Inhaltsverzeichnis

Laborübung zu VLAN

Einführung und Vorbereitung

Ziel

Es soll die Auswirkung von VLAN auf die Kommunikation untersucht werden. Dabei soll u.a. das 802.1q Protokoll untersucht werden. Das Netzwerk soll aus drei verschiedenen VLAN bestehen. Jede Gruppe administriert einen Switch und arbeitet mit 3-4 Client-PCs.

Vorbereitung

Um auf den Switches VLAN konfigurieren zu können, wird entweder das Webfront verwendet oder die CLI (Die Befehle finden Sie in der Spanning Tree Übung).

ACHTUNG: VLAN1 ist das Default-VLAN auf den 3Com 5500, in dem standardmäßig alle Ports liegen. Nur Ports in VLAN1 können auf das Web-Interface und die CLI1) zugreifen! Sobald ein Port in ein anderes VLAN konfiguriert wird (untagged), wird dieser aus dem VLAN1 entfernt und der Zugriff auf die Konfiguration ist nicht mehr möglich!

Die PCs sollten mit folgender Konfiguration eingerichtet sein:

PC IP Adresse/Subnetzmaske VLAN-ID Bemerkung
1 192.168.XX.100+Platznummer/255.255.255.0 1 zur Konfiguration des Switches
2 192.168.XX.100+Platznummer/255.255.255.0 2 Rechner in VLAN 2
3 192.168.XX.100+Platznummer/255.255.255.0 3 Rechner in VLAN 3

Hinweis: XX steht für das jeweilige Raumnetz.

IP-Adressen der gelben Schnittstellen in den beiden Räumen:

Raum Subnetz
G216 192.168.33.0/24
W610 192.168.65.0/24

Falls Sie die IP-Adressen ändern möchten ist Folgendes zu beachten: Die Standardkonfiguration der Schnittstellen 2) lassen sich im Netzwerkmanager NICHT ändern. Durch Hinzufügen einer neuen Netzwerkverbindung kann man die gewünschte Konfiguration herbeiführen. Wie das funktioniert ist HIER erklärt.

Fertigen Sie eine Skizze in der 3 PCs und zwei Switche angeordnet sind. An den Switch-Symbolen wird Platz für die Verbindungen zu den PCs sowie die jeweilige Port-Nummer und die VLAN-ID benötigt. Aus der Skizze muss hervorgehen, welcher PC an welchem Port und in welchem VLAN angeschlossen ist!

Grobes Beispiel:  VLAN-Laboraufbau

Durchführung

1. Zunächst müssen Sie die physikalische Verbindung zum Switch herstellen. Dazu verbinden Sie das gelbe Kabel (eth1) der konfigurierten Netzwerkkarte mit den folgenden Ports auf dem Switch:

Nun können Sie mit dem Kommando ifconfig oder ip addr show die IP-Konfiguration der Clients überprüfen. Außerdem sollten PC2 und PC3 miteinander kommunizieren können. Überprüfen Sie dies mit dem Befehl ping.

2. Verbinden Sie sich nun mittels Browser auf PC1 zu Ihrem Switch3).

a) Erstellen Sie zunächst 2 VLANs. Dazu wählen Sie unter dem Menüpunkt Device → VLAN den Karteikartenreiter Create aus. Dort können die VLAN erstellt werden.
CLI-Befehl zum Erstellen eines VLANs:
[5500]vlan X (mit X für das jeweilige VLAN)

b) Anschließend müssen den VLAN Port zugewiesen werden. Dies kann über den Menüpunkt Device → VLAN → Modify VLAN konfiguriert werden. HINWEIS: Zunächst muss das zu ändernde VLAN ausgewählt werden. Dies kann per All VLANsSelect gemacht werden.

CLI-Befehl zur Port-Zuordnung:
[5500-vlanX]port Ethernet 1/0/3 (Port 3 wird dem VLAN 2 zugeordnet.)

Nach diesem Konfigurationsschritt sollten PC2 und PC3 nicht mehr miteinander kommunizieren können, da sie nun in unterschiedlichen VLAN sind.

c) Der Port Ethernetport 1/0/7 wird der Verbindungsport zwischen den Switchen. Unter dem Menüpunkt Port → Administration → Setup muss der Link Type dieses Ports auf Trunk 4) oder Hybrid 5) geändert werden.
CLI-Befehl zum Wechsel in das Port-Interface:
[5500]interface Ethernet 1/0/7

CLI-Befehl zum Wechsel des Port-Type:
[5500- Ethernet 1/0/7]port link-type trunk

Alternativ kann der Port auch in den hybrid Modus versetzt werden, dann unterstützt dieser Port sowohl tagged- (trunk) wie auch untagged-(access) Rahmen. Der Wechsel zwischen diesen beiden Modi kann nicht unmittelbar durchgeführt werden. Es muss zu nächst immer in den access Modus geschaltet werden.

d) Überprüfen Sie, ob der Port 7 alle VLAN Netze weiterleitet und ändern Sie das ggf. unter Device → VLAN → Modify Port.
CLI-Befehl zum Einstellen der VLAN auf dem Port:
[5500- Ethernet 1/0/7]port trunk permit vlan X/Y

Mit dem Befehl [5500]display vlan X kann die Konfiguration für VLAN X überprüft werden. Statt X kann auch all verwendet werden, um die komplette VLAN-Konfiguration auszugeben.

