VLAN’s

3.0 VLAN’s

3.0.1. Introductie

Netwerkprestaties zijn een belangrijke factor in de productiviteit van een organisatie. Een van de technologieën die wordt gebruikt om de netwerkprestaties te verbeteren, is de scheiding van grote broadcastdomeinen in kleinere. Door hun ontwerp blokkeren routers uitzendverkeer op een interface. Routers hebben echter normaal gesproken een beperkt aantal LAN-interfaces. De primaire rol van een router is om informatie tussen netwerken te verplaatsen, niet om netwerktoegang te bieden aan eindapparaten.

De rol van het verschaffen van toegang tot een LAN is normaal gesproken voorbehouden aan een access layer switch. Een virtueel lokaal netwerk (VLAN) kan worden gemaakt op een Layer 2-switch om de omvang van broadcastdomeinen te verkleinen, vergelijkbaar met een Layer 3-apparaat. VLAN’s worden vaak opgenomen in netwerkontwerp, waardoor het voor een netwerk gemakkelijker wordt om de doelen van een organisatie te ondersteunen. Hoewel VLAN’s voornamelijk worden gebruikt binnen geschakelde lokale netwerken, kunnen moderne implementaties van VLAN’s MAN’s en WAN’s overspannen.

In dit hoofdstuk wordt beschreven hoe u VLAN’s en VLAN-trunks configureert, beheert en problemen oplost. Het zal ook beveiligingsoverwegingen en -strategieën met betrekking tot VLAN’s en trunks onderzoeken, en best practices voor VLAN-ontwerp.

3.1. VLAN segmentatie

3.1.1. Overzicht van VLAN’s

3.1.1.1. VLAN-definities

Binnen een geschakeld internetwerk bieden VLAN’s segmentatie en organisatorische flexibiliteit. VLAN’s bieden een manier om apparaten binnen een LAN te groeperen. Een groep apparaten binnen een VLAN communiceren alsof ze op dezelfde draad zijn aangesloten. VLAN’s zijn gebaseerd op logische verbindingen in plaats van fysieke verbindingen.

Met VLAN’s kan een beheerder netwerken segmenteren op basis van factoren zoals functie, projectteam of applicatie, zonder rekening te houden met de fysieke locatie van de gebruiker of het apparaat. Apparaten binnen een VLAN gedragen zich alsof ze zich in hun eigen onafhankelijke netwerk bevinden, zelfs als ze een gemeenschappelijke infrastructuur delen met andere VLAN’s. Elke switchpoort kan tot een VLAN behoren en unicast-, broadcast- en multicast-pakketten worden alleen doorgestuurd en overstroomd naar eindstations binnen het VLAN waar de pakketten vandaan komen. Elk VLAN wordt beschouwd als een afzonderlijk logisch netwerk en pakketten die bestemd zijn voor stations die niet tot het VLAN behoren, moeten worden doorgestuurd via een apparaat dat routering ondersteunt.

Een VLAN creëert een logisch broadcastdomein dat meerdere fysieke LAN-segmenten kan omvatten. VLAN’s verbeteren de netwerkprestaties door grote broadcastdomeinen op te splitsen in kleinere. Als een apparaat in één VLAN een uitzending Ethernet-frame verzendt, ontvangen alle apparaten in het VLAN het frame, maar apparaten in andere VLAN’s niet.

VLAN’s maken de implementatie van toegangs- en beveiligingsbeleid mogelijk op basis van specifieke groepen gebruikers. Elke switchpoort kan worden toegewezen aan slechts één VLAN (met uitzondering van een poort die is aangesloten op een IP-telefoon of op een andere switch).

3.1.1.2. Voordelen van VLAN’s

De productiviteit van gebruikers en het aanpassingsvermogen van het netwerk zijn belangrijk voor de groei en het succes van een bedrijf. VLAN’s maken het eenvoudiger om een ​​netwerk te ontwerpen om de doelen van een organisatie te ondersteunen. De belangrijkste voordelen van het gebruik van VLAN’s zijn als volgt:

• Beveiliging – Groepen met gevoelige gegevens worden gescheiden van de rest van het netwerk, waardoor de kans op inbreuken op vertrouwelijke informatie wordt verkleind. Zoals te zien is in de afbeelding, bevinden de computers van de faculteit zich op VLAN 10 en zijn ze volledig gescheiden van het dataverkeer van studenten en gasten.
• Kostenbesparing – Kostenbesparingen zijn het resultaat van een verminderde behoefte aan dure netwerkupgrades en een efficiënter gebruik van bestaande bandbreedte en uplinks.
• Betere prestaties – Door platte Layer 2-netwerken op te splitsen in meerdere logische werkgroepen (broadcastdomeinen), wordt onnodig verkeer op het netwerk verminderd en worden de prestaties verbeterd.
• Broadcast-domeinen verkleinen – Door een netwerk op te splitsen in VLAN’s, wordt het aantal apparaten in het broadcastdomein verminderd. Zoals weergegeven in de afbeelding, zijn er zes computers op dit netwerk, maar er zijn drie broadcastdomeinen: faculteit, student en gast.
• Verbeterde efficiëntie van IT-personeel – VLAN’s maken het gemakkelijker om het netwerk te beheren omdat gebruikers met vergelijkbare netwerkvereisten hetzelfde VLAN delen. Wanneer een nieuwe switch wordt geleverd, worden alle beleidsregels en procedures die al zijn geconfigureerd voor het specifieke VLAN geïmplementeerd wanneer de poorten worden toegewezen. Het is ook gemakkelijk voor het IT-personeel om de functie van een VLAN te identificeren door het een passende naam te geven. In de afbeelding heeft VLAN 10 voor eenvoudige identificatie de naam “Faculteit”, VLAN 20 wordt “Student” genoemd en VLAN 30 “Gast”.
• Eenvoudiger project- en applicatiebeheer – VLAN’s brengen gebruikers en netwerkapparaten samen om zakelijke of geografische vereisten te ondersteunen. Het hebben van afzonderlijke functies maakt het beheren van een project of het werken met een gespecialiseerde applicatie eenvoudiger; een voorbeeld van zo’n applicatie is een e-learning ontwikkelplatform voor de faculteit.

Elk VLAN in een geschakeld netwerk komt overeen met een IP-netwerk; daarom moet het VLAN-ontwerp rekening houden met de implementatie van een hiërarchisch netwerkadresseringsschema. Hiërarchische netwerkadressering betekent dat IP-netwerknummers worden toegepast op netwerksegmenten of VLAN’s op een geordende manier waarbij rekening wordt gehouden met het netwerk als geheel. Blokken met aaneengesloten netwerkadressen zijn gereserveerd voor en geconfigureerd op apparaten in een specifiek gebied van het netwerk, zoals weergegeven in de afbeelding.

3.1.1.3. Soorten VLAN’s

Er zijn een aantal verschillende soorten VLAN’s die in moderne netwerken worden gebruikt. Sommige VLAN-typen worden gedefinieerd door verkeersklassen. Andere soorten VLAN’s worden gedefinieerd door de specifieke functie die ze dienen.

Data VLAN

Een data-VLAN is een VLAN die is geconfigureerd om door gebruikers gegenereerd verkeer te vervoeren. Een VLAN met spraak- of beheerverkeer zou geen data-VLAN zijn. Het is gebruikelijk om spraak- en managementverkeer te scheiden van dataverkeer. Een data-VLAN wordt ook wel een gebruikers-VLAN genoemd. Data VLAN’s worden gebruikt om het netwerk op te splitsen in groepen gebruikers of apparaten.

Standaard VLAN

Alle switchpoorten worden een onderdeel van het standaard VLAN na de eerste keer opstarten van een switch die de standaardconfiguratie laadt. Switchpoorten die deelnemen aan het standaard VLAN maken deel uit van hetzelfde broadcastdomein. Hierdoor kan elk apparaat dat op een switchpoort is aangesloten, communiceren met andere apparaten op andere switchpoorten. Het standaard VLAN voor Cisco-switches is VLAN 1. In de afbeelding is de opdracht show vlan brief uitgegeven op een switch met de standaardconfiguratie. Merk op dat alle poorten standaard zijn toegewezen aan VLAN 1.

VLAN 1 heeft alle functies van elk VLAN, behalve dat het niet kan worden hernoemd of verwijderd. Standaard is al het Layer 2-controleverkeer gekoppeld aan VLAN 1.

