L1: VLAN typer

Syftet med denna laboration är att förstå vad VLAN är, varför de används och hur de konfigureras i ett nätverk.

I ett verkligt nätverk delar ofta flera avdelningar samma fysiska switchar. Utan någon form av segmentering skulle alla enheter tillhöra samma broadcast-domän, vilket innebär att all trafik sprids till alla anslutna enheter. Detta kan skapa både prestandaproblem och säkerhetsrisker.

Med hjälp av VLAN (Virtual Local Area Network) kan man istället dela upp ett fysiskt nätverk i flera logiska nätverk. Varje VLAN fungerar då som ett eget separat nätverk, även om enheterna är anslutna till samma switchar.

Typer av VLAN

I moderna nätverk används ofta flera olika typer av VLAN beroende på funktion. I denna laboration används följande:

 VLAN  Funktion
Data VLAN  Används för vanliga klienter (t.ex. datorer i olika avdelningar)
Management VLAN  Används för att administrera nätverksenheter
Native VLAN  Används på trunklänkar för otaggad trafik
Parking VLAN  Används för inaktiva eller oanvända portar

Ett annat vanligt VLAN är Voice VLAN, som används för IP-telefoni. Detta tas upp i nästa laboration.

Topologi

Nätverket representerar en byggnad med flera våningar. En switch är placerad på varje våning och dessa är sammankopplade med trunklänkar, vilket gör att flera VLAN kan transporteras mellan switcharna. Varje våning använder samma VLAN-struktur för att representera olika avdelningar i organisationen. Klienter ansluts till accessportar på switcharna och placeras i rätt VLAN beroende på vilken avdelning de tillhör.

På trunklänkar märks trafiken med en VLAN-tagg (802.1Q) så att den mottagande switchen kan avgöra vilket VLAN trafiken tillhör. På detta sätt kan flera logiska nätverk använda samma fysiska kablar mellan switcharna.

Viktigt att observera

Datorerna i varje VLAN IP-adresseras enligt topologin, till exempel:

  • VLAN 2: 10.0.2.10 och 10.0.2.11
  • VLAN 3: 10.0.3.10 och 10.0.3.11
  • VLAN 2: 10.0.4.10 och 10.0.4.11

Även om alla switchar är sammankopplade och alla VLAN finns i nätverket är varje VLAN ett separat Layer-2-nätverk. Varje VLAN har dessutom ett eget IP-nät, men trots detta kan enheter i olika VLAN inte kommunicera direkt med varandra.

Detta beror på att en Layer-2-switch inte kan routa trafik mellan olika VLAN. Kommunikation mellan VLAN kräver därför en Layer-3-enhet, till exempel en router eller en Layer-3-switch.

I en kommande laboration kommer vi att undersöka hur detta löses med hjälp av Inter-VLAN Routing.

