnost prua bezbroj mogunosti i zato su VLAN-ovi tako brzo dobili na popularnosti. Cijela tehnologija VLAN-ova je opisana 802.1Q standardom. Treba napomenuti da postoji i drugi (Ciscov) protokol za rad s VLAN-ovima pod nazivom ISL, meutim 802.1Q (poznat i kao dot1q) je uvelike popularniji i ISL se gotovo vie i ne koristi. 4

VLAN-ovi olakavaju upravljanje mreom zato jer korisnici sa slinim potrebama za mreom dijele isti VLAN. Da bi ta raunala komunicirala na istome VLAN-u, svako raunalo mora imati IP adresu i subnet masku koja pripada i odgovara tom VLAN-u.

3. Povezivanje raunala u VLAN mreu

Slika 3: prikaz virtualnih LAN-ova Na slici 3 je prikazan preklopnik na kojem postoje tri VLAN-a. Na preklopnik je spojeno 6 raunala, odvojenih u razliite VLAN-ove. Svako raunalo vidi samo ono raunalo koje se nalazi u istom VLAN-u. Bez "vanjske pomoi", podatak iz jednog VLAN-a ne moe prijei u drugi VLAN. Da bi podatak preao iz jednog VLAN-a u drugi, potrebno je isto ono to je potrebno i da bi proao iz jednog LAN segmenta u drugi preusmjeravanje podataka.

3.1 Tipovi veza Da bi se iskoristile potpune mogunosti VLAN-a, moraju se prostirati preko vie preklopnika. Portovi preklopnika mogu biti postavljeni kao access ili kao trunk. Access link je neoznaena veza na kojoj promet ulazi ili izlazi bez oznake VLAN-a i pripada samo jednom VLAN-u. Najee se na njega spajaju raunala. Trunk link je oznaena veza kojom se spajaju preklopnici meusobno ili veza izmeu preklopnika i usmjernika. Kroz trunk veze se proputa promet na nain da se tono zna koji promet je namjenjen kojem VLAN-u. Bez trunk portova svaki VLAN bi trebao vlastitu vezu izmeu preklopnika, to je neisplativo i nepraktino.

3.2 Povezivanje istih VLAN mrea preko vie preklopnika VLAN mreu moemo da kreiramo tako da obuhvaaju vie povezanih preklopnika. Povezivanje raunala u VLAN mreu obavlja se konfiguracijom preklopnika. Portovi na preklopniku se u odgovarajui VLAN smjetaju statiki. Administrator mree mora za svaki port odrediti pripadnost odreenom VLAN-u. Ako se eli povezati iste VLAN-ove na fiziki razliitim preklopnicima, potrebno je koristiti trunk linkove.

Slika 4: povezivanje odvojenih VLAN-ova trunk linkom Na slici 4 su prikazana 2 preklopnika koji u povezani trunk linkom te je definirano koji VLANovi se proputaju. Na taj nain raunala spojena npr., VLAN 5 preklopnika br. 1 i raunala spojena na VLAN 5 preklopnika br. 2, mogu komunicirati meusobno kao da su spojeni u lokalnu mreu. Portovi preklopnika koji se nalaze u razliitim VLAN-ovima ne mogu komunicirati izravno, ve im je za to potreban ureaj koji radi na mrenoj (L3) razini (usmjernik ili L3 preklopnik). Kada preklopnik dobije oznaeni okvir preko trunk veze, uklanja oznaku prije slanja na access port. Preklopnik alje okvir jedino ako je access port lan istog VLAN-a kao i oznaeni okvir. Da bi se smjestio neoznaeni promet, koristi se posebni VLAN nazvan native VLAN. Neoznaeni promet primljen na DOT1Q trunk portu automatski se prebacuje u native VLAN. Na Ciscovim Catalyst preklopnicima po defaultu je VLAN 1 native VLAN. Bilo koji VLAN se moe postaviti kao native; mora se jedino voditi rauna o tome da je isti postavljen na oba kraja DOT1Q trunk veze. Ukoliko bi bili drugaiji, postoji mogunost pojave spanning-tree petlje zbog nepodudaranja native VLAN-a na oba kraja. Za postavljanje VLAN-a kao native, na DOT1Q trunk portu se koristi naredba DOT1Q native vlan broj.

