Konfigurace VLAN na přepínačích Cisco

Konfigurace VLAN
na přepínačích Cisco
Ing. Petr Machník, Ph.D.
Ostrava, 2010
Základy konfigurace přepínačů CISCO
K přepínači Cisco, který ještě neobsahuje žádnou konfiguraci, je možné se připojit
prostřednictvím konzolového kabelu mezi sériovým portem počítače a konzolovým portem
přepínače. Samotná konfigurace přepínače (stejně jako směrovače) se provede pomocí
terminálového emulátoru Minicom. V nastavení tohoto programu je třeba definovat
parametry sériového portu počítače (port ttyS0, rychlost 9600 baud/s atd.). Celý postup,
včetně ukázky konfigurace směrovače Cisco, je názorně ukázán na videu cisco-minicom.avi,
které je součástí studijních materiálů k tomuto kurzu. Zatímco program Minicom se běžně
používá pod operačním systémem Linux, pod operačním systémem Windows je možné použít
například program Putty. Způsob jeho nastavení je ukázán na videu cisco-putty.avi. Samotná
konfigurace není závislá na použitém terminálovém emulátoru.
Konfigurace přepínače Cisco se obvykle provádí pomocí příkazů v prostředí příkazové
řádky. Příkazové řádka má hierarchickou strukturu – nejprve je nutné se dostat do určitého
konfiguračního módu a pak teprve je možné zadat požadovaný příkaz. Aktuální mód je možné
poznat podle promptu příkazové řádky (např. switch(config-if)# … mód konfigurace
rozhraní). Základní konfiguraci je ale možné provádět i přes webové rozhraní. Dále budou
následovat některé základní příkazy, které se běžně používají při konfiguraci a ověřování její
správnosti.
Nastavení jména přepínače se provede následujícím způsobem (první dva příkazy slouží
k přechodu z uživatelského módu přes privilegovaný mód do konfiguračního módu):
switch>enable
switch#configure terminal
switch(config)#hostname SA
SA#
Na začátku konfigurace je vhodné nastavit, aby hlášení automaticky vypisovaná
přepínačem byla vždy na novém řádku a nepřerušovala psaní příkazů:
switch(config)#line console 0
switch(config-line)#logging synchronous
Aby se přepínač nepokoušel provádět DNS překlad chybně zadaných příkazů, které
mylně pokládá za doménová jména, je třeba zadat tento příkaz:
switch(config)#no ip domain-lookup
Aktuální konfiguraci lze zkontrolovat příkazem:
switch#show running-config
Přepínací tabulku s MAC adresami lze zobrazit příkazem:
SA#show mac-address-table
Informace o rozhraních lze získat příkazy:
switch#show interfaces
switch#show ip interface brief
Zrušení chybně zadaného příkazu se provede přidáním slova no před příkaz, který má
být odstraněn z konfigurace.
switch(config-if)#no switchport mode access
Přechod na vyšší konfigurační úroveň se provede příkazem exit.
switch(config-if)#exit
switch(config)#exit
switch#
Konfigurace VLAN
Sestavte síť dle níže uvedeného schématu a přiřaďte IP adresy zařízením v síti
s využitím adres z rozsahu 10.0.0.0/16.
1) Na přepínači SA nakonfigurujte sítě VLAN 2 a 3 pro běžný datový provoz a VLAN
99 pro vzdálenou správu přepínače. Tyto VLAN pak rozšiřte mezi ostatní přepínače pomocí
protokolu VTP (VLAN Trunking Protocol). Na spojích mezi přepínači vytvořte trunky.
2) Na používaných rozhraních aktivujte funkci Port security a Portfast. Ostatní rozhraní
deaktivujte.
3) K přepínači SC připojte směrovač, která bude provádět směrování mezi sítěmi
VLAN.
4) Nakonfigurujte přepínač SE jako root bridge pro všechny VLAN v rámci Spanning
tree protokolu.
5) Zkontrolujte funkčnost zapojení. Zachyťte pomocí programu Wireshark komunikaci
mezi zařízeními v síti.
