Es soll die Auswirkung von VLAN auf die Kommunikation untersucht werden. Dabei soll u.a. das 802.1q Protokoll untersucht werden. Das Netzwerk soll aus drei verschiedenen VLAN bestehen. Jede Gruppe administriert einen Switch und arbeitet mit 3-4 Client-PCs.

Um auf den Switches VLAN konfigurieren zu können, wird entweder das Webfront verwendet oder die CLI (Die Befehle finden Sie in der Spanning Tree Übung).

ACHTUNG: VLAN1 ist das Default-VLAN auf den 3Com 5500, in dem standardmäßig alle Ports liegen. Nur Ports in VLAN1 können auf das Web-Interface und die CLI¹⁾ zugreifen! Sobald ein Port in ein anderes VLAN konfiguriert wird (untagged), wird dieser aus dem VLAN1 entfernt und der Zugriff auf die Konfiguration ist nicht mehr möglich!

Die PCs sollten mit folgender Konfiguration eingerichtet sein:

Hinweis: XX steht für das jeweilige Raumnetz.

IP-Adressen der gelben Schnittstellen in den beiden Räumen:

Falls Sie die IP-Adressen ändern möchten ist Folgendes zu beachten: Die Standardkonfiguration der Schnittstellen ²⁾ lassen sich im Netzwerkmanager NICHT ändern. Durch Hinzufügen einer neuen Netzwerkverbindung kann man die gewünschte Konfiguration herbeiführen. Wie das funktioniert ist HIER erklärt.

Fertigen Sie eine Skizze in der 3 PCs und zwei Switche angeordnet sind. An den Switch-Symbolen wird Platz für die Verbindungen zu den PCs sowie die jeweilige Port-Nummer und die VLAN-ID benötigt. Aus der Skizze muss hervorgehen, welcher PC an welchem Port und in welchem VLAN angeschlossen ist!

Grobes Beispiel:

1. Zunächst müssen Sie die physikalische Verbindung zum Switch herstellen. Dazu verbinden Sie das gelbe Kabel (eth1) der konfigurierten Netzwerkkarte mit den folgenden Ports auf dem Switch:

• PC 1 in den Port Ethernetport 1/0/1 (= Port 1) Ihres Switches,
• PC 2 in den Port Ethernetport 1/0/3 (= Port 3) Ihres Switches und
• PC 3 in den Port Ethernetport 1/0/5 (= Port 5) Ihres Switches.

Nun können Sie mit dem Kommando ifconfig oder ip addr show die IP-Konfiguration der Clients überprüfen. Außerdem sollten PC2 und PC3 miteinander kommunizieren können. Überprüfen Sie dies mit dem Befehl ping.

2. Verbinden Sie sich nun mittels Browser auf PC1 zu Ihrem Switch³⁾.

a) Erstellen Sie zunächst 2 VLANs. Dazu wählen Sie unter dem Menüpunkt Device → VLAN den Karteikartenreiter Create aus. Dort können die VLAN erstellt werden.
CLI-Befehl zum Erstellen eines VLANs:
[5500]vlan X (mit X für das jeweilige VLAN)

b) Anschließend müssen den VLAN Port zugewiesen werden. Dies kann über den Menüpunkt Device → VLAN → Modify VLAN konfiguriert werden. HINWEIS: Zunächst muss das zu ändernde VLAN ausgewählt werden. Dies kann per All VLANs → Select gemacht werden.

• VLAN 2 enthält nur Port 3
  
• VLAN 3 enthält nur Port 5
  

CLI-Befehl zur Port-Zuordnung:
[5500-vlanX]port Ethernet 1/0/3 (Port 3 wird dem VLAN 2 zugeordnet.)

Nach diesem Konfigurationsschritt sollten PC2 und PC3 nicht mehr miteinander kommunizieren können, da sie nun in unterschiedlichen VLAN sind.

c) Der Port Ethernetport 1/0/7 wird der Verbindungsport zwischen den Switchen. Unter dem Menüpunkt Port → Administration → Setup muss der Link Type dieses Ports auf Trunk ⁴⁾ oder Hybrid ⁵⁾ geändert werden.
CLI-Befehl zum Wechsel in das Port-Interface:
[5500]interface Ethernet 1/0/7
CLI-Befehl zum Wechsel des Port-Type:
[5500- Ethernet 1/0/7]port link-type trunk

Alternativ kann der Port auch in den hybrid Modus versetzt werden, dann unterstützt dieser Port sowohl tagged- (trunk) wie auch untagged-(access) Rahmen. Der Wechsel zwischen diesen beiden Modi kann nicht unmittelbar durchgeführt werden. Es muss zu nächst immer in den access Modus geschaltet werden.

d) Überprüfen Sie, ob der Port 7 alle VLAN Netze weiterleitet und ändern Sie das ggf. unter Device → VLAN → Modify Port.
CLI-Befehl zum Einstellen der VLAN auf dem Port:
[5500- Ethernet 1/0/7]port trunk permit vlan X/Y

Mit dem Befehl [5500]display vlan X kann die Konfiguration für VLAN X überprüft werden. Statt X kann auch all verwendet werden, um die komplette VLAN-Konfiguration auszugeben.