3.3 Povezivanje razliitih VLAN-ova 6

Iako se VLAN-ovi mogu prostirati preko nekoliko preklopnika, samo lanovi istog VLAN-a mogu komunicirati. Ureaj treeg sloja OSI modela se koristi za komunikaciju izmeu razliitih VLAN-ova. Veza izmeu preklopnika, veza usmjernika i preklopnika se moe napraviti postavljanjem posebnih veza za svaki VLAN posebno ili ekonominije, spojiti s jednom vezom; na portu preklopnika konfigurirati trunk vezu a na portu usmjernika ukljuiti podsuelja. Podsuelja dijele jedno fiziko suelje u vie logikih veza. Za svaki VLAN je potrebno aktivirati na usmjerniku po jedno podsuelje, te ukljuiti DOT1Q enkapsulaciju. Na taj nain svako podsuelje (i svaki VLAN) ima svoju vlastitu logiku vezu i zadani pristupnik (default gateway).

slika 6. podjela suelja usmjernika na podsuelja 3.4 Identifikacija VLAN-a Kod putovanja prometa s vie VLAN-ova preko jedne veze, potrebna je VLAN identifikacija tj. oznaavanje okvira. Za razlikovanje pripadnosti pojedinog podatka 802.1Q standard koristi zaglavlje (header) koje unutar sebe sadri informaciju o oznaci VLAN-a. Dakle svi podaci koji se alju kroz trunk link e se slati sa ovakvim zaglavljem te e se na drugom kraju, tj. na odreditu u skladu s time svrstati u pravi VLAN.

Slika 5: format 802.1 Q zaglavlja Napomena: pojam trunk link, tj. trunk port je pojam koji koristi Cisco u svojoj implementaciji. Drugi proizvoai mogu koristiti drugaije nazive. 7

4 . Konfiguracija VLAN-ova na Cisco preklopniku i usmjerniku Konfiguriranje VLAN mree znai da se vri konfiguriranje mrene opreme koja se u mrei koristi. Preko 'Terminal' ('HyperTerminal' kod Windows XP OS) programske potpore raunala pristupa se aktivnom mrenom ureaju te zadavanjem komandi vri se njegovo konfiguriranje kroz komandnu liniju CLI (Command Line Interface). CLI je primarni nain konfiguriranja ureaja. 4.1 Cisco IOS modovi Skraenica IOS znai Internetwork Operating System. To je programska podrka kojom se ostvaruje funkcionalnost Cisco ureaja. Podeavanje IOSa se vri pomou CLIa, tj. Command Line Interface. Tim tekstualnim sueljem je korisniku omoguen unos naredbi i njihovih argumenata. U Cisco IOSu postoji vie konfiguracijskih modova (naina rada) koji su organizirani hijerarhijski. Mod
Korisniki EXEC mod Privilegirani EXEC mod Globalni konfiguracijski mod Konfiguracija suelja Konfiguracija podsuelja Konfiguracija usmjernika Konfiguracija linije

Prompt
Router1> Router1 # Router1 (config)# Router1 (config-if)# Router1 (config-subif)# Router1 (config-router)# Router 1(config-line)#

Naredba
Login enable configure terminal Interface vrsta broj Interface vrsta broj router protokol-usmjeravanja line vrsta_broj_linije

Tablica 1: popis modova, pripadajuih promptova, te naredbi za ulazak u pojedini mod Korisniki EXEC mod je inicijalni mod prilikom spajanja na mreni ureaj, te je u njemu mogue unositi samo osnovne naredbe za nadzor ureaja. Privilegirani EXEC mod, ponekad zvan enable mod, omoguava pristup konfiguracijskim modovima. Ti modovi omoguuju upravljanje i konfiguraciju ureaja autoriziranim korisnicima. Za prelazak u privilegirani EXEC mod, potrebno je u korisnikom EXEC modu unijeti naredbu enable i po potrebi lozinku. Globalni konfiguracijski mod Naredbe koje su unesene u globalnom konfiguracijskom modu utjeu na cijeli ureaj. Za ulazak u mod globalne konfiguracije, potrebno je u privilegiranom EXEC modu unijeti naredbu configure terminal (ili skraeno: config t). Konfiguracija suelja Naredbe koje su unesene u modu konfiguracije suelja (i podsuelja) se odnose iskljuivo na trenutno suelje (tj. podsuelje). Za ulazak u mod konfiguracije suelja, potrebno je u modu globalne konfiguracije unijeti naredbu interface (ili skraeno: int) sa pripadajuim argumentima. 4.2 VLAN lanstvo 8