Konfigurationer

  • SF3(config)# no ip domain-lookup
  • SF3(config)# service password-encryption
  • SF3(config)# vlan 2
  • SF3(config-vlan)# name IT
  • SF3(config-vlan)# exit
  • SF3(config)# vlan 3
  • SF3(config-vlan)# name HR
  • SF3(config-vlan)# exit
  • SF3(config)# vlan 4
  • SF3(config-vlan)# name Sales
  • SF3(config-vlan)# exit
  • SF3(config)# vlan 5
  • SF3(config-vlan)# name Parking
  • SF3(config-vlan)# exit
  • SF3(config)# vlan 6
  • SF3(config-vlan)# name Management
  • SF3(config-vlan)# exit
  • SF3(config)# vlan 99
  • SF3(config-vlan)# name NATIVE
  • SF3(config-vlan)# exit
  • ! Port tilldelning VLAN 2
  • SF3(config)# interface range fa0/1 - 7
  • SF3(config-if-range)# description VLAN 2 IT ports
  • SF3(config-if-range)# switchport mode access
  • SF3(config-if-range)# switchport access vlan 2
  • SF3(config-if-range)# exit
  • ! Port tilldelning VLAN 3
  • SF3(config)# interface range fa0/8 - 14
  • SF3(config-if-range)# description VLAN 3 HR ports
  • SF3(config-if-range)# switchport mode access
  • SF3(config-if-range)# switchport access vlan 3
  • SF3(config-if-range)# exit
  • ! Port tilldelning VLAN 4
  • SF3(config)# interface range fa0/15-21
  • SF3(config-if-range)# description VLAN 4 SALES ports
  • SF3(config-if-range)# switchport mode access
  • SF3(config-if-range)# switchport access vlan 4
  • SF3(config-if-range)# exit
  • ! Oanvänd port avstängs
  • SF3(config)# interface g0/2
  • SF3(config-if)# description VLAN 5 Parking ports
  • SF3(config-if)# switchport mode access
  • SF3(config-if)# switchport access vlan 5
  • SF3(config-if)# shutdown
  • SF3(config-if)# exit
  • ! Port tilldelning VLAN 6
  • SF3(config)# interface range fa0/22 - 24
  • SF3(config-if-range)# description VLAN 6 Management ports
  • SF3(config-if-range)# switchport mode access
  • SF3(config-if-range)# switchport access vlan 6
  • SF3(config-if-range)# exit
  • ! Trunk konfiguration
  • SF3(config)# interface g0/1
  • SF3(config-if)# switchport mode trunk
  • SF3(config-if)# switchport trunk allowed vlan 2,3,4,6,99
  • SF3(config-if)# switchport trunk native vlan 99
  • SF3(config-if)# switchport nonegotiate
  • SF3(config-if)# exit
  • ! Säkerhet
  • SF3(config)# enable secret ensecP@55
  • SF3(config)# ip domain-name diginto.se
  • SF3(config)# username Admin1 secret LetmeP@55
  • SF3(config)# crypto key generate RSA general-keys modulus 1024
  • SF3(config)# ip ssh version 2
  • SF3(config)# line console 0
  • SF3(config-line)# login local
  • SF3(config-line)# logging synchronous
  • SF3(config-line)# exit
  • SF3(config)# line vty 0 5
  • SF3(config-line)# login local
  • SF3(config-line)# logging synchronous
  • SF3(config-line)# exec-timeout 5 0
  • SF3(config-line)# transport input ssh
  • SF3(config-line)# exit
  • SF3(config)# interface vlan 6
  • SF3(config-if)# description Management
  • SF3(config-if)# ip address 10.0.6.13 255.255.255.240
  • SF3(config-if)# no shutdown
  • SF3(config-if)# exit
  • SF3(config)# ip default-gateway 10.0.6.14
  • SF3(config)# end
  • SF3#
  • SF2(config)# no ip domain-lookup
  • SF2(config)# service password-encryption
  • SF2(config)# vlan 2
  • SF2(config-vlan)# name IT
  • SF2(config-vlan)# exit
  • SF2(config)# vlan 3
  • SF2(config-vlan)# name HR
  • SF2(config-vlan)# exit
  • SF2(config)# vlan 4
  • SF2(config-vlan)# name Sales
  • SF2(config-vlan)# exit
  • SF2(config)# vlan 5
  • SF2(config-vlan)# name Parking
  • SF2(config-vlan)# exit
  • SF2(config)# vlan 6
  • SF2(config-vlan)# name Management
  • SF2(config-vlan)# exit
  • SF2(config)# vlan 99
  • SF2(config-vlan)# name NATIVE
  • SF2(config-vlan)# exit