Native VLAN

Een native VLAN wordt toegewezen aan een 802.1Q-trunk-poort. Trunk-poorten zijn de koppelingen tussen switches die de overdracht ondersteunen van verkeer dat is gekoppeld aan meer dan één VLAN. Een 802.1Q-trunk-poort ondersteunt verkeer dat afkomstig is van veel VLAN’s (getagd verkeer), evenals verkeer dat niet afkomstig is van een VLAN (niet-getagd verkeer). Getagd verkeer verwijst naar verkeer waarbij een 4-byte-tag is ingevoegd in de oorspronkelijke Ethernet-frameheader, waarmee het VLAN wordt gespecificeerd waartoe het frame behoort. De 802.1Q-trunk-poort plaatst niet-gecodeerd verkeer op het native VLAN, dat standaard VLAN 1 is.

Native VLAN’s zijn gedefinieerd in de IEEE 802.1Q-specificatie om achterwaartse compatibiliteit te behouden met niet-gecodeerd verkeer dat gebruikelijk is in oudere LAN-scenario’s. Een native VLAN dient als een algemene identificatie aan tegenoverliggende uiteinden van een trunklink.

Het is een best practice om de native VLAN te configureren als een ongebruikte VLAN, los van VLAN 1 en andere VLAN’s. In feite is het niet ongebruikelijk om een ​​vast VLAN te wijden aan de rol van het native VLAN voor alle trunk-poorten in het geschakelde domein.

Management VLAN

Een management-VLAN is elk VLAN dat is geconfigureerd om toegang te krijgen tot de beheermogelijkheden van een switch. VLAN 1 is standaard het management-VLAN. Om het management-VLAN te maken, krijgt de virtuele switch-interface (SVI) van dat VLAN een IP-adres en subnetmasker toegewezen, waardoor de switch kan worden beheerd via HTTP, Telnet, SSH of SNMP. Omdat de out-of-the-box configuratie van een Cisco-switch VLAN 1 als standaard VLAN heeft, zou VLAN 1 een slechte keuze zijn voor het management-VLAN.

In het verleden was het beheer-VLAN voor een 2960-switch de enige actieve SVI. Op 15.x-versies van de Cisco IOS voor Catalyst 2960 Series-switches is het mogelijk om meer dan één actieve SVI te hebben. Met Cisco IOS 15.x moet de specifieke actieve SVI die is toegewezen voor beheer op afstand worden gedocumenteerd. Hoewel een switch in theorie meer dan één beheer-VLAN kan hebben, verhoogt het hebben van meer dan één de blootstelling aan netwerkaanvallen.

Switch# show vlan brief

VLAN Name                Status    Ports
---- ------------------- --------- -----------------------
1    default             active    Fa0/1,  Fa0/2,  Fa0/3,  Fa0/4
                                   Fa0/5,  Fa0/6,  Fa0/7,  Fa0/8
                                   Fa0/9,  Fa0/10, Fa0/11, Fa0/12
                                   Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                   Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                   Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                   Gi0/1,  Fi0/2
1002 fddi-default        act/unsup
1003 token-ring-default  act/unsup
1004 fddinet-default     act/unsup
1005 trnet-default       act/unsup

In bovenstaand voorbeeld zijn momenteel alle poorten toegewezen aan het standaard VLAN 1. Er is geen native VLAN expliciet toegewezen en er zijn geen andere VLAN’s actief; daarom is het netwerk ontworpen met het native VLAN, hetzelfde als het beheer-VLAN. Dit wordt als een veiligheidsrisico beschouwd.

3.1.1.4. Voice VLAN’s

Er is een apart VLAN nodig om Voice over IP (VoIP) te ondersteunen. VoIP-verkeer vereist:

• Gegarandeerde bandbreedte om spraakkwaliteit te garanderen
• Transmissieprioriteit boven andere soorten netwerkverkeer
• Mogelijkheid om rond drukke gebieden op het netwerk te worden gerouteerd
• Vertraging van minder dan 150 ms over het netwerk

Om aan deze eisen te voldoen, moet het hele netwerk zijn ontworpen om VoIP te ondersteunen. De details van het configureren van een netwerk om VoIP te ondersteunen vallen buiten het bestek van deze cursus, maar het is nuttig om samen te vatten hoe een spraak-VLAN werkt tussen een switch, een Cisco IP-telefoon en een computer.

In de afbeelding is VLAN 150 ontworpen voor spraakverkeer. De leerlingcomputer PC5 is aangesloten op de Cisco IP-telefoon en de telefoon is aangesloten op switch S3. PC5 zit in VLAN 20, dat wordt gebruikt voor leerlinggegevens.

3.1.2. VLAN’s in een meervoudig geschakeld netwerk

3.1.2.1. VLAN-trunks

Een trunk is een point-to-point-verbinding tussen twee netwerkapparaten die meer dan één VLAN dragen. Een VLAN-trunk breidt VLAN’s uit over een heel netwerk. Cisco ondersteunt IEEE 802.1Q voor het coördineren van trunks op Fast Ethernet-, Gigabit Ethernet- en 10-Gigabit Ethernet-interfaces.

VLAN’s zouden niet erg handig zijn zonder VLAN-trunks. Met VLAN-trunks kan al het VLAN-verkeer tussen switches worden verspreid, zodat apparaten die zich in hetzelfde VLAN bevinden, maar zijn aangesloten op verschillende switches, kunnen communiceren zonder tussenkomst van een router.

Een VLAN-trunk behoort niet tot een specifiek VLAN; het is eerder een kanaal voor meerdere VLAN’s tussen switches en routers. Een trunk kan ook worden gebruikt tussen een netwerkapparaat en een server of ander apparaat dat is uitgerust met een geschikte 802.1Q-compatibele NIC. Standaard worden op een Cisco Catalyst-switch alle VLAN’s ondersteund op een trunk-poort.

In de afbeelding zijn de verbindingen tussen schakelaars S1 en S2, en S1 en S3 geconfigureerd om verkeer afkomstig van VLAN’s 10, 20, 30 en 99 over het netwerk te verzenden. Dit netwerk zou niet kunnen functioneren zonder VLAN-trunks.

3.1.2.2. Broadcast-domeinen beheren met VLAN’s

Netwerk zonder VLAN’s

Wanneer een switch bij normaal gebruik een broadcastframe op een van zijn poorten ontvangt, stuurt deze het frame door alle andere poorten behalve de poort waar de uitzending is ontvangen. In de animatie in figuur 1 is het hele netwerk geconfigureerd in hetzelfde subnet (172.17.40.0/24) en zijn er geen VLAN’s geconfigureerd. Als resultaat, wanneer de faculteitscomputer (PC1) een uitzendframe verzendt, stuurt schakelaar S2 dat uitzendframe uit al zijn poorten. Uiteindelijk ontvangt het hele netwerk de uitzending omdat het netwerk één uitzenddomein is.

Netwerk met VLAN’s

Zoals te zien is in onderstaande animatie, is het netwerk gesegmenteerd met behulp van twee VLAN’s. Facultaire apparaten worden toegewezen aan VLAN 10 en student apparaten worden toegewezen aan VLAN 20. Wanneer een broadcastframe wordt verzonden vanaf de faculteiten computer, PC1, naar switch S2, stuurt de switch dat broadcastframe alleen door naar die switchpoorten die zijn geconfigureerd om VLAN 10 te ondersteunen.

De poorten die de verbinding vormen tussen switches S2 en S1 (poorten F0/1) en tussen S1 en S3 (poorten F0/3) zijn trunks en zijn geconfigureerd om alle VLAN’s in het netwerk te ondersteunen.

Wanneer S1 het broadcastframe op poort F0/1 ontvangt, stuurt S1 dat broadcastframe door vanuit de enige andere poort die geconfigureerd is om VLAN 10 te ondersteunen, namelijk poort F0/3. Wanneer S3 het broadcastframe op poort F0 / 3 ontvangt, stuurt het dat broadcastframe door vanuit de enige andere poort die is geconfigureerd om VLAN 10 te ondersteunen, namelijk poort F0/11. Het uitzendframe komt aan op de enige andere computer in het netwerk die is geconfigureerd in VLAN 10, namelijk de facultaire computer PC4.

Wanneer VLAN’s op een switch worden geïmplementeerd, is de transmissie van unicast-, multicast- en broadcast-verkeer van een host in een bepaald VLAN beperkt tot de apparaten die zich in dat VLAN bevinden.