Postup řešení
Úkol 1
Vytvoření VLAN s určitým číslem a jeho pojmenování se provede na přepínači SA
pomocí následujících příkazů:
SA(config)#vlan 2
SA(config-vlan)#name VLAN2
SA(config)#vlan 3
SA(config-vlan)#name VLAN3
SA(config)#vlan 99
SA(config-vlan)#name VLAN99
Vytvořené VLAN lze zkontrolovat pomocí tohoto příkazu (pod příkazem je uvedena
ukázka výpisu přepínače):
SA#show vlan brief
VLAN Name
Status
Ports
---- -------------------------------- --------- -------------1
default
active
Fa0/1, Fa0/4,
Fa0/5, Fa0/6
Fa0/7, Fa0/8,
Fa0/9, Fa0/10
Fa0/11,
Fa0/12, Fa0/13, Fa0/14
Fa0/15,
Fa0/16, Fa0/17, Fa0/18
Fa0/19,
Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24
2
VLAN2
active
Fa0/2
3
VLAN3
active
Fa0/3
99
VLAN99
active
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup
Takto vytvořené VLAN se rozšíří k dalším přepínačům pomocí VTP. SA bude mít
funkci serveru a ostatní přepínače budou klienti, kteří budou aktualizovat svou konfiguraci
VLAN podle informací ze serveru. Je potřeba také definovat název VTP domény a heslo, aby
nemohl nějaký cizí přepínač ovlivnit konfiguraci VLAN v naší síti. Užitečná je také
konfigurace funkce prořezávání topologie jednotlivých VLAN.
SA(config)#vtp
SA(config)#vtp
SA(config)#vtp
SA(config)#vtp
mode server
domain VTP-DOMENA
password vtp-domena
pruning
SB(config)#vtp
SB(config)#vtp
SB(config)#vtp
SB(config)#vtp
mode client
domain VTP-DOMENA
password vtp-domena
pruning
SC(config)#vtp
SC(config)#vtp
SC(config)#vtp
SC(config)#vtp
mode client
domain VTP-DOMENA
password vtp-domena
pruning
SD(config)#vtp
SD(config)#vtp
SD(config)#vtp
SD(config)#vtp
mode client
domain VTP-DOMENA
password vtp-domena
pruning
SE(config)#vtp
SE(config)#vtp
SE(config)#vtp
SE(config)#vtp
mode client
domain VTP-DOMENA
password vtp-domena
pruning
Konfiguraci a funkčnost VTP lze ověřit těmito příkazy:
SA#show vtp status
VTP Version
: 2
Configuration Revision
: 4
Maximum VLANs supported locally : 255
Number of existing VLANs
: 8
VTP Operating Mode
: Server
VTP Domain Name
: VTP-DOMENA
VTP Pruning Mode
: Enabled
VTP V2 Mode
: Disabled
VTP Traps Generation
: Disabled
MD5 digest
: 0x2E 0xC3 0xDE 0x13 0x82 0x04
0x15 0x3E
Configuration last modified by 0.0.0.0 at 3-1-93 00:47:53
Local updater ID is 10.0.0.1 on interface Vl99 (lowest
numbered VLAN interface found)
SA#show vtp counters
VTP statistics:
Summary advertisements received
Subset advertisements received
Request advertisements received
Summary advertisements transmitted
Subset advertisements transmitted
Request advertisements transmitted
Number of config revision errors
:
:
:
:
:
:
:
21
6
13
39
15
0
0
Number of config digest errors
Number of V1 summary errors
: 0
: 0
VTP pruning statistics:
Trunk
Join Transmitted Join Received Summary advts
received from nonpruning-capable device
------- ----------------- ------------- ---------------------Gi0/1
487
485
0
Gi0/2
485
489
0
Dále je potřeba přiřadit jednotlivé porty přepínače do různých VLAN. Koncové
zařízení, které je pak připojeno k portu přepínače, který patří do určitého VLAN, bude moci
komunikovat jen se zařízeními připojenými do stejného VLAN. Tato konfigurace je stejná
pro všechny přepínače.
switch(config)#interface fastEthernet 0/2
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 2
switch(config)#interface fastEthernet 0/3
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 3
Porty přepínače, které budou součástí trunkových spojů, se nakonfigurují takto
(konfigurace je stejná pro všechny přepínače):
switch(config)#interface gigabitEthernet 0/1
switch(config-if)#switchport mode trunk
Tyto trunky budou umožňovat přenos rámců ze všech VLAN. Jejich nastavení lze ověřit
tímto příkazem:
SA#show interfaces trunk
Port
vlan
Gi0/1
Gi0/2
Mode
Encapsulation
Status
Native
on
on
802.1q
802.1q
trunking
trunking
1
1
Port
Gi0/1
Gi0/2
Vlans allowed on trunk
1-4094
1-4094
Port
Gi0/1
Gi0/2
Vlans allowed and active in management domain
1-3,99
1-3,99
Port
Gi0/1
Gi0/2
Vlans in spanning tree forwarding state and not
pruned
1,99
1-3,99
VLAN 99, který je určen pro vzdálenou správu přepínače, dostane přidělenu IP adresu.
