Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Konfiguracja sieci VLAN

Tomasz
March 12, 2018

Konfiguracja sieci VLAN

Prezentacja w ramach kwalifikacji E13 technik informatyk

Tomasz

March 12, 2018
Tweet

More Decks by Tomasz

Other Decks in Technology

Transcript

  1. Kto ogarnia VLANY ? • Pingowanie po sieci • Pingowanie

    po vlanach • Polaczenie trunk • Przypisywanie portow • Wykonanie na sprzecie • Obsluga ekspressu
  2. Podstawowe informacje • Wirtualna sieć lokalna - VLAN (Virtual Local

    Area Network) dzieli jedną fizyczną sieć w kilka logicznych. Każdy VLAN tworzy oddzielną domenę "Broadcast". Komunikacja pomiędzy dwoma sieciami wirtualnymi możliwa jest tylko poprzez jeden router z którym połączone są VLAN-y. • IEEE 802.1Q – standard opisujący działanie wirtualnych sieci LAN (VLAN) budowanych w środowisku transportującym ramki. Został utworzony w ramach standardu IEEE 802
  3. Rodzaje • Istnieją trzy główne typy sieci VLAN: • bazujące

    na portach, • statyczne oraz • dynamiczne. • Rozwijanie tych pojec jest nadmiarowe w naszym przypadku. Wiekszosc bazuje na portach.
  4. Komunikacja • Konfiguracja sieci VLAN dokonywana jest za pośrednictwem oprogramowania

    (np. systemu IOS) na poziomie switcha. • Router w sieci VLAN jest konieczny, aby była możliwość komunikacji między poszczególnymi VLAN’ami, jeżeli sytuacja tego nie wymaga, router jest zbędny.
  5. Zasady • Konfiguracje sieci VLAN grupują użytkowników raczej poprzez logiczne

    przyporządkowanie, nie zaś w oparciu o ich fizyczne położenie. • Sieci VLAN dokonują logicznej segmentacji fizycznej infrastruktury sieci lokalnej na różne podsieci (lub domeny rozgłoszeniowe w przypadku sieci Ethernet) tak, aby rozgłaszane ramki przełączane były tylko między portami znajdującymi się w ramach tej samej sieci VLAN.
  6. VLAN a LAN różnice • sieci VLAN działają na poziomie

    warstwy 2 i warstwy 3 modelu odniesienia OSI; • komunikacja między sieciami VLAN zapewniana jest przez routing warstwy 3; • sieci VLAN dostarczają środków do kontrolowania rozgłaszania; • użytkownicy są przypisani do sieci VLAN przez administratora sieci; • sieci VLAN mogą zwiększać bezpieczeństwo sieci poprzez ustalenie, które węzły sieci mogą porozumiewać się ze sobą.
  7. VLAN ID ??? W większości poradników VLAN ID odpowiada 3

    oktetowi. To wydaje się rozsądna metoda. VLAN ID = X.X.ID.X
  8. VLAN ID • VLAN ID (VID) – 12-bitowe pole określające,

    do której sieci VLAN należy ramka. Wartość zero oznacza, że ramka nie należy do żadnej wirtualnej sieci, wartość jeden jest wykorzystywana dla mostów, a wartość 0xFFF jest zarezerwowana do innych celów. Pozostałe 4094 wartości mogą być użyte do oznaczenia poszczególnych sieci VLAN. Urządzenie działające w standardzie 802.1Q po otrzymaniu takiej ramki odczytuje VLAN ID i kieruje ramkę do odpowiedniej sieci wirtualnej.
  9. Do czego potrzebny TRUNK ? • Czym jest trunk? Trunk

    to taki „tunel” zawierający w sobie dane przesyłane do różnych sieci VLAN. W naszym zadaniu mamy 3 sieci VLAN, a więc aby urządzenia mogły wymieniać dane między sobą potrzebne były by 3 fizyczne połączenia przełączników, 1 dla każdej sieci VLAN, tak jak zostało to pokazane na rysunku:
  10. Pierwszy etap • VLAN uczniowie będzie miał przypisany identyfikator 10

    (może być inny z zakresu 2-1001, nie ma większego znaczenie jaki Wy wybierzecie), a adresIP dla tej sieci VLAN będzie miał postać: 192.168.10.0/24. • VLAN nauczyciele będzie miał przypisany identyfikator 20, zatem adres IP dla tej sieci VLAN będzie miał postać: 192.168.20.0/24. • VLAN administracja będzie miał przypisany identyfikator 30, zatem adres IP dla tej sieci VLAN będzie miał postać: 192.168.30.0/24.
  11. W CISCO • Nie ma tego w opcjach. Nie mylić

    z TX Ring Limit • Trzeba recznie wpisac z „łapy” • >enable • >configure terminal • >vlan 10 • >name uczniowie • >exit • To samo dla nauczycieli
  12. W CISCO VLAN 10 FAST ETHERNET 192.168.10.5/24 192.168.10.6/24 VLAN 20

    FAST ETHERNET 192.168.20.5/24 192.168.20.6/24
  13. Co jeszcze ? • Warto dodac dla kazdej sieci brame

    sieciowa np 192.168.10.2 • Oraz jakis domyslny adres dns dla zasady np 8.8.8.8
  14. Musimy przypisac porty 2x • >enable • >configure terminal •