3.1.2.3. Ethernet-frames labelen voor VLAN-identificatie

Switches uit de Catalyst 2960-serie zijn Layer 2-apparaten. Ze gebruiken de Ethernet-frameheaderinformatie om pakketten door te sturen. Ze hebben geen routeringstabellen. De standaard Ethernet-frameheader bevat geen informatie over het VLAN waartoe het frame behoort; dus als Ethernet-frames op een trunk worden geplaatst, moet informatie over de VLAN’s waartoe ze behoren worden toegevoegd. Dit proces, genaamd tagging, wordt bereikt met behulp van de IEEE 802.1Q-header, gespecificeerd in de IEEE 802.1Q-standaard. De 802.1Q-header bevat een 4-byte-tag die is ingevoegd in de oorspronkelijke Ethernet-frameheader, die het VLAN specificeert waartoe het frame behoort.

Wanneer de switch een frame ontvangt op een poort die is geconfigureerd in de toegangsmodus en waaraan een VLAN is toegewezen, voegt de switch een VLAN-tag in de frameheader in, herberekent de FCS en stuurt het getagde frame uit een trunk-poort.

VLAN-tagvelddetails

Het VLAN-tagveld bestaat uit een veld Type, een veld Prioriteit, een veld Canonical Format Identifier en een VLAN ID-veld:

• Type – Een 2-byte-waarde die de tag-protocol-ID (TPID) -waarde wordt genoemd. Voor Ethernet is het ingesteld op hexadecimaal 0x8100.
• Gebruikersprioriteit – Een 3-bits waarde die niveau- of service-implementatie ondersteunt.
• Canonical Format Identifier (CFI) – Een 1-bit identifier waarmee Token Ring-frames via Ethernet-verbindingen kunnen worden overgedragen.
• VLAN ID (VID) – Een 12-bits VLAN-identificatienummer dat maximaal 4096 VLAN-ID’s ondersteunt.

Nadat de switch de velden voor Type en tag-besturingsinformatie heeft ingevoegd, worden de FCS-waarden opnieuw berekend en wordt de nieuwe FCS in het frame ingevoegd.

3.1.2.4. Native VLAN’s en 802.1Q-tagging

Gelabelde frames op het native VLAN

Sommige apparaten die trunking ondersteunen, voegen een VLAN-tag toe aan native VLAN-verkeer. Controleverkeer dat op het native VLAN wordt verzonden, mag niet worden getagd. Als een 802.1Q-trunkpoort een getagd frame ontvangt met dezelfde VLAN-ID als het native VLAN, wordt het frame verwijderd. Daarom moet u bij het configureren van een switchpoort op een Cisco-switch apparaten zo configureren dat ze geen gelabelde frames op het native VLAN verzenden. Apparaten van andere leveranciers die getagde frames op het native VLAN ondersteunen, zijn onder meer IP-telefoons, servers, routers en niet-Cisco-switches.

Niet-gecodeerde frames op het native VLAN

Wanneer een Cisco-switch-trunk-poort niet-gecodeerde frames ontvangt (wat ongebruikelijk is in een goed ontworpen netwerk), stuurt deze die frames door naar het native VLAN. Als er geen apparaten zijn gekoppeld aan het native VLAN (wat niet ongebruikelijk is) en er zijn geen andere trunk-poorten (wat niet ongebruikelijk is), wordt het frame verwijderd. Het standaard native VLAN is VLAN 1. Bij het configureren van een 802.1Q trunk-poort wordt aan een standaard Port VLAN ID (PVID) de waarde van de native VLAN-ID toegewezen. Al het niet-gecodeerde verkeer dat de 802.1Q-poort binnenkomt of verlaat, wordt doorgestuurd op basis van de PVID-waarde. Als VLAN 99 bijvoorbeeld is geconfigureerd als het native VLAN, is de PVID 99 en wordt al het niet-gecodeerde verkeer doorgestuurd naar VLAN 99. Als het native VLAN niet opnieuw is geconfigureerd, wordt de PVID-waarde ingesteld op VLAN 1.

In de afbeelding is PC1 via een hub verbonden met een 802.1Q-trunkverbinding. PC1 verzendt niet-gecodeerd verkeer dat de switches associëren met het native VLAN dat is geconfigureerd op de trunk-poorten, en dienovereenkomstig doorstuurt. Getagd verkeer op de trunk dat wordt ontvangen door PC1, wordt verwijderd. Dit scenario weerspiegelt om verschillende redenen een slecht netwerkontwerp: het gebruikt een hub, er is een host aangesloten op een trunk-link en het impliceert dat de switches toegangspoorten hebben die zijn toegewezen aan het native VLAN. Maar het illustreert de motivatie voor de IEEE 802.1Q-specificatie voor native VLAN’s als middel om legacy-scenario’s af te handelen.

3.1.2.5. Voice VLAN tagging

Herinner dat om VoIP te ondersteunen, een apart spraak-VLAN vereist is.

Een toegangspoort die wordt gebruikt om een ​​Cisco IP-telefoon aan te sluiten, kan worden geconfigureerd om twee afzonderlijke VLAN’s te gebruiken: een VLAN voor spraakverkeer en een ander VLAN voor dataverkeer van een apparaat dat op de telefoon is aangesloten. De link tussen de switch en de IP-telefoon fungeert als een trunk voor zowel spraak-VLAN-verkeer als data-VLAN-verkeer.

De Cisco IP-telefoon bevat een geïntegreerde 10/100-switch met drie poorten. De poorten bieden speciale verbindingen met deze apparaten:

• Poort 1 maakt verbinding met de switch of een ander VoIP-apparaat.
• Poort 2 is een interne 10/100 interface die het IP-telefoonverkeer draagt.
• Poort 3 (toegangspoort) maakt verbinding met een pc of ander apparaat.

Op de switch is de toegang geconfigureerd om Cisco Discovery Protocol (CDP) -pakketten te verzenden die een aangesloten IP-telefoon instrueren om spraakverkeer naar de switch te sturen op een van de drie manieren, afhankelijk van het type verkeer:

• In een spraak-VLAN getagd met een Layer 2 Class of Service (CoS) prioriteitswaarde.
• In een toegangs-VLAN getagd met een Layer 2 CoS-prioriteitswaarde.
• In een toegangs-VLAN, niet-getagd (geen Layer 2 CoS-prioriteitswaarde).

In bovenstaande afbeelding is de student computer PC5 aangesloten op een Cisco IP-telefoon en is de telefoon aangesloten op switch S3. VLAN 150 is ontworpen om spraakverkeer te vervoeren, terwijl PC5 zich in VLAN 20 bevindt, dat wordt gebruikt voor studentengegevens.

3.2. VLAN implementaties

3.2.1. VLAN toewijzing

3.2.1.1. VLAN-bereiken op Catalyst switches

Verschillende Cisco Catalyst-switches ondersteunen verschillende aantallen VLAN’s. Het aantal ondersteunde VLAN’s is groot genoeg om aan de behoeften van de meeste organisaties te voldoen. De Catalyst 2960- en 3560-serie switches ondersteunen bijvoorbeeld meer dan 4.000 VLAN’s. VLAN’s met een normaal bereik op deze switches zijn genummerd van 1 tot 1.005 en VLAN’s met een uitgebreid bereik zijn genummerd van 1.006 tot 4.094. De afbeelding illustreert de beschikbare VLAN’s op een Catalyst 2960-switch met Cisco IOS Release 15.x.

VLAN’s met normaal bereik

• Gebruikt in kleine en middelgrote bedrijven en bedrijfsnetwerken.
• Geïdentificeerd door een VLAN-ID tussen 1 en 1005.
• ID’s 1002 tot en met 1005 zijn gereserveerd voor Token Ring en FDDI VLAN’s.
• ID’s 1 en 1002 tot 1005 worden automatisch gemaakt en kunnen niet worden verwijderd.
• Configuraties worden opgeslagen in een VLAN-databasebestand, genaamd vlan.dat. Het vlan.dat-bestand bevindt zich in het flash-geheugen van de switch.
• Het VLAN Trunking Protocol (VTP), dat helpt bij het beheren van VLAN-configuraties tussen switches, kan alleen VLAN’s met een normaal bereik leren en opslaan.

