Pentru ca intotdeauna este utila o revenire periodica asupra unor concepte de baza, in acest material voi face exact acest lucru. Voi porni de la intrebarea “Ce sunt VLAN-urile si de ce avem nevoie de asa ceva ?”
Pentru a raspunde la intrebarea aceasta, sa ne inchipuim urmatorul scenariu. O firma mica are un birou cu 5 calculatoare pe care doreste sa le lege intr-o retea locala, pentru departamentul de contabilitate. Pentru a face acest lucru este suficient sa achizitioneze un switch de 8 porturi si sa aloce PC-urilor IP-uri private din acelasi subnet.
Dupa un timp firma isi extinde activitatea si achizitioneaza inca 10 calculatoare pe care sa le introduca in retea. Pentru acest lucru este inlocuit switchul vechi de 8 porturi cu unul nou de 24 de porturi. E o problema totusi, desi fizic este acoperit necesarul de porturi (15/24), cele 15 calculatoare ce urmeaza sa fie conectate sunt alocate in departamente diferite.
Dintre acestea, 5 au ramas la contabilitate, 8 sunt destinate unui call-center, iar 2 sunt folosite pentru proiectare. Nu va chinuiti sa intelegeti ce Dumnezeului de activitate dubioasa desfasoara indivizii, pentru ca nici eu nu stiu. Incercati sa urmariti principiul. :)
Revenind, avem o problema! Seful doreste ca departamentele sa fie izolate astfel incat cei de la contabilitate sa se vada doar intre ei, iar ceilalti la fel.
Aici intervine termenul de VLAN care este un acronim pentru Virtual Local Area Network. Adica reprezinta o segmentare logica a retelei la nivelul switchului (L2).
VLAN-urile au o relevanta locala. Acest lucru inseamna ca doar switchul stie ce porturi sunt asociate unui anume VLAN si este responsabil cu adresarea frame-urilor in mod corespunzator. Din perspectiva calculatoarelor din retea, ele nu stiu daca sunt in VLAN-ul Contabilitate sau Proiectare.
Dupa si mai mult timp firma se extinde iar si inchiriaza o noua locatie in care este montat un switch de 8 porturi, cu 1 calculator pentru contabilitate, 3 pentru call-center si 1 pentru proiectare.
Acum avem alta problema, calculatorul din noua locatie destinat contabilitatii trebuie sa fie conectat cu cele 5 calculatoare din sediul central, iar celelalte la fel. Acest lucru este realizat folosindu-se o legatura de tip trunk intre cele doua switchuri.
In mod normal frame-ul Ethernet nu contine informatie despre VLAN-ul din care face parte un frame. Cand un frame este trimis pe un port de tip trunk este nevoie de inserarea unei informatii suplimentare in frame-ul Ethernet, pentru a se face diferentierea dintre frame-urile hosturilor dintr-un VLAN, fata de cele ale hosturilor din alt VLAN. Acest proces de etichetare a frame-urilor care traverseaza un trunk, prin inserarea de informatie suplimentara in header, se numeste "tagging" si este specificat de standardul IEEE 802.1q.
La fel cum spuneam mai sus, un frame originat de un host din LAN nu va contine informatie despre apartenenta la un VLAN. Acest lucru este realizat de switch in momentul in care primeste frame-ul pe un port. El are informatia ca acel port este asociat unui VLAN, iar in cazul in care frame-ul urmeaza sa fie trimis pe un port de tip trunk, frame-ul este “tagged” cu informatia despre VLAN-ul din care provine.
Putem concluziona prin a spune ca atunci cand vorbim despre VLAN-uri, porturile asociate acestora pot sa fie de tip acces, adica porturi care conecteaza hosturi la retea, iar frame-urile pe aceste porturi circula untagged, sau porturi de tip trunk ce pot sa transporte frame-uri din mai multe VLAN-uri, iar pe acestea informatia circula tagged.
Laboratorul nu se concentreaza pe comenzi de configurare a VLAN-urilor, ci as vrea sa fac o analiza a traficului si sa pun accent pe felul in care circula frame-urile in interiorul unui VLAN, pe legaturi de tip trunk si intre VLAN-uri.
Daca sunteti la inceput si termenul de VLAN este nou, va recomand parcurgerea materiei din CCNA2, capitolul 3 pentru o mai buna intelegere a acestui material.
Topologie (dati click pe imagine pentru a mari)
Configuratii switchuri
Comunicarea in interiorul unui VLAN
Pentru a observa acest lucru, pornim o captura in WireShark pe linkul dintre PC2 si ESW1, apoi dam un ping din PC1 catre PC2. Ne intereseaza sa observam ca incapsularea la L2 nu contine informatie suplimentara despre VLAN-ul din care fac parte PC1 si PC2.
Daca folosim comanda de vizualizare “show mac-address-table” pe switch observam ca el stie despre porturile FastEthernet 1/1 si 1/2 la care sunt conectate PC1 si PC2, ca fac parte din VLAN-ul 10. MAC-urile “invatate” sunt ale PC1 si PC2.
In mod similar vom face o captura a traficului pe linkul dintre PC4 si ESW2 si vom initializa un ping dinspre PC3 spre PC4. La fel ca mai sus, observam ca frame-urile intre switch si host sunt frame-uri Ethernet untagged.
Comunicarea pe trunk
Situatia devine interesanta cand facem o captura pe linkul dintre cele doua switchuri.
Observam ca daca initiem un ping de pe PC3 catre PC4, cand pachetul traverseaza linkul trunk, el este incapsulat intr-un frame care contine informatie suplimentara despre VLAN-ul din care fac parte PC3 si PC4.
Este evident ca pentru realizarea conectivitatii, informatia referitoare la VLAN-uri este necesar sa coincida pe ambele switchuri.
Pentru a realiza comunicarea intre VLAN-uri este necesara rutarea traficului la L3. Acest lucru se poate face utilizand un router sau cu ajutorul unor interfete virtuale asociate unui VLAN, pe care configuram o adresa IP (next-hop pentru hosturi).
Nu voi intra in detalii despre Inter VLAN Routing (IVR) in acest laborator.
De pe PC1 initiem un ping catre PC4 si facem o captura pe linkul trunk. La fel ca in imaginea anterioara, observam ca frame-ul contine informatie despre VLAN-ul din care a fost originat.
In ultima etapa a laboratorului, initiem pe rand pinguri dinspre PC1 spre PC2, PC3 si PC4, apoi vizualizam tabela MAC de pe ESW1.
Capturile de trafic le puteti descarca de aici. Pentru a le deschide este necesar sa aveti instalat WireShark.
Sper ca ati gasit util si interesant acest laborator.
Pentru sugestii sau observatii va rog sa folositi sectiunea de comentarii.
Spor! :)
Niciun comentariu :
Trimiteți un comentariu