3. Verbinden Sie nun die beiden Switche über deren Port 7.

4. Testen Sie, ob Sie sich jeweils die PCs 2 und 3 der beiden Gruppen „pingen“ können.

Vertiefende Aufgabe: Konfigurieren Sie nun einen der PC-Ports ebenfalls auf Tagging. Beachten Sie dabei, dass beide Seiten (PC und Switch) auf Tagging eingerichtet werden muss (s. nächster Abschnitt).

TIP: Falls die Verbindung nicht funktioniert, kann dies an identischen logischen Netzen (IP-Ebene) liegen. Überlegen Sie sich hierzu einen Lösung!

Unter Linux können tagged VLANs über das Tool vconfig eingerichtet werden. Dieses benötigt root-Rechte, muss also per sudo ausgeführt werden.

Ab hier werden die eigentlichen VLAN-Verbindungen konfiguriert.

Mit dem folgenden Befehl wird ein VLAN-Interface mit der VLAN-ID 10 auf der Schnittstelle eth1 eingerichtet.

sudo vconfig add eth1 10

Diese Schnittstelle muss nun noch mit einer IP-Adresse in das gewünschte Subnetz gebracht werden. Hierzu kann folgender Befehl verwendet werden.

sudo ifconfig eth1.10 10.0.0.1 netmask 255.255.255.0

Es wurden während der Einrichtung der Rechner bereits einige Dinge installiert und konfiguriert. In der Laborumgebung können die nächsten beiden Schritt demnach ignoriert werden. Sie sind lediglich der Vollständigkeit halber aufgeführt, falls man in einer anderen Umgebung VLAN nachträglich einrichten möchte.

1. Um vconfig nutzen zu können muss zunächst das Paket vlan mittels sudo apt-get install vlan installiert werden.
2. Weiterhin muss das Modul 802.1q geladen mittels sudo modeprobe 8021q werden (temporär). In der Laborumgebung wurde dies permanent durch Ergänzung der Datei /etc/modules um den Eintrag 8021q vorgenommen.
Ergänzender Hinweis: Soll ein VLAN-Interface dauerhaft auf einer Maschine eingerichtet werden, so kann dies in der Datei /etc/network/interfaces durch folgenden Eintrag geschehen. Dies ist auf den Laborrechnern NICHT möglich, da den Nutzern die nötigen Rechte fehlen.

auto eth1.10
iface eth1.10 inet static
    address 10.0.0.1
    netmask 255.255.255.0
    vlan-raw-device eth1

Es ist auch möglich eine telnet-Session per Script zu steuern.

Das folgende Script richtet ein VLAN 5 ein und ändert den Port-Type von Port 7 auf trunk.

Mit dem folgenden Script wird eine telnet-Verbindung (Port 23) mit Hilfe von nc⁶⁾ zu einer IP-Adresse aufgebaut. Im Anschluss werden bis zum EOF⁷⁾ die einzelnen Befehle zeilenweise übertragen.

ACHTUNG: In Unternehmensnetze sollte KEIN telnet mehr eingesetzt werden, da dieses Protokoll ohne zusätzliche Sicherheitsmechanismen Klartextpasswörter überträgt. Im Experimentalnetz ist dies nicht so kritisch.

telsession.sh

#!/bin/bash
# netcat (kurz nc) ist ein Kommandozeilen-Tool, mit dem Verbindungen zu entfernten Systemen aufgebaut werden können.
# Verwendung: nc <IP-Adresse> <PORT>
nc 192.168.33.61 23 <<'EOF'
schueler
schueler
system-view
display vlan
undo vlan all
y
vlan 2
port Ethernet 1/0/1
display vlan 2
vlan 3
port Ethernet 1/0/2
quit
interface Ethernet 1/0/5
port link-type trunk
port trunk permit vlan 3
port trunk permit vlan 2
quit
quit
EOF

Die folgende Tabelle zeigt die Befehle und ihre Wirkung auf dem Switch: