VLAN und Inter-VLAN in Cisco-Router-Netzwerken

Beitragsbaum

 

VLAN und Inter-VLAN

Ein Switch arbeitet auf Layer 2 Ebene des OSI-Schichtenmodels und agiert daher nur mit den MAC-Adressen der angeschlossenen Netzwerkgeräten. Wenn Client nun mit einem anderen Client kommunizieren möchte, schickt der Client einen Frame mit der Quell- und Ziel MAC-Adresse an den Switch, dieser schaut in seiner Adressentabelle nach der Ziel MAC-Adresse und schickt daraufhin den Frame an das Interface, an dem sich das Zielgerät befindet. Falls man nun aber Clients von einander trennen möchte und nicht jeder Client soll mit jedem Client kommunizieren können, greift man auf die Funktion der virtuellen Netzwerke (VLAN) zurück.

Durch das Erstellen von virtuellen Netzwerken ermöglicht man eine zielgerechte Trennung der Kommunikation unter den Clients. Durch das Zuweisen der Quell MAC-Adressen an ein VLAN, können nur die Clients miteinander kommunizieren, deren Quell MAC-Adresse sich in der Adressentabelle im selben VLAN befinden. Möchte nun ein Client dessen MAC-Adresse dem VLAN 5 zugeordnet ist mit einem Client dessen MAC-Adresse jedoch VLAN 10 zugeordnet ist, kommunizeren, dann würde die Anfrage vom Switch gedroppt werden. Der Client würde die Anfrage zur Kommunikation mit der Ziel MAC-Adresse an den Switch schicken, dieser schaut dann in seiner Adressentabelle nach, ob der Client mit der Ziel MAC-Adresse dem selben VLAN zugeordnet ist, falls dies der Fall ist, werden die Frames übergeben, falls dies jedoch nicht der Fall ist, droppt der Switch die Frames. Das ist die Vorgehensweise, nur am Switch ohne einen Router, an dem der Switch angebunden ist.

 

PC1 und PC2 sind jeweils mit einem Port am Switch sw1 verbunden. Beide Rechner befinden sich im VLAN Verwaltung mit der ID 10 und können daher untereinander kommunizieren. Der Switch kann anhand seiner Adressentabelle erkennen, ob sich die Endgeräte im selben VLAN befinden und entscheidet dann, ob eine Kommunikation stattfinden kann oder nicht.

Das folgende Beispiel wurde mit dem Packet Tracer von Cisco erstellt.

 

Andere Vorgehensweise trifft dann ein, wenn der Switch mit einem Router verbunden ist. Die Anfragen an Clients in unterschiedlichen VLAN’s werden in diesem Falle nicht vom Switch gedroppt, sondern werden weiter an den Router vermittelt. Hier entsteht jetzt gegebenenfalls ein Problem und zwar spielt hier das VLAN tagging keine Rolle mehr, wenn es keiner weiterführende Konfiguration von VRF’s oder ähnlichem vorhanden ist. Der Router agiert auf Layer 3 Ebene und vermittelt nun die Pakete auch in andere Layer 2 VLAN’s. Die ordnung ist futsch.

 

Konfigurationsbeispiele

Es gibt zwei verschiedene Arten der Konfiguration. Das Konfigurationsbeispiel wird auf einem Cisco 2960X Switch und auf einem Catalyst 6000 praktiziert.

 

Variante 1: Klassisch

Die Konfiguration der VLAN’s und dem Routing der VLAN’s auf einem Router ohne Switch Modularität oder Switching Funktionen nennt man umgangssprachlich auch die „klassische“ Art und Weise der VLAN Konfiguration. Hierbei werden auf den einzelnen Router Interfaces so genannte virtuelle Subinterfaces mit den VLAN’s angelegt, welche als Trunk Ports agieren. Das Beispiel erklärt die Vorgehensweise besser als eine schriftliche Erklärung zu dem Thema.

In Netzwerkeinfrastrukturen in denen VTP zum Einsatz kommt, ist das Prozedere der VLAN Administration und Konfiguration, wie folgt, nicht immer notwendig. Mehr dazu unter folgendem Link: VLAN Trunking Protocol.

 

VLAN auf dem Switch erstellen

Um ein VLAN auf dem Switch zu erstellen benötigt man Zugriff auf den configure terminal und man sollte wissen welche VLAN ID und welchen VLAN Name man verwenden möchte. Als Beispiel lege ich das VLAN Verwaltung mit der ID 10 an und weise es dem Interface gi1/0/3 zu.

(config)#   vlan 10
(config-vlan)#   name „Verwaltung“
(config-vlan)#   interface gigabitEthernet 1/0/3
(config-if)#   switchport access vlan 10

 

Trunk auf dem Uplink des Switches konfigurieren

Damit die Clients über den Switch hinaus kommunizieren können, muss die Weitergabe der Pakete an den Router ermöglicht werden. Dafür muss ein Trunk auf dem Uplink des Switches konfiguriert werden. Ein Trunk bezeichnet eine Bündelung von einzelnen oder mehreren virtuellen Netzen über eine physikalisch existierende Verbindung. Hierfür benötigen wir die VLAN ID des neu erstellten VLAN’s 10, das Uplink Interface, welches in dem Fall das tenGigabitEthernet1/0/1 ist und dem VLAN Management mit der ID 2, welches zum Beispiel den Zugriff über SSH für Remotearbeiten auf dem Switch ermöglicht.

(config)#   interface tenGigabitEthernet1/0/1
(config-if)#   switchport mode trunk
(config-if)#   switchport trunk native vlan 2
(config-if)#   switchport trunk allowed vlan 2, 10

 

Das Native VLAN ist eine Pflichtangabe bei der Trunk Konfiguration, da ohne diese Angabe die Konfiguration nicht abgeschlossen, geschweige denn durchgeführt werden kann. Das VLAN welches als native VLAN deklariert ist, kommuniziert mittels nicht markierten Paketen, auch genannt untagged. Dies ist ein wichtiger Bestandteil für die Kommunikation von gewissen Services des Switches, zum Beispiel für Spanning Tree. Jedoch wird im Regelfall auch die Remoteverbindungen für administrative Zwecke über dieses untagged VLAN ermöglicht.

Die VLAN’s die als Allowed VLAN aufgelistet werden, werden getaggt übertragen.

 

VLAN auf dem Router erstellen

Auch hier wird wie beim Switch ganz normal das VLAN und der VLAN Name erstellt. Wichtig hierbei ist nun, dass die VLAN ID die selbe ist, wie die VLAN ID auf dem Switch für das VLAN. Auf dem Switch habe ich als Beispiel das VLAN Verwaltung mit der ID 10 angelegt. Auf dem Router muss dies nun genau so konfiguriert werden, jedoch weisen wir dem Interface kein VLAN zu.

(config)#   vlan 10
(config-vlan)#   name „Verwaltung“

 

Subinterface auf dem Router Interface konfigurieren

Nachdem das VLAN konfiguriert wurde, ist der letzte Schritt die Einrichtung des Subinterfaces auf dem Router Interface tenGigabitEthernet2/0/2, welches die Anbindung zum Switch darstellt. Nun erstelle ich auf dem Router Interface das Subinterface mit der VLAN ID 10 und dem IP-Adressbereich, der verwendet werden soll. Dafür sind die Angaben des Gateways und der Subnetzmaske des Subnetzes relevant.

Das Gateway hat die IP-Adresse 10.10.100.100 und die Subnetzmaske hat die Adresse 255.255.255.252 für die Konfiguration.

Durch das Anhängen eines Punktes mit der VLAND ID wird automatisch ein Subinterface auf dem ausgewählten Interface angelegt. Mit dem Befehl encpasulation dot1q und der VLAN ID wird das Router Interface als ein Trunk Port definiert. Zu guter Letzt wird das Subnetz mit Hilfe von ip address angegeben.

(config)#   interface tenGigabitEthernet2/0/2.10
(config-subif)#   encapsulation dot1q 10
(config-subif)#   ip address 10.10.100.100 255.255.255.252

 

Überprüfung der Konfiguration

Sobald die Konfiguration der Interfaces, wie in den Beispielen durchgeführt wurde, kann man versuchen die gegenüberliegenden Seiten zu erreichen. Dazu kann man probieren die Endgeräte an zu pingen und somit ihre Erreichbarkeit zu prüfen. Am besten wäre ein Ping Request vom Switch aus auf das Gateway des VLAN’s auf dem Router die beste Möglichkeit um die Verfügbarkeit zu überprüfen. Dadurch kann getestet werden, ob die VLAN und Trunk Konfiguration fehlerfrei durchgeführt wurde und ob die selbige Konfiguration auf dem Router auch einwandfrei funktioniert.

#   ping 10.10.100.100

 

Variante 2 – Router Switch Modularität

Die zweite Variante beschreibt die Konfiguration der VLAN’s und Inter-VLAN Konfiguration auf einem Router mit Switch Modularität oder Switching Funktion. Diese Router nennt man umgangssprachlich auch „Router Switch Module (RSM). Hierbei werden so genannte Inter-VLAN’s erstellt und wie beim Switch werden die VLAN ID’s auf den Trunk Interfaces deklariert. Das Beispiel erklärt die Vorgehensweise besser als eine schriftliche Erklärung zu dem Thema.