  • ! Port tilldelning VLAN 2
  • SF2(config)# interface range fa0/1 - 7
  • SF2(config-if-range)# description VLAN 2 IT ports
  • SF2(config-if-range)# switchport mode access
  • SF2(config-if-range)# switchport access vlan 2
  • SF2(config-if-range)# exit
  • ! Port tilldelning VLAN 3
  • SF2(config)# interface range fa0/8 - 14
  • SF2(config-if-range)# description VLAN 3 HR ports
  • SF2(config-if-range)# switchport mode access
  • SF2(config-if-range)# switchport access vlan 3
  • SF2(config-if-range)# exit
  • ! Port tilldelning VLAN 4
  • SF2(config)# interface fa0/15-21
  • SF2(config-if-range)# description VLAN 4 SALES ports
  • SF2(config-if-range)# switchport mode access
  • SF2(config-if-range)# switchport access vlan 4
  • SF2(config-if-range)# exit
  • ! Port tilldelning VLAN 6
  • SF2(config)# interface range fa0/22 - 24
  • SF2(config-if-range)# description VLAN 6 Management ports
  • SF2(config-if-range)# switchport mode access
  • SF2(config-if-range)# switchport access vlan 6
  • SF2(config-if-range)# exit
  • ! Trunk konfiguration
  • SF2(config)# interface range g0/1 - 2
  • SF2(config-if)# switchport mode trunk
  • SF2(config-if)# switchport trunk allowed vlan 2,3,4,6,99
  • SF2(config-if)# switchport trunk native vlan 99
  • SF2(config-if)# switchport nonegotiate
  • SF2(config-if)# exit
  • ! Säkerhet
  • SF2(config)# enable secret ensecP@55
  • SF2(config)# ip domain-name diginto.se
  • SF2(config)# username Admin1 secret LetmeP@55
  • SF2(config)# crypto key generate RSA general-keys modulus 1024
  • SF2(config)# ip ssh version 2
  • SF2(config)# line console 0
  • SF2(config-line)# login local
  • SF2(config-line)# logging synchronous
  • SF2(config-line)# exit
  • SF2(config)# line vty 0 5
  • SF2(config-line)# login local
  • SF2(config-line)# logging synchronous
  • SF2(config-line)# exec-timeout 5 0
  • SF2(config-line)# transport input ssh
  • SF2(config-line)# exit
  • SF2(config)# interface vlan 6
  • SF2(config-if)# description Management
  • SF2(config-if)# ip address 10.0.6.12 255.255.255.240
  • SF2(config-if)# no shutdown
  • SF2(config-if)# exit
  • SF2(config)# ip default-gateway 10.0.6.14
  • SF2(config)# end
  • SF2#
  • SF1(config)# no ip domain-lookup
  • SF1(config)# service password-encryption
  • SF1(config)# vlan 2
  • SF1(config-vlan)# name IT
  • SF1(config-vlan)# exit
  • SF1(config)# vlan 3
  • SF1(config-vlan)# name HR
  • SF1(config-vlan)# exit
  • SF1(config)# vlan 4
  • SF1(config-vlan)# name Sales
  • SF1(config-vlan)# exit
  • SF1(config)# vlan 5
  • SF1(config-vlan)# name Parking
  • SF1(config-vlan)# exit
  • SF1(config)# vlan 6
  • SF1(config-vlan)# name Management
  • SF1(config-vlan)# exit
  • SF1(config)# vlan 99
  • SF1(config-vlan)# name NATIVE
  • SF1(config-vlan)# exit
  • ! Port tilldelning VLAN 2
  • SF1(config)# interface range fa0/1 - 7
  • SF1(config-if-range)# description VLAN 2 IT ports
  • SF1(config-if-range)# switchport mode access
  • SF1(config-if-range)# switchport access vlan 2
  • SF1(config-if-range)# exit
  • ! Port tilldelning VLAN 3
  • SF1(config)# interface range fa0/8 - 14
  • SF1(config-if-range)# description VLAN 3 HR ports
  • SF1(config-if-range)# switchport mode access
  • SF1(config-if-range)# switchport access vlan 3
  • SF1(config-if-range)# exit
  • ! Port tilldelning VLAN 4
  • SF1(config)# interface fa0/15-21
  • SF1(config-if-range)# description VLAN 4 SALES ports
  • SF1(config-if-range)# switchport mode access
  • SF1(config-if-range)# switchport access vlan 4
  • SF1(config-if-range)# exit
  • ! Port tilldelning VLAN 6
  • SF1(config)# interface range fa0/22 - 24