3. Verbinden Sie nun die beiden Switche über deren Port 7.

4. Testen Sie, ob Sie sich jeweils die PCs 2 und 3 der beiden Gruppen „pingen“ können.

Tagged VLAN auf Linux-PCs einrichten

Vertiefende Aufgabe: Konfigurieren Sie nun einen der PC-Ports ebenfalls auf Tagging. Beachten Sie dabei, dass beide Seiten (PC und Switch) auf Tagging eingerichtet werden muss (s. nächster Abschnitt).

TIP: Falls die Verbindung nicht funktioniert, kann dies an identischen logischen Netzen (IP-Ebene) liegen. Überlegen Sie sich hierzu einen Lösung!

Unter Linux können tagged VLANs über das Tool vconfig eingerichtet werden. Dieses benötigt root-Rechte, muss also per sudo ausgeführt werden.

Einrichtung einer tagged VLAN-Verbindung am PC

Ab hier werden die eigentlichen VLAN-Verbindungen konfiguriert.

Mit dem folgenden Befehl wird ein VLAN-Interface mit der VLAN-ID 10 auf der Schnittstelle eth1 eingerichtet.

sudo vconfig add eth1 10

Diese Schnittstelle muss nun noch mit einer IP-Adresse in das gewünschte Subnetz gebracht werden. Hierzu kann folgender Befehl verwendet werden.

sudo ifconfig eth1.10 10.0.0.1 netmask 255.255.255.0

Vorbereitung für tagged VLAN auf Linux-PCs (MUSS IM LABOR NICHT DURCHGEFÜHRT WERDEN!!)

Es wurden während der Einrichtung der Rechner bereits einige Dinge installiert und konfiguriert. In der Laborumgebung können die nächsten beiden Schritt demnach ignoriert werden. Sie sind lediglich der Vollständigkeit halber aufgeführt, falls man in einer anderen Umgebung VLAN nachträglich einrichten möchte.

1. Um vconfig nutzen zu können muss zunächst das Paket vlan mittels sudo apt-get install vlan installiert werden.
2. Weiterhin muss das Modul 802.1q geladen mittels sudo modeprobe 8021q werden (temporär). In der Laborumgebung wurde dies permanent durch Ergänzung der Datei /etc/modules um den Eintrag 8021q vorgenommen.
Ergänzender Hinweis: Soll ein VLAN-Interface dauerhaft auf einer Maschine eingerichtet werden, so kann dies in der Datei /etc/network/interfaces durch folgenden Eintrag geschehen. Dies ist auf den Laborrechnern NICHT möglich, da den Nutzern die nötigen Rechte fehlen.

auto eth1.10
iface eth1.10 inet static
    address 10.0.0.1
    netmask 255.255.255.0
    vlan-raw-device eth1

telnet Session per Script steuern

Es ist auch möglich eine telnet-Session per Script zu steuern.

Das folgende Script richtet ein VLAN 5 ein und ändert den Port-Type von Port 7 auf trunk.

Mit dem folgenden Script wird eine telnet-Verbindung (Port 23) mit Hilfe von nc6) zu einer IP-Adresse aufgebaut. Im Anschluss werden bis zum EOF7) die einzelnen Befehle zeilenweise übertragen.

ACHTUNG: In Unternehmensnetze sollte KEIN telnet mehr eingesetzt werden, da dieses Protokoll ohne zusätzliche Sicherheitsmechanismen Klartextpasswörter überträgt. Im Experimentalnetz ist dies nicht so kritisch.

telsession.sh
#!/bin/bash
# netcat (kurz nc) ist ein Kommandozeilen-Tool, mit dem Verbindungen zu entfernten Systemen aufgebaut werden können.
# Verwendung: nc <IP-Adresse> <PORT>
nc 192.168.33.61 23 <<'EOF'
schueler
schueler
system-view
display vlan
undo vlan all
y
vlan 2
port Ethernet 1/0/1
display vlan 2
vlan 3
port Ethernet 1/0/2
quit
interface Ethernet 1/0/5
port link-type trunk
port trunk permit vlan 3
port trunk permit vlan 2
quit
quit
EOF

Die folgende Tabelle zeigt die Befehle und ihre Wirkung auf dem Switch:

Befehl Wirkung auf Switch
schueler Benutzername wird als erstes vom Switch erwartet
schueler Passwort für schueler
system-view Wechsel in den Konfigurationsmodus
display vlan Anzeigen der alten VLAN-Konfiguration
undo vlan all Löschen der alten VLAN-Konfiguration
y Bestätigung der Löschung
vlan 2 VLAN-ID 2 anlegen durch Wechsel in den vlan-2-Bereich
port Ethernet 1/0/1 Port 1/0/1 in VLAN2 bringen
display vlan 2 neue Konfiguration von VLAN2 anzeigen
vlan 3 VLAN-ID 3 anlegen durch Wechsel in den vlan-3-Bereich
port Ethernet 1/0/2 Port 1/0/2 in VLAN3 bringen
quit Zurück auf höchste Konfigurationsebene (VLAN verlassen)
interface Ethernet 1/0/5 In Konfigurationsebene von Port 1/0/5 wechseln
port link-type trunk Betriebsmodus für aktuellen Port 1/0/5 auf trunk ändern
port trunk permit vlan 3 Port 1/0/5 tagged zu VLAN3 hinzufügen
port trunk permit vlan 2 Port 1/0/5 tagged zu VLAN2 hinzufügen
quit Zurück auf höchste Konfigurationsebene (Port verlassen)
quit Verbindung zu Switch beenden
1)
CLI: Command Line Interface
2)
vgl. Ifupdown bei den Netzwerkverbindungen
3)
IP-Adressen finden Sie am Rack
4)
nur tagged
5)
sowohl tagged als auch untagged
6)
nc: netcat
7)
EOF: end of file