    >interface range fastEthernet 0/1-10 • >switchport access vlan 10 • >exit • >enable • >configure terminal • >interface range fastEthernet 0/11-20 • >switchport access vlan 20 • >exit
  15. Ustawiamy trunk na portach • >enable • >configure terminal •

    >interface range fastEthernet 0/24 • >switchport trunk allowed vlan add 10 • >switchport trunk allowed vlan add 20 • >end
  16. Konfigurujemy router • >enable • >configure terminal • >interface fastEthernet

    0/0.10 //wirtualny interface • >encapsulation dot1Q 10 • >ip address 192.168.10.1 255.255.255.0 • >exit • >enable • >configure terminal • >interface fastEthernet 0/0.20 //wirtualny interface • >encapsulation dot1Q 20 • >ip address 192.168.20.1 255.255.255.0 • >exit
  17. Jak to teraz wykonać na urządzeniach? • https://wiki.mikrotik.com/wiki/SwOS/Router-On-A-Stick • http://mikrotik.net.pl/wiki/Interfejs/VLAN

    • http://mikrotikacademy.pl/konfiguracja-vlan/ • Tu mozna znalezc pomocne materialy na temat akurat urzadzenia mikrotik
  18. Zalozenie • In this example, a router with a single

    Ethernet interface is trunked to a MikroTik switch. In practice, this same configuration can be used between two switches or two routers. • The purpose of this article is to show the steps required to setup the MikroTik RB250GS switch as a trunked switch in the router-on-a-stick configuration.
  19. Konfiguracja • In this example we are using Vlan Id's

    1, 200, 300 and 400. • NOTE: Once you set port 1 to "trunk" mode, you will not longer be able to communicate with the switch unless you create a Vlan1 on your router. • In this example we need two ports for devices on Vlan 300 on Ports 3 & 5 and one port for device on Vlan 400 on Port 4 and one port for a device on Vlan 200 on port 2.
  20. Uwaga!!! • NOTE: Before starting configuration, it is assumed you

    have 192.168.88.2 bound to your laptop and the switch is at the default Ip of 192.168.88.1. • You must be accessing the switch via ehter2 through ether5 since you are about to turn ether1 into a trunk port and you will lose communication with the switch at that point on ether1.
  21. Ustawienia w przegladarce • The VLAN page determines how the

    switch strips the Vlan tags with specific Vlan ID's from the packets as they exit these ports. • Setting Port 1 to Vlan Mode "enabled" and VLAN Header to "add if missing" makes Port 1 a trunk port.
  22. • Next, click on the VLANs tab. This is where

    you create the Vlan Id's to be used on the switch and on which ports these tags will be applied. • So, for example, in this scenario, if I create a Vlan interface on the router with a Vlan ID of 10, that traffic will appear on the switch on port 2 • Likewise Vlan 30 will be on port 3 and Vlan 40 on port 4. The trunk port is port 1. • NOTE: You must also create Vlan1 but it is not necessary to assign it to any ports, just create it.
  23. Finalnie • You must create a Vlan1 with ID=1 on

    the physical interface that will trunk to the switch. • Then bind your management IP to that Vlan1 interface. In the example above, you would bind 192.168.88.2/24 to Vlan1 and then you can access the switch through the trunk port.
  24. OK a teraz o co tak na prawdę chodzi? •

    Vlany byly dla mnie zagadka, dopoki nie znalazlem kanalu Bsides Warsaw gdzie prowadzone sa prezentacje na temat bezpieczenstwa w firmach. Poruszony zostal temat tego ze jedna z fim nie miala odseparowanych dzialow HR i IT przez co atak na nieswiadomych ludzi z HR rowniez dopadl tych doswiadczonych informatykow. • 1.Separacja sieci lokalnych
  25. Inne zalety • 2.Oznaczenie sieci wzgledem dzialu (np. HR, IT,

    Recepcja, Serwery) • 3.oszczędzają budżet dzięki wykorzystaniu istniejących koncentratorów. • 4.zapewniają bezpieczne sieci i grupy robocze • 5.zapewniają kontrolowanie czynności rozgłoszeniowych • 6.redukują koszty administracyjne towarzyszące rozwiązywaniu problemów związanych z przemieszczaniem się obecnych i dodawaniem nowych użytkowników oraz wprowadzeniem zmian
  26. Korzystałem z: • Internet • Głowa • Ekspres do kawy

    • http://egzamin-e13.pl/konfigurowanie-urzadzen- sieciowych/konfiguracja-przelacznika-cisco-wirtualne-sieci-lan-vlan- cz-2/ • http://egzamin-e13.pl/konfigurowanie-urzadzen- sieciowych/konfiguracja-przelacznika-cisco-wirtualne-sieci-lan-vlan/
  27. Cwiczenie • Dzielimy zespol na 3 grupy • Ustawiamy router

    ze switchem tak jak w przykladzie • Do switcha podlaczamy 3 komputery kazdy na innym vlanie • Komputery powinny sie pingowac ze soba