VLAN’s met uitgebreid bereik

• Stelt serviceproviders in staat hun infrastructuur uit te breiden naar een groter aantal klanten. Sommige internationale ondernemingen kunnen groot genoeg zijn om VLAN-ID’s met een groter bereik nodig te hebben.
• Worden geïdentificeerd door een VLAN-ID tussen 1006 en 4094.
• Configuraties worden niet naar het vlan.dat-bestand geschreven.
• Ondersteunt minder VLAN-functies dan VLAN’s met een normaal bereik.
• Worden standaard opgeslagen in het actieve configuratiebestand.
• VTP leert geen VLAN’s met uitgebreid bereik.

Opmerking: 4096 is de bovengrens voor het aantal VLAN’s dat beschikbaar is op Catalyst-switches, omdat er 12 bits in het VLAN ID-veld van de IEEE 802.1Q-header staan.

Switch# show vlan brief

VLAN Name                Status    Ports
---- ------------------- --------- -----------------------
1    default             active    Fa0/1,  Fa0/2,  Fa0/3,  Fa0/4
                                   Fa0/5,  Fa0/6,  Fa0/7,  Fa0/8
                                   Fa0/9,  Fa0/10, Fa0/11, Fa0/12
                                   Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                   Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                   Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                   Gi0/1,  Fi0/2
1002 fddi-default        act/unsup
1003 token-ring-default  act/unsup
1004 fddinet-default     act/unsup
1005 trnet-default       act/unsup

3.2.1.2. Een VLAN maken

Bij het configureren van VLAN’s met normaal bereik, worden de configuratiedetails opgeslagen in het flash-geheugen op de switch in een bestand met de naam vlan.dat. Flash-geheugen is persistent en vereist geen copy running-config startup-config. Omdat andere details echter vaak op een Cisco-switch worden geconfigureerd op het moment dat VLAN’s worden gemaakt, is het een goede gewoonte om lopende configuratiewijzigingen op te slaan in de opstartconfiguratie.

Bovenstaande tabel toont de Cisco IOS-opdrachtsyntaxis die wordt gebruikt om een ​​VLAN aan een switch toe te voegen en een naam te geven. Het benoemen van elk VLAN wordt beschouwd als een best practice in switchconfiguratie.

Voorgaande figuur laat zien hoe de student VLAN (VLAN 20) is geconfigureerd op switch S1. In het topologievoorbeeld is de leerlingcomputer (PC2) nog niet aan een VLAN gekoppeld, maar heeft deze wel het IP-adres 172.17.20.22.

Naast het invoeren van een enkele VLAN-ID, kan een reeks VLAN-ID’s worden ingevoerd, gescheiden door komma’s, of een reeks VLAN-ID’s gescheiden door koppeltekens met de opdracht vlan vlan-id. Gebruik bijvoorbeeld de volgende opdracht om VLAN’s 100, 102, 105, 106 en 107 te maken:

S1 (config) # vlan 100,102,105-107

3.2.1.3. Poorten aan VLAN’s toewijzen

Nadat u een VLAN hebt gemaakt, is de volgende stap het toewijzen van poorten aan het VLAN. Een toegangspoort kan slechts tot één VLAN tegelijk behoren; Een uitzondering op deze regel is die van een poort die is aangesloten op een IP-telefoon. In dat geval zijn er twee VLAN’s aan de poort gekoppeld: één voor spraak en één voor data.

Bovenstaande tabel toont de syntaxis voor het definiëren van een poort als toegangspoort en het toewijzen aan een VLAN. De opdracht switchport mode access is optioneel, maar wordt ten zeerste aanbevolen als best practice voor beveiliging. Met deze opdracht verandert de interface naar de permanente toegangsmodus.

Opmerking: gebruik de opdracht interface range om tegelijkertijd meerdere interfaces te configureren.

In het voorbeeld in onderstaande figuur is VLAN 20 toegewezen aan poort F0/18 op switch S1; daarom bevindt de student computer (PC2) zich in VLAN 20. Als VLAN 20 is geconfigureerd op andere schakelaars, weet de netwerkbeheerder dat de andere student computers zich in hetzelfde subnet bevinden als PC2 (172.17.20.0/24).

Het switchport access vlan-commando dwingt het maken van een VLAN af als dit nog niet bestaat op de switch. VLAN 30 is bijvoorbeeld niet aanwezig in de show vlan brief-uitvoer van de switch. Als de opdracht switchport access vlan 30 wordt ingevoerd op een interface zonder eerdere configuratie, geeft de switch het volgende weer:

% Access VLAN does not exist. Creating vlan 30

3.2.1.4. Lidmaatschap van VLAN-poort wijzigen

Er zijn een aantal manieren om het lidmaatschap van de VLAN-poort te wijzigen. Onderstaande tabel toont de syntaxis voor het wijzigen van een switchpoort naar VLAN 1-lidmaatschap met de opdracht zonder switchpoorttoegang vlan-interface configuratiemodus.

Interface F0/18 was eerder toegewezen aan VLAN 20. Het vlan-commando no switchport access is ingevoerd voor interface F0/18. Bekijk de uitvoer in de opdracht show vlan brief die onmiddellijk volgt, zoals weergegeven in ondrstaand voorbeeld. De opdracht show vlan brief geeft de VLAN-toewijzing en het lidmaatschapstype weer voor alle switchpoorten. De opdracht show vlan brief geeft één regel weer voor elk VLAN. De uitvoer voor elk VLAN omvat de VLAN-naam, status en switchpoorten.

S1(config)# int F0/18
S1(config-if)# no switchport access vlan
S1(config-if)# end

S1# show vlan brief

VLAN Name                Status    Ports
---- ------------------- --------- -----------------------
1    default             active    Fa0/1,  Fa0/2,  Fa0/3,  Fa0/4
                                   Fa0/5,  Fa0/6,  Fa0/7,  Fa0/8
                                   Fa0/9,  Fa0/10, Fa0/11, Fa0/12
                                   Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                   Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                   Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                   Gi0/1,  Fi0/2
20   student             active                                
1002 fddi-default        act/unsup
1003 token-ring-default  act/unsup
1004 fddinet-default     act/unsup
1005 trnet-default       act/unsup

VLAN 20 is nog steeds actief, ook al zijn er geen poorten aan toegewezen. Bekijk de uitvoer van onderstaand voorbeeld show interfaces f0/18 switchport dat het toegangs-VLAN voor interface F0/18 is gereset naar VLAN 1.

S1# show interfaces faO/18 switchport
Name: FaO/18
Switchport : Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)                                  
Trunking Native Mode VLAN: 1 (default) 

<output omitted>

Een poort kan eenvoudig zijn VLAN-lidmaatschap laten wijzigen. Het is niet nodig om eerst een poort uit een VLAN te verwijderen om het VLAN-lidmaatschap te wijzigen. Wanneer het VLAN-lidmaatschap van een toegangspoort opnieuw is toegewezen aan een ander bestaand VLAN, vervangt het nieuwe VLAN-lidmaatschap eenvoudig het vorige VLAN-lidmaatschap. In onderrstaand voorbeeld is poort F0/11 toegewezen aan VLAN 20.

S1# conf t
S1(config)# interface F0/11
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 20
S1(config-if)# end

S1# show vlan brief

VLAN Name                Status    Ports
---- ------------------- --------- -----------------------
1    default             active    Fa0/1,  Fa0/2,  Fa0/3,  Fa0/4
                                   Fa0/5,  Fa0/6,  Fa0/7,  Fa0/8
                                   Fa0/9,  Fa0/10, Fa0/12, Fa0/13
                                   Fa0/14, Fa0/15, Fa0/16, Fa0/17
                                   Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                   Fa0/22, Fa0/23, Fa0/24, Gi0/1
                                   Fi0/2
20   student             active    F0/11                       
1002 fddi-default        act/unsup
1003 token-ring-default  act/unsup
1004 fddinet-default     act/unsup
1005 trnet-default       act/unsup

3.2.1.5. VLAN’s verwijderen

In de afbeelding wordt het commando no vlan vlan-id globale configuratiemodus gebruikt om VLAN 20 van de switch te verwijderen. Switch S1 had een minimale configuratie met alle poorten in VLAN 1 en een ongebruikte VLAN 20 in de VLAN-database. De opdracht show vlan brief controleert of VLAN 20 niet langer aanwezig is in het bestand vlan.dat na gebruik van de opdracht no vlan 20.