 

VLAN auf dem Siwtch erstellen

Um ein VLAN auf dem Switch zu erstellen benötigt man Zugriff auf den configure terminal und man sollte wissen welche VLAN ID und welchen VLAN Name man verwenden möchte. Als Beispiel lege ich das VLAN Verwaltung mit der ID 10 an und weise es dem Interface gi1/0/3 zu.

(config)#   vlan 10
(config-vlan)#   name „Verwaltung“
(config-vlan)#   interface gigabitEthernet 1/0/3
(config-if)#   switchport access vlan 10

 

Trunk auf dem Uplink des Switches konfigurieren

Damit die Clients über den Switch hinaus kommunizieren können, muss die Weitergabe der Pakete an den Router ermöglicht werden. Dafür muss ein Trunk auf dem Uplink des Switches konfiguriert werden. Ein Trunk bezeichnet eine Bündelung von einzelnen oder mehreren virtuellen Netzen über eine physikalisch existierende Verbindung. Hierfür benötigen wir die VLAN ID des neu erstellten VLAN’s 10, das Uplink Interface welches in dem Fall das tenGigabitEthernet1/0/1 ist und dem VLAN Management mit der ID 2, welches den Zugriff über SSH für Remotearbeiten auf dem Switch ermöglicht.

(config)#   interface tenGigabitEthernet1/0/1
(config-if)#   switchport mode trunk
(config-if)#   switchport trunk native vlan 2
(config-if)#   switchport trunk allowed vlan 2, 10

 

Das Native VLAN ist eine Pflichtangabe bei der Trunk Konfiguration, da ohne diese Angabe die Konfiguration nicht abgeschlossen, geschweige denn durchgeführt werden kann. Das VLAN welches als native VLAN deklariert ist, kommuniziert mittels nicht markierten Paketen, auch genannt untagged. Dies ist ein wichtiger Bestandteil für die Kommunikation von gewissen Services des Switches, zum Beispiel für Spanning Tree. Jedoch wird im Regelfall auch die Remoteverbindungen für administrative Zwecke über dieses untagged VLAN ermöglicht.

Die VLAN’s die als Allowed VLAN aufgelistet werden, werden getaggt übertragen.

 

Inter-VLAN auf dem Router erstellen

Für die Konfiguration des Inter-VLAN’s auf dem Router benötigt man den IP-Adressbereich, der verwendet werden soll. Dafür sind die Angabe des Gateways und der Subnetzmaske des Subnetzes wichtig. In diesem Beispiel ist das Gateway die IP-Adresse 10.10.100.100 und die Subnetzmaske mit der Adresse 255.255.255.252 für die Konfiguration.

(config)#   interface vlan 10
(config-if)#   description Verwaltung
(config-if)#   ip address 10.10.100.100 255.255.255.252
(config-if)#   no shutdown

 

Trunk auf dem Router Interface konfigurieren

Nachdem das Inter-VLAN konfiguriert wurde, ist der letzte Schritt die Einrichtung des Trunk Interfaces. Das tenGigabitEthernet1/0/1 für die Anbindung des Switches, kommt auf der Gegenseite am Router Interface tenGigabitEthernet2/0/2 an. Die Konfiguration des Trunk Interfaces ist fast identisch mit dem des Switches.

Der encapsulation dot1q Befehl ermöglicht die Zuweisung von VLAN-ID’s zu (Sub-) Interfaces.

(config)#   interface tenGigabitEthernet2/0/2
(config-if)#   switchport
(config-if)#   switchport mode trunk
(config-if)#   switchport trunk encapsulation dot1q
(config-if)#   switchport trunk native vlan 2
(config-if)#   switchport trunk allowed vlan 2, 10

 

Überprüfung der Konfiguration

Sobald die Konfiguration der Interface, wie in den Beispielen durchgeführt wurde, kann man versuchen die gegenüberliegenden Seiten zu erreichen. Dazu kann man probieren die Endgeräte an zu pingen und somit ihre Erreichbarkeit zu prüfen. Am besten wäre ein Ping Request vom Switch aus auf das Gateway des VLAN’s auf dem Router die beste Möglichkeit um die Verfügbarkeit zu überprüfen. Dadurch kann getestet werden, ob die VLAN und Trunk Konfiguration fehlerfrei durchgeführt wurde und ob die selbige Konfiguration auf dem Router auch einwandfrei funktioniert.

#   ping 10.10.100.100

 

over & out,

jonsch

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.