VLAN konfigurationer

Att skapa VLAN, liksom många andra nätverksåtgärder, innebär att man använder lämpliga kommandon. Detta avsnitt fokuserar på hur man konfigurerar och verifierar olika typer av VLAN.

Cisco Catalyst-switchar stöder olika antal VLAN beroende på modell. Antalet VLAN som kan skapas är generellt tillräckligt för att möta behoven hos de flesta organisationer. Till exempel kan Catalyst 2960- och 3650-seriens switchar hantera över 4000 VLAN. Antal VLAN på dessa switchar är numrerade från 1 till 1005 son standard och från 1006 till 4094 för VLAN med utökat intervall.

På bilden nedan illustreras default VLAN på en Catalyst 2960-switch som kör Cisco IOS Release 15.x.

Standard VLAN

Standard-VLAN har följande egenskaper:

  • De används vanligtvis i små och medelstora företag samt i mindre nätverk.
  • Varje VLAN identifieras av ett unikt VLAN-ID mellan 1 och 1005.
  • VLAN-ID 1002 till 1005 är reserverade för äldre nätverkstekniker som Token Ring och Fiber Distributed Data Interface (FDDI).
  • VLAN 1 samt VLAN 1002 till 1005 skapas automatiskt och kan inte tas bort manuellt
  • Konfigurationer för standard-VLAN lagras i switchens flashminne i en fil som heter vlan.dat.
  • VLAN Trunking Protocol (VTP) används ofta för att synkronisera VLAN-konfigurationer mellan flera switchar i samma nätverk.

Egenskaper hos VLAN med utökat intervall

VLAN med utökat intervall har följande egenskaper:

  • De används ofta av tjänsteleverantörer för att betjäna flera kunder, eller av stora globala företag som behöver ett större antal VLAN-ID.
  • Varje VLAN identifieras av ett VLAN-ID mellan 1006 och 4094.
  • Konfigurationer för VLAN med utökat intervall sparas i den pågående konfigurationen (running-config) och lagras permanent i startup-config när konfigurationen sparas.
  • VLAN med utökat intervall stöder inte samma uppsättning funktioner som standard-VLAN.
  • VTP version 1 och 2 stöder inte VLAN med utökat intervall. Om VTP används måste därför switchens VTP-läge vara inställt på transparent för att dessa VLAN ska kunna konfigureras.

Observera att den övre gränsen för tillgängliga VLAN på Catalyst-switchar är 4096, eftersom VLAN-ID-fältet i IEEE 802.1Q-huvudet använder 12 bitar.

Skapande av VLAN via kommandon

När ett standard-VLAN (normal range VLAN) skapas lagras dess konfiguration i switchens flashminne i filen vlan.dat. Eftersom flashminnet är persistent behöver man inte använda kommandot copy running-config startup-config för att bevara VLAN-konfigurationen.

Eftersom andra inställningar ofta konfigureras samtidigt rekommenderas det ändå att spara den pågående konfigurationen, så att alla ändringar behålls efter en omstart.

Exemplet nedan visar hur ett VLAN skapas och namnges.

Switch# configure terminal
Switch(config)# vlan vlan-id
Switch(config-vlan)# name vlan-name
Switch(config-vlan)# end

Genom att använda dessa kommandon kan administratören enkelt skapa och namnge VLAN för effektiv hantering av nätverksresurser.

Exempel på skapande av VLAN

I topologin har studentdatorn (PC2) ännu inte tilldelats ett VLAN, men den har en IP-adress, 172.17.20.22, som är kopplad till VLAN 20.

Exemplet nedan visar hur VLAN 20, som är avsett för studenter, konfigureras på switchen S1.

Observera att flera VLAN kan skapas samtidigt i stället för att konfigureras individuellt. Detta görs genom att ange flera VLAN-ID i samma kommando. Enskilda VLAN-ID separeras med kommatecken, medan ett bindestreck används för att ange ett intervall av VLAN-ID.

Genom att använda kommandot vlan vlan-id i det globala konfigurationsläget kan flera VLAN skapas samtidigt. Till exempel:

vlan 100,102,105-107

Detta kommando skapar VLAN 100, 102, 105, 106 och 107. Metoden sparar tid och förenklar konfigurationen när flera VLAN behöver skapas.

Tilldelning av portar till VLAN

Efter att ett VLAN har skapats är nästa steg att tilldela switchportar till VLAN.

Exemplet nedan visar hur en switchport konfigureras som åtkomstport och tilldelas ett specifikt VLAN. Att uttryckligen ange access-läge är inte obligatoriskt, men det betraktas som bästa praxis ur säkerhetssynpunkt. När porten sätts i access-läge tillhör den endast ett VLAN och försöker inte förhandla om att bli en trunkport. Detta minskar risken för oönskad trunking och förbättrar nätverkets säkerhet och stabilitet.

Switch# configure terminal
Switch(config)# interface interface-id
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan vlan-id
Switch(config-if)# end

Observera: Kommandot interface range kan användas för att konfigurera flera interface samtidigt.

Exempel på port-tilldelning

I figuren nedan är port F0/6 på switchen S1 konfigurerad som en access-port och tilldelad VLAN 20. Alla nätverksenheter som ansluts till denna port kommer därför att tillhöra VLAN 20. I vårt exempel innebär detta att PC2 är medlem i VLAN 20.

VLAN konfigureras på switchporten, inte på slutenheten (PC2). PC2 är istället konfigurerad med en IPv4-adress och nätmask som tillhör det nätverk som är kopplat till VLAN 20.

Om VLAN 20 konfigureras på andra switchar måste nätverksadministratören även konfigurera de andra datorerna så att de använder samma IP-subnät som PC2 (172.17.20.0/24).