S1# conf t
S1(config)# no vlan 20
S1(config)# end

S1#
S1# show vlan brief
VLAN Name                Status    Ports
---- ------------------- --------- -----------------------
1    default             active    Fa0/1,  Fa0/2,  Fa0/3,  Fa0/4
                                   Fa0/5,  Fa0/6,  Fa0/7,  Fa0/8
                                   Fa0/9,  Fa0/10, Fa0/11, Fa0/12
                                   Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                   Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                   Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                   Gi0/1,  Fi0/2
1002 fddi-default        act/unsup
1003 token-ring-default  act/unsup
1004 fddinet-default     act/unsup
1005 trnet-default       act/unsup

Let op: Voordat u een VLAN verwijdert, moet u eerst alle lidpoorten aan een ander VLAN toewijzen. Alle poorten die niet naar een actief VLAN worden verplaatst, kunnen niet communiceren met andere hosts nadat het VLAN is verwijderd en totdat ze zijn toegewezen aan een actief VLAN.

Als alternatief kan het volledige vlan.dat-bestand worden verwijderd met de opdracht delete flash: vlan.dat geprivilegieerde EXEC-modus. De verkorte opdrachtversie (delete vlan.dat) kan worden gebruikt als het bestand vlan.dat niet is verplaatst van de standaardlocatie. Na het geven van deze opdracht en het opnieuw laden van de switch, zijn de eerder geconfigureerde VLAN’s niet langer aanwezig. Dit plaatst de switch effectief in de fabrieksinstellingen met betrekking tot VLAN-configuraties.

Opmerking: Voor een Catalyst-switch moet de opdracht erase startup-config vergezeld gaan van de opdracht delete vlan.dat voordat opnieuw wordt geladen om de switch te herstellen naar de fabrieksinstellingen.

3.2.1.6. VLAN-informatie verifiëren

Nadat een VLAN is geconfigureerd, kunnen VLAN-configuraties worden gevalideerd met Cisco IOS show-opdrachten.

Onderstaande tabellen tonen de opdrachtopties show vlan en show interfaces.

In onderstaand voorbeeld produceert de opdracht show vlan name student output die niet gemakkelijk kan worden geïnterpreteerd. De voorkeursoptie is om de opdracht show vlan brief te gebruiken. De opdracht show vlan summary geeft het aantal geconfigureerde VLAN’s weer. De uitvoer van ondersaand voorbeeld toont zeven VLAN’s.

S1# show vlan name student

VLAN Name                 Status           Ports
---- -------------------  ---------        ------
20   student              active           Fa0/11, Fa0/18

VLAN Type SAID   MTU  Parent RingNo BridgeNo Stp BrdgMde Trans1 Trans2
---- ---- ------ ---- ------ ------ -------- --- ------- ------ ------
20   enet 100020 1500 -      -      -      -    -        0      0

Remote SPAN VLAN
----------------
Disabled

Primary Secondary Type              Ports
------- --------- ----------------- -------------------------

S1 # show vlan summary
Number of existing VLANs                : 7
Number of existing VTP VLANs            : 7
Number of existing extended VLANs       : 0

De opdracht show interfaces vlan vlan-id geeft details weer die buiten het bestek van deze cursus vallen. De belangrijke informatie verschijnt op de tweede regel in het volgende voorbeeld, wat aangeeft dat VLAN 20 actief is.

S1# show interfaces vlan 20                                    
Vlan20 is up, line protocol is down
  Hardware is EtherSVI, address is 001c.57ec.0641 (bia
001c.57ec.0641)
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 uaec,
     reliability 255/255, txload 1/255, rxload 1/255
   Encapsulation ARPA, loopback not set
   ARP type: ARPA, ARP Timeout 04:00:00
   Last input never, output never, output hang never
   Last clearing of "show interface" counters never
   Input queue: 0/75/0/0 (size/max/drops/flushes); Total output
drops: 0
  Queueing strategy: fifo
  Output Queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicast)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

3.2.2. VLAN trunks

3.2.2.1. IEEE 802.1Q-trunkkoppelingen configureren

Een VLAN-trunk is een OSI Layer 2-link tussen twee switches die verkeer voor alle VLAN’s vervoert (tenzij de toegestane VLAN-lijst handmatig of dynamisch wordt beperkt). Om trunkverbindingen in te schakelen, configureert u de poorten aan beide uiteinden van de fysieke verbinding met parallelle sets opdrachten.

Om een ​​switchpoort aan het ene uiteinde van een trunk-link te configureren, gebruikt u de trunk-opdracht voor switchport-modus. Met deze opdracht verandert de interface naar de permanente trunking-modus. De poort gaat een Dynamic Trunking Protocol (DTP) -onderhandeling aan om de link om te zetten in een trunk-link, zelfs als de interface die ermee verbinding maakt niet akkoord gaat met de wijziging. DTP wordt beschreven in het volgende onderwerp. In deze cursus is de trunk-opdracht voor switchport-modus de enige methode die is geïmplementeerd voor trunkconfiguratie.

De Cisco IOS-opdrachtsyntaxis om een ​​native VLAN (anders dan VLAN 1) op te geven, wordt weergegeven in Figuur 1. In het voorbeeld is VLAN 99 geconfigureerd als de native VLAN met behulp van de switchport trunk native vlan 99-opdracht.

Gebruik de Cisco IOS switchport trunk toegestaan ​​vlan vlan-list-opdracht om de lijst met VLAN’s op te geven die op de trunklink moeten worden toegestaan.

In het volgende afbeelding ondersteunen VLAN’s 10, 20 en 30 de faculteits-, student- en gastcomputers (PC1, PC2 en PC3). De F0/1-poort op switch S1 is geconfigureerd als een trunk-poort en stuurt verkeer door voor VLAN’s 10, 20 en 30. VLAN 99 is geconfigureerd als het beheer-VLAN. VLAN 50 is geconfigureerd als het native VLAN en er wordt geen netwerk gebruikt omdat dit een ongebruikt VLAN is.

Het volgend voorbeeld toont de configuratie van poort F0/1 op switch S1 als een trunk-poort. Het native VLAN is gewijzigd in VLAN 99 en de toegestane VLAN-lijst is beperkt tot 10, 20 en 30.

S1(config)# interface FastEthernet0/1
S1(config-if)# switchport mode trunk
S1(config-if)# switchport trunk native vlan 99
S1(config-if)# switchport trunk allowed vlan 10,20,30,99
S1(config-if)# end

Opmerking: bij deze configuratie wordt ervan uitgegaan dat Cisco Catalyst 2960-switches worden gebruikt die automatisch 802.1Q-inkapseling op trunk-links gebruiken. Voor andere schakelaars is mogelijk handmatige configuratie van de inkapseling vereist. Configureer altijd beide uiteinden van een trunk-link met hetzelfde native VLAN. Als de 802.1Q-trunkconfiguratie aan beide kanten niet hetzelfde is, meldt Cisco IOS Software fouten.

3.2.2.2. De trunk terugzetten naar de standaardinstelling

Volgende tabel toont de opdrachten om de toegestane VLAN’s te verwijderen en het native VLAN van de trunk te resetten. Bij het resetten naar de standaardstatus, staat de trunk alle VLAN’s toe en gebruikt VLAN 1 als de native VLAN.

Volgend voorbeeld toont de commando’s die worden gebruikt om alle trunking-kenmerken van een trunking-interface terug te zetten naar de standaardinstellingen. De opdracht show interfaces f0/1 switchport onthult dat de trunk opnieuw is geconfigureerd naar een standaardstatus.

S1(config)# interface f0/1
S1(config-if)# no switchport trunk allowed vlan
S1(config—if)# no switchport trunk native vlan
S1(config-if)# end

S1# show interfaces f0/1 switchport
Name: FaO/1
Switchport : Enabled
Administrative Mode : trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
<output omitted>
Administrative private—vlan trunk mappings: none
Operational private—vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2—1001
<output omitted>

Volgende voorbeel toont de voorbeelduitvoer de opdrachten die worden gebruikt om de trunk-functie te verwijderen van de F0/1-switchpoort op switch S1. Het show interfaces f0/1 switchport commando laat zien dat de F0/1 interface nu in statische toegangsmodus staat.

S1(config)# interface f0/1
S1(config—if)# switchport mode access                          
S1(config-if)# end

S1# show interfaces f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation Of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
<output omitted>

3.2.2.3. Trunkconfiguratie verifiëren

Volgend voorbeeld toont de configuratie van switchpoort F0/1 op switch S1. De configuratie wordt geverifieerd met de opdracht show interfaces interface-ID switchport.