Administratori dodjeljuju lanstvo u VLAN-u statiki ili dinamiki. Statiko VLAN lanstvo zahtjeva od administratora da runo dodjeli pojedini port preklopnika pojedinom VLAN-u. Npr. ukoliko je na portu Fa0/1 dodjeljen VLAN 20, bilo koji ureaj koji se spoji na port Fa0/1 automatski postaje lan VLAN-a 20. Ovakvo VLAN lanstvo je najednostavnije za postaviti, te je najpopularnije, iako zahtjeva najvie potpore od administratora kod dodavanja, mjenjanja ili premjetanja. Npr. ukoliko se eli premjestiti host iz jednog VLAN-a u drugi, potrebno je runo promjeniti VLAN postavke za port preklopnika, ili kabel ureaja prikljuiti u drugi port preklopnika postavljen na drugi VLAN. Dinamiko VLAN lanstvo zahtjeva VMPS (VLAN Management Policy Server). VMPLS sadri bazu podataka koja mapira MAC adrese sa pripadajuim VLAN-ovima. Kada se ureaj prikljui na port preklopnika,VMPS trai postoji li MAC adresa zapisana u bazi te privremeno dodjeljuje taj port odgovarajuem VLAN-u. U dinamikom lanstvu sva premjetanja, dodavanja i promjene su automatizirane te ne zahtjevaju dodatni rad administratora. Bilo statiko ili dinamiko lanstvo, maksimalni broj VLAN-ova ovisi o modelu preklopnika i o njegovom IOS-u (Internetwork Operating System). 4.3 Kreiranje VLAN-a Kada se stvara VLAN, dodjeljuje mu se port i ime. Broj moe biti bilo koji u rasponu koji preklopnik podrava, osim VLAN 1. Neki preklopnici podravaju oko 1000 VLAN-ova, dok drugi podravaju vie od 4000. U praksi se pokazalo da je imenovanje VLAN-a poeljno radi daljnjeg odravanja i upravljanja mree. U Cisco IOS-u VLAN se kreira u globalnom konfiguracijskom modu na sljedei nain:

Nakon kreiranja , VLAN-u se dodjeljuju portovi. Po defaultu, svi portovi su dodjeljeni VLAN1. Ukoliko se ele dodjeliti pojedinani portovi, koristi se sljedea naredba:

Ukoliko se eli dodjeliti raspon portova npr. od Fa0/1 do Fa0/15, koristi se naredba za oznaavanje raspona:

Ako se eli ukloniti port iz odreenog VLAN-a, koristi se negirana naredba tj. no switch access vlan VLAN_broj. Kada port nije povezan s nekimVLAN-om automatski se povezuje ponovno na VLAN 1. Za brisanje VLAN-a se takoer koristi negirajua naredba tj. no vlan VLAN_broj. Kod provjere, odravanja te rjeavanja problema vezanih uz VLAN-ove, najee se koristi naredba show vlan. Ona prikazuje detaljnu listu svih aktivnih VLAN-ova na preklopniku, zajedno sa portovima koji su im dodjeljeni. 4.4 Konfiguriranje trunk portova Portovi preklopnika su po defaultu access (pristupni). Promjena u trunk portove se radi naredbama:

Ako preklopnik podrava oba protokola, potrebna je naredba switchport trunk encapsulation (DOT1Q/ ISL). Moe se i striktno odrediti koji VLAN-ovi smiju preko trunk porta, a koji ne smiju. Pomou naredbe switchport trunk allowed vlan 10 moemo dozvoliti samo VLAN-u 10. Takoer, s naredbom switchport trunk allowed vlan except 10 moemo zabraniti prolazak samo za VLAN 10. 4.5 Postavke za meusobno usmjeravanje VLAN-ova Kako bi se omoguilo usmjeravanje izmeu VLAN-ova, potrebno je promijeniti postavke na usmjerniku i na preklopniku. Na preklopniku se konfigurira trunk veza:

Zatim se na usmjerniku aktivira FastEthernet suelje bez IP adrese i mrene maske.

Nakon toga slijedi konfiguriranje podsuelja (subinterface) sa IP adresom i mrenom maskom ( po jedno za svaki VLAN za koji elimo usmjeravati promet prema nekom drugom VLANu ili VLANovima) i DOT1Q enkapsulacije. Suelje usmjernika je podjeljeno na logika suelja po jedan za svaku VLAN mreu. Oni se nazivaju podsuelja. 10

