VIRTUELNI LAN

Tradicionalna LAN segmentacija

VLAN tehnologija
VLAN je logika grupa ureaja ili njihovih korisnika kreirana prema zajednikoj funkciji, odeljenju ili aplikaciji, nezavisno od njihove fizike lokacije VLAN-ovi se softverski konfiguriu na sviu Svaki VLAN predstavlja poseban broadcast domen okvir poslat na broadcast MAC adresu (FF:FF:FF:FF:FF:FF) primaju samo stanice u istom VLAN-u Svaki VLAN ima jedinstveni VLAN ID podrazumevani VLAN ID je 1

VLAN segmentacija

Osobine VLAN-ova
VLAN-ovi ograniavaju broadcast domene Komunikacija izmeu VLAN-ova se obavlja pomou rutera Administrator odreuje pripadnost VLAN-u VLAN se moe rasprostirati na vie fizikih ureaja

Funkcionisanje VLAN-ova
Svaki svi porta pripada odreenom VLAN-u Za svaki VLAN postoji posebna forwarding tabela Kada stigne okvir, trai se MAC adresa u forwarding tabeli za taj VLAN; ako se ne nae, okvir se prosleuje na sve portove koji pripadaju tom VLAN-u (osim dolaznog)

Statiki VLAN-ovi (1)

Port svia se statiki postavlja u VLAN od strane administratora svi ureaji iza jednog porta pripadaju istom VLAN-u Port-centric (port-based) VLAN-ovi Prednosti: sigurnost laka konfiguracija lako nadgledanje

Dinamiki VLAN-ovi
Za svaki primljeni okvir se automatski odreuje VLAN u zavisnosti od izvorine MAC ili IP adrese ureaji iza jednog porta mogu pripadati razliitim VLAN-ovima MAC address-based (protocol-based) VLAN-ovi Potreban je server (Cisco Works 2000) koji e odreivati VLAN za svaku MAC (IP) adresu Prednosti: automatska rekonfiguracija kada se stanica pomeri na drugi port svia notifikacija nepoznate adrese na mrei

Funkcionisanje VLAN-ova izmeu svieva

Na linkovima izmeu svieva prolaze okviri koji pripadaju razliitim VLAN-ovima (trunk link) Okvir na trunk linku nosi oznaku VLANu kome pripada
3

eme oznaavanja okvira: IEEE 802.1Q ISL

Prednosti VLAN-ova
Pomeranje i dodavanje stanice u mrei poveemo stanicu na svi konfiguriemo novi port tako da pripada istom VLAN-u kao port na kome je stanica prethodno radila za korisnika se nita nije promenilo! Kontrola broadcast-a stanica dobija samo broadcast iz svog VLAN-a Poveana sigurnost komunikacija izmeu VLAN-ova prolazi kroz ruter tako da se mogu postaviti paketski filtri

End-to-End VLAN-ovi
Korisnici se grupiu u VLAN-ove nezavisno od fizike lokacije ve zavisno od grupe ili funkcije 80/20 obrazac saobraaja (traffic flow pattern) 80% u okviru VLAN-a 20% izvan Promena lokacije odnosno pristupnog porta ne menja pripadnost VLAN-u

Geographic VLAN-ovi
VLAN-ovi se kreiraju prema geografskom poloaju 20/80 obrazac saobraaja 20% u okviru VLAN-a 80% izvan Predvidljiviji i kontrolisaniji pristup resursima
4

Preporuke kod kreiranja VLANova na Catalyst svievima

Maksimalni broj VALN-ova zavisi od modela svia VLAN 1 dolazi po default-u i ne mora da se konfigurie VLAN 1 je Ethernet VLAN Cisco Discovery Protocol (CDP) i VLAN Trunking Protocol (VTP) oglaavanja se alju na VLAN 1. Catalyst 29xx IP address je po default-u u broadcast domenu VLAN-a 1 Svi mora biti u VTP server modu da bi kreirao/brisao VLAN-ove

VLAN database mod

VLAN konfiguracija se izvodi u VLAN database modu kreiranje/brisanje/modifikacija VLAN-ova VTP konfiguracija U VLAN database mod se ulazi komandom vlan database iz Privileged EXEC moda Iz VLAN database moda se komandom exit prihvataju unesene komande i vraa u Privileged EXEC mod

Konfiguracija VLAN-ova
VLAN se kreira komandom vlan <number> u VLAN database modu VLAN se postavlja na interfejs komandom switchport access vlan <number> u interface configuration modu VLAN se brie komandom no vlan <number> u VLAN database modu portovi koji su pridrueni VLAN-u koji je obrisan postaju neaktivni

Pregled VLAN statusa

show vlan show vlan brief show vlan id <number>
cisco2950-ucionica#show vlan id 11 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------11 RCUB_CLASSROOM_LAN active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

11 enet 100011 1500 - - - - - 0 0 Remote SPAN VLAN ---------------Disabled Primary Secondary Type Ports ------- --------- ----------------- -----------------------------------------cisco2950-ucionica#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Gi0/1, Gi0/2 10 RCUB_WINDOWS_LAN active 11 RCUB_CLASSROOM_LAN active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

VLAN troubleshooting

Potencijalni VLAN problemi

6

Razliit skup VLAN-ova je konfigurisan na svakom sviu tj. na svakom kraju trunk linka Razliite trunk enkapsulacije na krajevima trunk linka Razliiti VLAN-ovi na krajevima non-trunk linka izmeu svieva VLAN sa istim imenom je konfigurisan na vie svieva sa razliitim VLAN ID

VLAN troubleshooting: scenario 1

Problem: trunk link izmeu svia i rutera se ne uspostavlja Metode provere: proveriti da li su portovi povezani i da nemaju alignment ili FCS greke (show interface) proveriti brzinu i dupleks (show int status, show interface) proveriti IP adresu, masku i VLAN mapiranje za svaki interfejs rutera (show running-config) proveriti da li IOS na ruteru podrava VLAN trunking (show version)

VLAN troubleshooting: scenario 2

Problem: VLAN status ne propagira preko VTP-a Metode provere: proveriti da li su svievi povezani trunk linkovima (show int status) proveriti da li svi svievi imaju isti VTP domen (show vtp status) proveriti da li je svi u server ili klijent modu (show vtp status) proveriti da li svi svievi imaju istu VTP lozinku