S1(config)# interface f0/1
S1(config-if)# switchport mode trunk
S1(config—if)# switchport mode trunk native vlan
S1(config-if)# end

S1# show interfaces f0/1 switchport
Name: FaO/1
Switchport : Enabled
Administrative Mode : trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 99 (VLAN0099)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private—vlan host-association: none
Administrative private—vlan mapping: none
Administrative private—vlan trunk native VLAN: none
Administrative private—vlan trunk native VLAN tagging: enabled
Administrative private—vlan trunk encapsulation: dot1q
Administrative private—vlan trunk normal VLANs: none
Administrative private—vlan trunk associations: none
Administrative private—vlan trunk mappings: none
Operational private—vlan: none
Trunking VLANs Enabled: ALL                                           
Pruning VLANs Enabled: 2—1001
<output omitted>

Het bovenste gemarkeerde gebied geeft aan dat de beheermodus van poort F0/1 is ingesteld op trunk. De poort bevindt zich in de trunking-modus. Het volgende gemarkeerde gebied verifieert dat het native VLAN VLAN 99 is. Verderop in de uitvoer geeft het gemarkeerde gebied onderaan aan dat alle VLAN’s op de trunk zijn ingeschakeld.

3.2.3. Dynamic Trunking Protocol

3.2.3.1. Inleiding tot DTP

Ethernet-trunk-interfaces ondersteunen verschillende trunking-modi. Een interface kan worden ingesteld op trunking of nontrunking, of om te onderhandelen over trunking met de buurinterface. Trunk-onderhandeling wordt beheerd door het Dynamic Trunking Protocol (DTP), dat alleen op een point-to-point-basis werkt tussen netwerkapparaten.

DTP is een eigen protocol van Cisco dat automatisch wordt ingeschakeld op swithces uit de Catalyst 2960- en Catalyst 3560-serie. Switches van andere leveranciers ondersteunen geen DTP. DTP beheert de trunkonderhandeling alleen als de poort op de naburige switch is geconfigureerd in een trunkmodus die DTP ondersteunt.

Let op: Sommige internetapparaten kunnen DTP-frames niet goed doorsturen, wat tot verkeerde configuraties kan leiden. Om dit te voorkomen, schakelt u DTP uit op interfaces op een Cisco-switch die is aangesloten op apparaten die geen DTP ondersteunen.

De standaard DTP-configuratie voor Cisco Catalyst 2960- en 3560-switches is dynamisch automatisch, zoals weergegeven in de volgende afbeelding op interface F0/3 van switches S1 en S3.

Om trunking mogelijk te maken van een Cisco-switch naar een apparaat dat geen DTP ondersteunt, gebruikt u de commando’s switchport mode trunk en de switchport nonegotiate interface configuratiemodus. Dit zorgt ervoor dat de interface een trunk wordt, maar geen DTP-frames genereert.

In de voorgaande afbeelding wordt de verbinding tussen switches S1 en S2 een trunk omdat de F0/1-poorten op switches S1 en S2 zijn geconfigureerd om alle DTP-advertenties te negeren en om binnen te komen en in de trunkpoortmodus te blijven. De F0/3-poorten op switches S1 en S3 zijn ingesteld op dynamisch automatisch, dus de onderhandeling resulteert in de status toegangsmodus. Dit creëert een inactieve trunkverbinding. Bij het configureren van een poort om zich in de trunk-modus te bevinden, met behulp van het commando switchport mode trunk. Er is geen onduidelijkheid over de toestand waarin de trunk zich bevindt; het is altijd aan. Met deze configuratie is het gemakkelijk om te onthouden in welke staat de trunk-poorten zich bevinden; als de poort verondersteld wordt een trunk te zijn, wordt de modus ingesteld op trunk.

3.2.3.2. Onderhandelde interfacemodi

Ethernet-interfaces op Catalyst 2960- en Catalyst 3560-serie switches ondersteunen verschillende trunking-modi met behulp van DTP:

• switchport mode access – Zet de interface (toegangspoort) in permanente niet-actieve modus en onderhandelt om de link om te zetten in een niet-romp-link. De interface wordt een niet-rompinterface, ongeacht of de aangrenzende interface een trunkinterface is.
• switchport mode dynamic auto – Maakt de interface in staat om de link naar een trunklink te converteren. De interface wordt een trunkinterface als de aangrenzende interface is ingesteld op trunk- of gewenste modus. De standaard switchport-modus voor alle Ethernet-interfaces is dynamisch automatisch.
• switchport-mode dynamic desirable – Laat de interface actief proberen om de link naar een trunk-link te converteren. De interface wordt een trunk-interface als de aangrenzende interface is ingesteld op trunk-, wenselijke of automatische modus. Dit is de standaard switchport-modus op oudere switches, zoals de Catalyst 2950- en 3550-serie switches.
• switchport mode trunk – Zet de interface in permanente trunking-modus en onderhandelt om de aangrenzende link om te zetten in een trunk-link. De interface wordt een trunkinterface, zelfs als de aangrenzende interface geen trunkinterface is.
• switchport nonegotiate – Voorkomt dat de interface DTP-frames genereert. U kunt deze opdracht alleen gebruiken als de interface-switchpoortmodus access of trunk is. U moet de aangrenzende interface handmatig configureren als een trunkinterface om een ​​trunkverbinding tot stand te brengen.

Volgende tabel illustreert de resultaten van de DTP-configuratieopties aan tegenoverliggende uiteinden van een trunkverbinding die is aangesloten op de Catalyst 2960-switchpoorten.

Configureer trunk-links waar mogelijk statisch. De standaard DTP-modus is afhankelijk van de Cisco IOS-softwareversie en van het platform. Om de huidige DTP-modus te bepalen, voert u de opdracht show dtp interface uit, zoals weergegeven in het volgende voorbeeld.

S1# show dtp interface f0/1
DTP information for FastEthernet0/1:
  TOS/TAS/TNS:                              TRUNK/ON/TRUNK
  TOS/TAS/TNS:                              802.1Q/802.1Q/802.1Q
  Neighbor address 1:                       0CD99D23F81
  Neighbor address 2:                       00000000000
  Hello timer expiration (sec/state):       never/STOPPED
  Access timer expiration (sec/state):      never/STOPPED
  Negotiation timer expiration (sec/state): never/STOPPED
  FSM state:                                S6:TRUNK
  # times multi & trunk                     0
  Enabled:                                  yes
  In STP:                                   no
<output omitted>

Opmerking: een algemene best practice is om de interface in te stellen op trunk en niet te onderhandelen wanneer een trunkverbinding vereist is. Op links waar trunking niet bedoeld is, moet DTP worden uitgeschakeld.

3.2.4. Los problemen met VLAN’s en trunks op

3.2.4.1. IP-adresseringsproblemen met VLAN

Elk VLAN moet overeenkomen met een uniek IP-subnet. Als twee apparaten in hetzelfde VLAN verschillende subnetadressen hebben, kunnen ze niet communiceren. Dit is een veelvoorkomend probleem en het is gemakkelijk op te lossen door de onjuiste configuratie te identificeren en het subnetadres te wijzigen in het juiste.

In de volgende afbeelding kan PC1 geen verbinding maken met de weergegeven web-/TFTP-server.

Een controle van de IP-configuratie-instellingen van PC1 getoond in volgend voorbeel onthult de meest voorkomende fout bij het configureren van VLAN’s: een onjuist geconfigureerd IP-adres. PC1 is geconfigureerd met het IP-adres 172.172.10.21, maar het had moeten zijn geconfigureerd met 172.17.10.21.

PC1> ipconfig

IP Address......................: 172.172.10.21
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 0.0.0.0

PC1>

Het configuratiedialoogvenster van PC1 Fast Ethernet toont het bijgewerkte IP-adres 172.17.10.21. Het volgend voorbeeld laat de output aan de onderkant zien dat PC1 weer verbinding heeft met de Web / TFTP-server op IP-adres 172.17.10.30.