To se radi pomou standardne naredbe interface fa0/0.10, pri emu nam dio .10 u naredbi oznaava podsuelje , a najee mu dodjeljujemo vrijednost prema ID-u VLANa za koji elimo omoguiti usmjeravanje (npr. za VLAN 10, podsuelje moe biti fa0/0.10). Nakon toga, ulazimo u konfiguraciju podsuelja, to nam je vidljivo prema nazivu prompta Router(config-subif)#, gdje moemo definirati vie stvari, no najbitnije su dvije opcije: enkapsulacija i IP adresa. IP adresa koju emo dodijeliti podsuelju mora odgovarati mrei VLAN-a i dodijeljenom adresnom prostoru. Nakon to smo uli u mod konfiguracije podsuelja usmjernika, definiramo enkapsulaciju naredbom encapsulation dot1q VLAN_ID. Ovdje je bitno napomenuti da VLAN_ID obavezno mora odgovarati ID-u VLAN-a za koji elimo usmjeravati promet (za razliku od imena podsuelja). Naredbom ip address ip_adresa subnet_maska, pri emu je ip_adresa stvarna IP adresa koju dodjeljujemo podsuelju usmjernika, a subnet_maska odgovarajua subnet maska, dodijelit emo IP parametre za pojedino podsuelje.

Kod zavretka podeavanja je poeljno provjeriti postavke na preklopniku i usmjerniku pomou show naredbi.

11

5. Testiranje VLAN mree na simulatoru Simulator u kojem sam radio naziva se Packet tracer. To je Cisco program koji je razvijen u svrhu vjebanja konfiguriranja mrea. U njemu imamo izbor raznovrsne opreme koja se u simulatoru ponaa identino kao i u stvarnosti. Da bi isprobali funkcionalnost potrebno je prvo tu nau mreu napraviti u Packet traceru. Testiranje mree radimo na nain da odaberemo paket koji se nalazi na desnoj strani u packet traceru i zatim kliknemo na polazno raunalo (R1), te zatim na odredino raunalo (U2). Nakon tog priekamo rezultat koji se ispie u donjem kutu packet tracera. Kada dobijemo poruku da je status SUCCESSFUL, znai da je na paket proao.

12

Device

Interface / subinterface Fao/0 Fa0/1 Fa0/0.2 Fa0/0.3 Fa0/0.4 Fa 0/2 Fa0/3 Fa0/4 Fa0/1 Fa0/5 Fa0/2 Fa0/3 Fa0/4 Fa0/1 Fa0/5 NIC NIC NIC NIC NIC NIC

Port switch-a

IP Address / vlan

Subnet Mask

Default Gateway

Router SPLIT

Switch GUSAR1

Access Access Access Trunk Trunk Access Access Access Trunk Trunk Fa0/2 Fa0/2 Fa0/3 Fa0/3 Fa0/4 Fa0/4

192.168.1.3 192.168.2.3 192.168.3.3 Vlan 2 Vlan 3 Vlan 4

255.255.255.0 255.255.255.0 255.255.255.0

Switch GUSAR2

Vlan 2 Vlan 3 Vlan 4

PC - P1 PC P 2 PC R1 PC - R2 PC - U1 PC - U2

192.168.1.1 192.168.1.2 192.168.2.1 192.168.2.2 192.168.3.1 192.168.3.2

255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

192.168.1.3 192.168.1.3 192.168.2.3 192.168.2.3 192.168.3.3 192.168.3.3

Tablica2: popis ureaja, suelja, ip adresa, sabnet maski i pristupnika

13

6. Zakljuak : Glavna svrha VLAN-ova je razdvajanje prometa u logike grupe tako da promet jednog VLANa ne utjee na drugi. Takvi uvjeti su odlini za promet osjetljiv na kanjenja, kao to je govorni promet. Kada su paljivo isplanirani i dizajnirani, VLAN-ovi pruaju sigurnost, lokaliziraju promet na velikim mreama. Sve navedene znaajke kada se spoje, poboljavaju performanse mree. Praktinim djelom rada na packet traceru prikazan je postupak konfiguriranja tri VLAN mree koje za meusobno komuniciranje koriste ureaj treeg sloja usmjernik te testiranjem mree je ispitana njena funkcionalnost.

14

7. Literatura: Todd Lammle: CCNA Cisco Certified Network Associate Virtualna lokalna mrea http://sistemac.carnet.hr/node/671 Virtualni LAN-ovi http://sistemac.srce.unizg.hr/index.php? id=35&tx_ttnews[swords]=vlan&tx_ttnews[tt_news]=354&tx_ttnews[backPid]=39&cH ash=580cc2e400 David Hucaby: CCNP BCMSN Basic Router Configuration http://www.cisco.com/en/US/docs/routers/access/1800/1801/software/configuration/gui de/routconf.html#wp1123692

15