Konfiguracja VLAN (TAG VLAN – TRUNK)
Damian Stelmach
Tworzenie wirtualnych sieci, oprócz separacji portów (urządzeń), pozwala również logicznie łączyć urządzenia w sieci, bez względu na ich fizyczne położenie. Oczywistym jest, że komputery uczniów czy nauczycieli nie muszą znajdować się w tym samych pomieszczeniach. Pracownie komputerowe uczniów znajdują się również często na różnych kondygnacjach, tak samo jak komputery nauczycieli. Za pomocą technologii VLAN możemy bez ingerencji w fizyczną sieć, spowodować, że będą one pracowały w ramach logicznych sieci, bez zmiany ich fizycznego położenia. I tutaj uwaga, jeśli przełącznik nie wspiera w pełni technologii VLAN ze standardem 802.1Q, a obsługuje tylko Port Based, to takiej konfiguracji nie uda się przeprowadzić. Będzie ona możliwa tylko na urządzaniach, które w pełni obsługują standard 802.1Q czyli standard opisujący działanie sieci VLAN oraz tak zwane ramkowanie (ang. tagging). Weźmy dla przykładu taką topologię:
Mamy tutaj dwa przełączniki. Możemy sobie założyć, że jeden znajduje się na parterze, drugi na 1 piętrze. Na parterze oraz 1 piętrze mamy zarówno pracownie komputerowe oraz klasy, w których pracują komputery dla nauczycieli. Po odpowiedniej konfiguracji urządzenia z pracowni na parterze oraz na 1 piętrze będą należeć do jednej, logicznej sieci VLAN 10, komputery nauczycieli z kolei, będą w jednej sieci o identyfikatorze 20, pomimo tego, iż fizycznie podłączone są do dwóch różnych urządzeń. Pierwszy przełącznik, ten na dole (S1) już jest częściowo skonfigurowany, nasze poprzednie działania załatwiły sprawę, to znaczy mamy na nim utworzone sieci VLAN oraz dodane porty. Musimy teraz skonfigurować jeszcze port, który łączy ten przełącznik z przełącznikiem na 1 piętrze. W technologii CISCO port przełącznika, który łączy się z innym przełącznikiem i transportuje ramki VLAN nazywa się portem TRUNK. Port TRUNK to nic innego jak jedno, fizyczne łącze, które może transportować ramki z wielu sieci wirtualnych.
U innych producentów możemy nie spotkać pojęcia TRUNK, a VLAN tagowany. Tak czy inaczej oba oznaczają to samo, a chodzi w nich o oznaczanie (tagowywanie) ramek, które jako oznaczone transportowane są łączem pomiędzy przełącznikami. Ramka poniżej, to zwyczajna ramka Ethernetowa:
W takiej ramce nie ma wzmianki o sieciach VLAN i taka ramka przekazywana jest do komputera z przełącznika (ang. untag vlan). Ramki transportowane pomiędzy przełącznikami, na których zaimplementowano sieci VLAN są odpowiednio oznaczone (otagowane) i wyglądają tak:
Widać w takiej ramce dwa dodatkowe pola umieszczone pomiędzy sekcją źródłowy adres MAC, a polem określającym długość ramki. Te dwa dodatkowe pola są właśnie wspomnianym tagiem, czyli informacją że ramka została poprzez przełącznik zmodyfikowana i odpowiednio oznaczona. Pole TPID zawsze zawiera tę samą wartość 0x8100. Jest to informacja że ramka została otagowana zgodnie ze standardem opisującym działanie sieci VLAN czyli wspomnianym już 802.1Q.
To drugie pole, pole TCI zawiera przede wszystkim identyfikator sieci VLAN, ten numer który nadaje się podczas tworzenia sieci, a także znacznik priorytetu oraz oznaczenie rodzaju standardu sieci LAN, najczęściej jest to 0 oznaczające sieć ETHERNET. Taka właśnie ramka transportowana jest pomiędzy przełącznikami, kiedy porty je łączące pracują w trybie TRUNK lub TAG VLAN.
Wracamy do konfiguracji przełącznika. W trybie uprzywilejowanym, na pierwszym urządzeniu, wydajemy następujące polecenia:
- Switch(config)# interface gigabitEthernet 0/1
- Switch(config-if)# switchport mode trunk
- Switch(config-if)# switchport trunk allowed vlan 10,20
Pierwsze polecenie to przejście do trybu konfiguracji portu, na którym przełącznik na parterze spięty jest z tym na 1 piętrze. Dalej mamy polecenie uruchamiające tryb TRUNK, no i na koniec polecenie, które pozwala transportować ramki VLANów o numerze 10 i 20.
Dokładnie te same czynności należy wykonać na drugim urządzeniu!!!
Po odpowiedniej konfiguracji przełącznika na 1 piętrze wszystko powinno działać i urządzenia powinny móc się komunikować tylko w ramach swoich, logicznych sieci.
Polecamy: Mega Sekurak Hacking Party
Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - wpiszcie go w koszyku, dzięki czemu otrzymacie 40% zniżki na bilet standard. Więcej szczegółów znajdziecie tutaj.
Książka: Wprowadzenie do bezpieczeństwa IT
Niedawno wystartował dodruk świetnej, rozchwytywanej książki pt. "Wprowadzenie do bezpieczeństwa IT, Tom I" (około 940 stron). Mamy dla Was kod: pasja (wpisz go w koszyku), dzięki któremu otrzymacie 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla naszych Widzów! Jest to pierwszy tom serii o ITsec, który wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!
Pomóż dzieciom
Polska Akcja Humanitarna od wielu lat dożywia dzieci. Prosimy, poświęć teraz dosłownie chwilę i pomóż klikając w oznaczony strzałką zielony brzuszek Pajacyka. Dziękujemy!
Komentarze
Czy macie jakieś pytania, sugestie, uwagi? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać: kontakt@pasja-informatyki.pl. Dziękujemy za poświęcony czas - to dzięki Wam serwis staje się coraz lepszy!