  • SF1(config-if-range)# description VLAN 6 Management ports
  • SF1(config-if-range)# switchport mode access
  • SF1(config-if-range)# switchport access vlan 6
  • SF1(config-if-range)# exit
  • ! Trunk konfiguration
  • SF1(config)# interface range g0/1 - 2
  • SF1(config-if)# switchport mode trunk
  • SF1(config-if)# switchport trunk allowed vlan 2,3,4,6,99
  • SF1(config-if)# switchport trunk native vlan 99
  • SF1(config-if)# switchport nonegotiate
  • SF1(config-if)# exit
  • ! Säkerhet
  • SF1(config)# enable secret ensecP@55
  • SF1(config)# ip domain-name diginto.se
  • SF1(config)# username Admin1 secret LetmeP@55
  • SF1(config)# crypto key generate RSA general-keys modulus 1024
  • SF1(config)# ip ssh version 2
  • SF1(config)# line console 0
  • SF1(config-line)# login local
  • SF1(config-line)# logging synchronous
  • SF1(config-line)# exit
  • SF1(config)# line vty 0 5
  • SF1(config-line)# login local
  • SF1(config-line)# logging synchronous
  • SF1(config-line)# exec-timeout 5 0
  • SF1(config-line)# transport input ssh
  • SF1(config-line)# exit
  • SF1(config)# interface vlan 6
  • SF1(config-if)# description Management
  • SF1(config-if)# ip address 10.0.6.11 255.255.255.240
  • SF1(config-if)# no shutdown
  • SF1(config-if)# exit
  • SF1(config)# ip default-gateway 10.0.6.14
  • SF1(config)# end
  • SF1#
  • SF0(config)# no ip domain-lookup
  • SF0(config)# service password-encryption
  • SF0(config)# vlan 2
  • SF0(config-vlan)# name IT
  • SF0(config-vlan)# exit
  • SF0(config)# vlan 3
  • SF0(config-vlan)# name HR
  • SF0(config-vlan)# exit
  • SF0(config)# vlan 4
  • SF0(config-vlan)# name Sales
  • SF0(config-vlan)# exit
  • SF0(config)# vlan 5
  • SF0(config-vlan)# name Parking
  • SF0(config-vlan)# exit
  • SF0(config)# vlan 6
  • SF0(config-vlan)# name Management
  • SF0(config-vlan)# exit
  • SF0(config)# vlan 99
  • SF0(config-vlan)# name NATIVE
  • SF0(config-vlan)# exit
  • ! Oanvänd port avstängs
  • SF0(config)# interface range fa0/1 - 21
  • SF0(config-if)# description VLAN 5 Parking ports
  • SF0(config-if)# switchport mode access
  • SF0(config-if)# switchport access vlan 5
  • SF0(config-if)# shutdown
  • SF0(config-if)# exit
  • ! Port tilldelning VLAN 6
  • SF0(config)# interface range fa0/22 - 24
  • SF0(config-if-range)# description VLAN 6 Management ports
  • SF0(config-if-range)# switchport mode access
  • SF0(config-if-range)# switchport access vlan 6
  • SF0(config-if-range)# exit
  • ! Trunk konfiguration
  • SF0(config)# interface range g0/1 - 2
  • SF0(config-if)# switchport mode trunk
  • SF0(config-if)# switchport trunk allowed vlan 2,3,4,6,99
  • SF0(config-if)# switchport trunk native vlan 99
  • SF0(config-if)# switchport nonegotiate
  • SF0(config-if)# exit
  • ! Säkerhet
  • SF0(config)# enable secret ensecP@55
  • SF0(config)# ip domain-name diginto.se
  • SF0(config)# username Admin1 secret LetmeP@55
  • SF0(config)# crypto key generate RSA general-keys modulus 1024
  • SF0(config)# ip ssh version 2
  • SF0(config)# line console 0
  • SF0(config-line)# login local
  • SF0(config-line)# logging synchronous
  • SF0(config-line)# exit
  • SF0(config)# line vty 0 5
  • SF0(config-line)# login local
  • SF0(config-line)# logging synchronous
  • SF0(config-line)# exec-timeout 5 0
  • SF0(config-line)# transport input ssh
  • SF0(config-line)# exit
  • SF0(config)# interface vlan 6
  • SF0(config-if)# description Management
  • SF0(config-if)# ip address 10.0.6.10 255.255.255.240
  • SF0(config-if)# no shutdown
  • SF0(config-if)# exit
  • SF0(config)# ip default-gateway 10.0.6.14
  • SF0(config)# end
  • SF0#