SA(config)#interface vlan 99
SA(config-if)#ip address 10.0.99.1 255.255.255.0
SB(config)#interface vlan 99
SB(config-if)#ip address 10.0.99.2 255.255.255.0
SC(config)#interface vlan 99
SC(config-if)#ip address 10.0.99.3 255.255.255.0
SD(config)#interface vlan 99
SD(config-if)#ip address 10.0.99.4 255.255.255.0
SE(config)#interface vlan 99
SE(config-if)#ip address 10.0.99.5 255.255.255.0
Aby byl vzdálený přístup k přepínači možný, je třeba nastavit heslo pro virtuální
terminály 0 -15 a pro přechod z uživatelského módu do privilegovaného módu. Tyto příkazy
jsou pro všechny přepínače stejné.
switch(config)#line vty 0 15
switch(config-line)#password heslo
switch(config)#enable secret heslo
Úkol 2
Pro zvýšení bezpečnosti sítě je vhodné omezit počet různých zdrojových MAC adres
Ethernet rámců, které mohou přicházet do určitého portu přepínače. Definovaný počet MAC
adres se přepínač dynamicky naučí z příchozích rámců. Rámce s dalšími novými MAC
adresami budou přepínačem zahozeny a informace o této události budou zaznamenány.
switch(config)#interface fastEthernet 0/2
switch(config-if)#switchport port-security maximum 5
switch(config-if)#switchport port-security violation restrict
switch(config)#interface fastEthernet 0/3
switch(config-if)#switchport port-security maximum 5
switch(config-if)#switchport port-security violation restrict
Díky funkci Portfast, která se nastavuje na netrunkové porty, přejdou tyto porty ze stavu
blocking rovnou do stavu forwarding, čímž se urychlí proces jejich zprovoznění.
switch(config)#interface fastEthernet 0/2
switch(config-if)#spanning-tree portfast
switch(config)#interface fastEthernet 0/3
switch(config-if)#spanning-tree portfast
Všechny nepoužívané porty přepínače je vhodné z bezpečnostních důvodů deaktivovat.
switch(config)#interface range fa 0/1, fa 0/4 – fa 0/24
switch(config-if)#shutdown
Úkol 3
Směrování paketů mezi různými VLAN je možné jen prostřednictvím směrovače.
V našem případě se nakonfigurují na rozhraní směrovače R fastEthernet 0/0 tři virtuální
rozhraní (subinterface) pro jednotlivé VLAN. Směrovač si ve své směrovací tabulce vytvoří
záznamy pro takto vzniklé tři přímo připojené sítě, mezi kterými bude schopen provádět
směrování paketů.
R((config)#interface FastEthernet0/0
R((config-if)#no shutdown
R((config)#interface FastEthernet0/0.2
R((config-if)#encapsulation dot1Q 2
R((config-if)#ip address 10.0.2.254 255.255.255.0
R((config)#interface FastEthernet0/0.3
R((config-if)#encapsulation dot1Q 3
R((config-if)#ip address 10.0.3.254 255.255.255.0
R((config)#interface FastEthernet0/0.99
R((config-if)#encapsulation dot1Q 99
R((config-if)#ip address 10.0.99.254 255.255.255.0
Směrovací tabulka směrovače R bude vypadat takto:
R#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B –
BGP, D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter
area, N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external
type 2, E1 - OSPF external type 1, E2 - OSPF external type 2,
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2, ia - IS-IS inter area, * - candidate default, U per-user static route, o - ODR, P - periodic downloaded static
route
Gateway of last resort is not set
C
C
C
10.0.0.0/24 is subnetted, 3 subnets
10.0.2.0 is directly connected, FastEthernet0/0.2
10.0.3.0 is directly connected, FastEthernet0/0.3
10.0.99.0 is directly connected, FastEthernet0/0.99
Úkol 4
Spanning tree protokol je pro všechny VLAN aktivován automaticky. Je ale možné
ovlivnit volbu přepínače root bridge následujícím příkazem:
SE(config)#spanning-tree vlan 2-3,99 root primary
Informace o konfiguraci Spanning tree protokolu lze zjistit takto:
SA#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID
Priority
32769
Address
0021.1b56.1f00
Cost
4
Port
26 (GigabitEthernet0/2)
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID
Priority
32769 (priority 32768 sys-id-ext 1)
Address
0021.1bb7.a400
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface
---------------Gi0/1
Gi0/2
Role
---Desg
Root
Sts
--FWD
FWD
Cost
--------4
4
Prio.Nbr
-------128.25
128.26
Type
-----------------------------P2p