PC1> ping 192.17.10.30
Pinging 172.17.10.30 with 32 bytes of data:
Reply from 172.17.10.30: bytes=32 time=147ms TTL=128

3.2.4.2. Ontbrekende VLAN’s

Als er nog steeds geen verbinding is tussen apparaten in een VLAN, maar problemen met IP-adressering zijn uitgesloten, raadpleegt u het volgende stroomschema om problemen op te lossen:

Stap 1. Gebruik de opdracht show vlan om te controleren of de poort tot het verwachte VLAN behoort. Als de poort is toegewezen aan het verkeerde VLAN, gebruikt u de opdracht switchport access vlan om het VLAN-lidmaatschap te corrigeren. Gebruik de opdracht show mac address-table om te controleren welke adressen zijn geleerd op een bepaalde poort van de switch en aan welke VLAN die poort is toegewezen.

Stap 2. Als het VLAN waaraan de poort is toegewezen, wordt verwijderd, wordt de poort inactief. Gebruik de opdracht show vlan of show interfaces switchport.

Gebruik de opdracht show mac-address-table om de MAC-adrestabel weer te geven. Het volgende voorbeeld toont MAC-adressen die zijn geleerd op de F0/1-interface. Het is te zien dat MAC-adres 000c.296a.a21c is geleerd op interface F0/1 in VLAN 10. Als dit nummer niet het verwachte VLAN-nummer is, wijzig dan het poort-VLAN-lidmaatschap met behulp van de opdracht switchport access vlan.

S1# show mac address-table interface FastEthernet 0/1
        Mac Address Table
-------------------------------------------

Vlan  Mac Address       Type        Ports
----  -----------       --------    -----
10    000c.296a.a21c    DYNAMIC     Fa0/1
10    000f.34f9.9181    DYNAMIC     Fa0/1
Total Mac Addresses for this criterion: 2

Elke poort in een switch behoort tot een VLAN. Als het VLAN waartoe de poort behoort, wordt verwijderd, wordt de poort inactief. Alle poorten die behoren tot het VLAN dat is verwijderd, kunnen niet communiceren met de rest van het netwerk. Gebruik het show interface f0/1 switchport commando om te controleren of de poort inactief is. Als de poort inactief is, is deze niet functioneel totdat het ontbrekende VLAN is gemaakt met de opdracht vlan vlan_id.

S1# show interfaces FastEthernet O/1 switchport
Name: FaO/1
Switchport : Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (Inactive)                                         
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none

3.2.4.3. Inleiding tot probleemoplossing van trunks

Een veel voorkomende taak van een netwerkbeheerder is het oplossen van problemen met de vorming van trunk-verbindingen of links die zich onjuist gedragen als trunk-verbindingen. Soms gedraagt ​​een switchpoort zich als een trunk-poort, zelfs als deze niet is geconfigureerd als een trunk-poort. Een toegangspoort kan bijvoorbeeld frames accepteren van VLAN’s die verschillen van het VLAN waaraan deze is toegewezen. Dit wordt VLAN-lekken genoemd.

Volgende figuur toont een stroomschema met algemene richtlijnen voor het oplossen van problemen met de trunk.

Ga als volgt te werk om problemen op te lossen wanneer er geen trunk wordt gevormd of wanneer er VLAN-lekken optreden:

Stap 1. Gebruik de opdracht show interfaces trunk om te controleren of de lokale en peer-native VLAN’s overeenkomen. Als het native VLAN niet aan beide kanten overeenkomt, treedt VLAN-lek op.

Stap 2. Gebruik de opdracht show interfaces trunk om te controleren of er een trunk tot stand is gebracht tussen switches. Configureer indien mogelijk trunkverbindingen statisch. Cisco Catalyst-switchpoorten gebruiken standaard DTP en proberen een trunkverbinding tot stand te brengen.

Gebruik de opdracht show interfaces trunk om de status van de trunk weer te geven, het native VLAN dat op die trunk-link wordt gebruikt en om de trunk-totstandkoming te verifiëren. Het voorbeeld in afbeelding 2 laat zien dat het native VLAN aan de ene kant van de trunklink is gewijzigd in VLAN 2. Als het ene uiteinde van de trunk is geconfigureerd als native VLAN 99 en het andere uiteinde is geconfigureerd als native VLAN 2, wordt een frame verzonden vanaf VLAN 99 aan de ene kant wordt ontvangen op VLAN 2 aan de andere kant. VLAN 99 lekt in het VLAN 2-segment.

CDP geeft een melding weer van een native VLAN-mismatch op een trunk-link met dit bericht:

*Mar 1 06:45:26.232: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1 (2), with S2 FastEthernet0/1 (99).

Verbindingsproblemen treden op in het netwerk als er een native VLAN-mismatch bestaat. Gegevensverkeer voor VLAN’s, anders dan de twee geconfigureerde native VLAN’s, propageert met succes over de trunk-link, maar gegevens die aan een van de native VLAN’s zijn gekoppeld, worden niet met succes over de trunk-link doorgegeven.

Zoals weergegeven in het volgende voorbeeld, voorkomen problemen met native VLAN-mismatch de vorming van de trunk niet. Om de native VLAN-mismatch op te lossen, configureert u de native VLAN als dezelfde VLAN aan beide zijden van de link.

S1# show interfaces f0/1 trunk

Port       Mode     Encapsulation  Status     Native vlan
Fa0/1      auto     802.1q         Trunking   2

3.2.4.4. Veelvoorkomende problemen met trunks

Trunking-problemen worden meestal geassocieerd met onjuiste configuraties. Bij het configureren van VLAN’s en trunks op een geschakelde infrastructuur, komen de volgende soorten configuratiefouten het meest voor:

• Native VLAN-mismatches – Trunk-poorten zijn geconfigureerd met verschillende native VLAN’s. Deze configuratiefout genereert consolemeldingen en kan onder meer inter-VLAN-routeringsproblemen veroorzaken. Dit vormt een veiligheidsrisico.
• Trunk-modus komt niet overeen – Een trunk-poort is geconfigureerd in een modus die niet compatibel is voor trunking op de corresponderende peer-poort. Deze configuratiefout zorgt ervoor dat de trunkverbinding niet meer werkt.
• Toegestane VLAN’s op trunks – De lijst met toegestane VLAN’s op een trunk is niet bijgewerkt met de huidige VLAN-trunkingvereisten. In deze situatie wordt onverwacht verkeer of geen verkeer over de trunk gestuurd.

Als er een probleem met een trunk wordt ontdekt en de oorzaak onbekend is, begint u met het oplossen van problemen door de trunks te onderzoeken op een native VLAN-mismatch. Als dat niet de oorzaak is, controleer dan op mismatches in de trunk-modus en controleer ten slotte op de toegestane VLAN-lijst op de trunk. Op de volgende twee pagina’s wordt onderzocht hoe de veelvoorkomende problemen met trunks kunnen worden opgelost.

3.2.4.5. Trunk-modus komt niet overeen

Trunk-links worden normaal gesproken statisch geconfigureerd met de opdracht switchport mode trunk. Cisco Catalyst Switch trunk-poorten gebruiken DTP om de status van de link te onderhandelen. Wanneer een poort op een trunkverbinding is geconfigureerd met een trunkmodus die niet compatibel is met de aangrenzende trunk-poort, kan er geen trunkverbinding worden gevormd tussen de twee switches.

In het scenario geïllustreerd in voorgaande figuur, kan PC4 geen verbinding maken met de interne webserver. De topologie geeft een geldige configuratie aan. Waarom is er een probleem?

Controleer de status van de trunk-poorten op switch S1 met de opdracht show interfaces trunk. De output getoond in het volgnde voorbeeld laat zien dat interface Fa0/3 op switch S1 momenteel geen trunkverbinding is. Als je de F0/3-interface onderzoekt, blijkt dat de switch-poort zich in de dynamische automatische modus bevindt. Een onderzoek van de trunks op switch S3 onthult dat er geen actieve trunk-poorten zijn. Bij nadere controle blijkt dat de Fa0/3-interface zich ook in de dynamische automatische modus bevindt. Dit verklaart waarom de trunk down is.

Output from Switch S1
S1# show interfaces trunk
Port   Mode Encapsulation  Status    Native vlan
Fa0/1  on   802.1q         trunking  99
Port  Vlans allowed on trunk
Fa0/1 10,99
Port  Vlans allowed and active in managment domain
Fa0/1 10,99
S1# show interface f0/3 switchport
Name: Fa0/3
Swithport: Enabled
Administrative Mode: dynamic auto

Output from Switch S3
S3# show interfaces trunk

S3# show interface f0/3 switchport
Name: Fa0/3
Switchport: Enabled
Administrative Mode: dynamic auto

Om het probleem op te lossen, configureert u de trunk-modus van de F0/3-poorten op switches S1 en S3 opnieuw, zoals weergegeven in het volgende voorbeeld. Na de configuratiewijziging geeft de uitvoer van de opdracht show interfaces aan dat de poort op switch S1 nu in trunking is. modus. De uitvoer van PC4 geeft aan dat het weer verbinding heeft met de Web-/TFTP-server die is gevonden op IP-adres 172.17.10.30.