P2p
VLAN0002
Spanning tree enabled protocol ieee
Root ID
Priority
24578
Address
0021.1b56.1f00
Cost
4
Port
26 (GigabitEthernet0/2)
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID
Priority
32770 (priority 32768 sys-id-ext 2)
Address
0021.1bb7.a400
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface
---------------Fa0/2
Gi0/1
Gi0/2
Role
---Desg
Desg
Root
Sts
--FWD
FWD
FWD
Cost
--------19
4
4
Prio.Nbr
-------128.2
128.25
128.26
Type
-----------------------------P2p
P2p
P2p
VLAN0003
Spanning tree enabled protocol ieee
Root ID
Priority
24579
Address
0021.1b56.1f00
Cost
4
Port
26 (GigabitEthernet0/2)
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID
Priority
32771 (priority 32768 sys-id-ext 3)
Address
0021.1bb7.a400
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface
---------------Gi0/1
Gi0/2
Role
---Desg
Root
Sts
--FWD
FWD
Cost
--------4
4
Prio.Nbr
-------128.25
128.26
Type
-----------------------------P2p
P2p
VLAN0099
Spanning tree enabled protocol ieee
Root ID
Priority
24675
Address
0021.1b56.1f00
Cost
4
Port
26 (GigabitEthernet0/2)
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID
Priority
32867 (priority 32768 sys-id-ext 99)
Address
0021.1bb7.a400
Hello Time
2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface
---------------Gi0/1
Gi0/2
Role
---Desg
Root
Sts
--FWD
FWD
Cost
--------4
4
Prio.Nbr
-------128.25
128.26
Type
-----------------------------P2p
P2p
Na závěr je ještě ukázána celá konfigurace přepínače SA a směrovače R.
SA#show running-config
Building configuration...
Current configuration : 1942 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname SA
!
enable secret 5 $1$otq9$sl/BQJeFfXlRgprFToJrg1
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
!
no ip domain-lookup
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
shutdown
!
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
switchport port-security maximum 5
switchport port-security violation restrict
spanning-tree portfast
!
interface FastEthernet0/3
switchport access vlan 3
switchport mode access
switchport port-security maximum 5
switchport port-security violation restrict
spanning-tree portfast
!
interface FastEthernet0/4
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
interface
shutdown
!
FastEthernet0/5
FastEthernet0/6
FastEthernet0/7
FastEthernet0/8
FastEthernet0/9
FastEthernet0/10
FastEthernet0/11
FastEthernet0/12
FastEthernet0/13
FastEthernet0/14
FastEthernet0/15
FastEthernet0/16
FastEthernet0/17
FastEthernet0/18
FastEthernet0/19
FastEthernet0/20
interface FastEthernet0/21
shutdown
!
interface FastEthernet0/22
shutdown
!
interface FastEthernet0/23
shutdown
!
interface FastEthernet0/24
shutdown
!
interface GigabitEthernet0/1
switchport mode trunk
!
interface GigabitEthernet0/2
switchport mode trunk
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan99
ip address 10.0.99.1 255.255.255.0
no ip route-cache
!
ip http server
!
control-plane
!
!
line con 0
logging synchronous
line vty 0 4
password heslo
login
line vty 5 15
password heslo
login
!
End
R#show running-config
Building configuration...
Current configuration : 1323 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R
!
boot-start-marker
boot system flash:c2801-advipservicesk9-mz.124-22.T.bin
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
dot11 syslog
ip source-route
!
!
!
!
ip cef
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
voice-card 0
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 10.0.2.254 255.255.255.0
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address 10.0.3.254 255.255.255.0
!
interface FastEthernet0/0.99
encapsulation dot1Q 99
ip address 10.0.99.254 255.255.255.0
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1/0
no ip address
shutdown
clock rate 125000
!
interface Serial0/1/1
no ip address
shutdown
clock rate 125000
!
ip forward-protocol nd
ip http server
no ip http secure-server
!
!
!
!
!
!
!
!
!
!
control-plane
!
!
!
ccm-manager fax protocol cisco
!
mgcp fax t38 ecm
!
!
!
!
!
!
line con 0
logging synchronous
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end