Output from Switch S1
S1# config terminal
S1(config)# interface f0/3
S1(config-if)# switchport mode trunk
S1(config-if)# end

S1# show interfaces f0/3 switchport
Name: Fa0/3
Swithport: Enabled
Administrative Mode: trunk

Output from Switch S3
S3# config terminal
S3(config)# interface f0/3
S3(config-if)# switchport mode trunk
S3(config-if)# end

S3# show interfaces f0/3 switchport

Output from Computer PC4
PC4> ping 192.17.10.30
Pinging 172.17.10.30 with 32 bytes of data:
Reply from 172.17.10.30: bytes=32 time=147ms TTL=128
...

3.2.4.6. Onjuiste VLAN-lijst

Om verkeer van een VLAN over een trunk te verzenden, moet het op de trunk zijn toegestaan. Om dit te doen, gebruikt u de switchport trunk toegestaan ​​vlan vlan-id commando.

In voorgaande figuur zijn VLAN 20 (Student) en PC5 aan het netwerk toegevoegd. De documentatie is bijgewerkt om aan te tonen dat de VLAN’s die zijn toegestaan ​​op de trunk 10, 20 en 99 zijn. In dit scenario kan PC5 geen verbinding maken met de e-mailserver van de student.

Controleer de trunk-poorten op switch S1 met behulp van de show interfaces trunk-opdracht zoals weergegeven in het volgende voorbeeld. De opdracht onthult dat de interface F0/3 op switch S3 correct is geconfigureerd om VLAN’s 10, 20 en 99 toe te staan. Een onderzoek van de F0/3-interface op switch S1 onthult dat de interfaces F0/1 en F0/3 alleen VLAN’s 10 en 99 toestaan. Iemand heeft de documentatie bijgewerkt, maar vergat de poorten op de S1-switch opnieuw te configureren.

Output from Switch S3
S3# show interfaces trunk
Port   Mode Encapsulation  Status    Native vlan
Fa0/3  on   802.1q         trunking  99
Port  Vlans allowed on trunk
Fa0/3 10,20,99
Port  Vlans allowed and active in managment domain
Fa0/3 10,20,99
Port  Vlans in spanning tree forwarding state and not pruned
Fa0/3 10,20,99
 

Output from Switch S1
S3# show interfaces trunk
Port        Mode    Encapsulation  Status    Native vlan
Fa0/1       on        802.1q       trunking      99
Fa0/3       on        802.1q       trunking      99
Port        Vlans allowed on trunk
Fa0/1       10,99
Fa0/3       10,99

Configureer F0/1 en F0/3 op switch S1 opnieuw met behulp van de switchport trunk allowed ​​vlan 10,20,99-commando zoals weergegeven in het volgende voorbeeld. De uitvoer laat zien dat VLAN’s 10, 20 en 99 nu zijn toegevoegd aan de F0/1 en F0/3 poorten op switch S1. Het commando show interfaces trunk is een uitstekend hulpmiddel om veelvoorkomende problemen met trunking te onthullen. PC5 heeft weer verbinding met de e-mailserver voor studenten die is gevonden op IP-adres 172.17.20.10.

Output from Switch S1
S1# config terminal
S1(config)# interface f0/1
S1(config-if)# switchport trunk allowed vlan 10,20,99
S1(config)# interface f0/3
S1(config-if)# switchport trunk allowed vlan 10,20,99
S1(config-if)# end

S1# show interfaces trunk
Port        Mode    Encapsulation  Status    Native vlan
Fa0/1       on        802.1q       trunking      99
Fa0/3       on        802.1q       trunking      99
Port        Vlans allowed on trunk
Fa0/1       10,20,99
Fa0/ 10,20,99                                                  

Output from Computer PC5
PC5> ping 192.17.20.10
Pinging 172.17.20.10 with 32 bytes of data:
Reply from 172.17.20.10: bytes=32 time=147ms TTL=128
...

3.3. VLAN ontwerp en beveiliging

3.3.1. Aanvallen op VLAN’s

3.3.1.1. Switch spoofing-aanval

Er zijn een aantal verschillende soorten VLAN-aanvallen in moderne geschakelde netwerken. De VLAN-architectuur vereenvoudigt het netwerkonderhoud en verbetert de prestaties, maar opent ook de deur voor misbruik. Het is belangrijk om de algemene methodologie achter deze aanvallen te begrijpen en de belangrijkste benaderingen om ze te verminderen.

Met VLAN-hopping kan verkeer van het ene VLAN worden gezien door een ander VLAN. Switch-spoofing is een type VLAN-hopping-aanval die werkt door gebruik te maken van een onjuist geconfigureerde trunk-poort. Standaard hebben trunk-poorten toegang tot alle VLAN’s en geven ze verkeer voor meerdere VLAN’s door over dezelfde fysieke link, meestal tussen switches.

Bij een standaard switch-spoofing-aanval profiteert de aanvaller van het feit dat de standaardconfiguratie van de switchpoort dynamisch automatisch is. De netwerkaanvaller configureert een systeem om zichzelf als switch te vervalsen. Deze spoofing vereist dat de netwerkaanvaller 802.1Q- en DTP-berichten kan emuleren. Door een switch te laten denken dat een andere switch probeert een trunk te vormen, kan een aanvaller toegang krijgen tot alle VLAN’s die op de trunk-poort zijn toegestaan.

De beste manier om een ​​standaard spoofing-aanval op een switch te voorkomen, is door trunking op alle poorten uit te schakelen, behalve de poorten die specifiek trunking vereisen. Schakel op de vereiste trunking-poorten DTP uit en schakel handmatig trunking in.

3.3.1.2. Double-tagging-aanval

Een ander type VLAN-aanval is een double-tagging (of dubbel ingekapselde) VLAN-hopping-aanval. Dit type aanval maakt gebruik van de manier waarop hardware op de meeste switches werkt. De meeste switches voeren slechts één niveau van 802.1Q-de-encapsulatie uit, waardoor een aanvaller een verborgen 802.1Q-tag in het frame kan insluiten. Met deze tag kan het frame worden doorgestuurd naar een VLAN dat niet is gespecificeerd in de oorspronkelijke 802.1Q-tag. Een belangrijk kenmerk van de dubbel ingekapselde VLAN-hopping-aanval is dat deze zelfs werkt als trunk-poorten zijn uitgeschakeld, omdat een host doorgaans een frame verzendt op een segment dat geen trunk-link is.

Een VLAN-hopping-aanval met dubbele tag volgt drie stappen:

1. De aanvaller stuurt een 802.1Q-frame met dubbele tag naar de switch. De buitenste header heeft de VLAN-tag van de aanvaller, die hetzelfde is als de native VLAN van de trunk-poort. De aanname is dat de switch het van de aanvaller ontvangen frame verwerkt alsof het zich op een trunk-poort of een poort met een spraak-VLAN bevindt (een switch mag geen getagd Ethernet-frame op een toegangspoort ontvangen). Veronderstel in dit voorbeeld dat het oorspronkelijke VLAN VLAN 10 is. De binnenste tag is het slachtoffer-VLAN; in dit geval VLAN 20.
2. Het frame komt aan op de switch, die kijkt naar de eerste 4-byte 802.1Q-tag. De switch ziet dat het frame bestemd is voor VLAN 10, het native VLAN. De switch stuurt het pakket door naar alle VLAN 10-poorten na het strippen van de VLAN 10-tag. Op de trunk-poort wordt de VLAN 10-tag gestript en wordt het pakket niet opnieuw getagd omdat het deel uitmaakt van het native VLAN. Op dit moment is de VLAN 20-tag nog intact en is deze niet geïnspecteerd door de eerste switch.
3. De tweede switch kijkt alleen naar de binnenste 802.1Q-tag die de aanvaller heeft verzonden en ziet dat het frame bestemd is voor VLAN 20, het doel-VLAN. De tweede switch stuurt het frame naar de slachtofferpoort of overstroomt het, afhankelijk van of er een bestaande MAC-adrestabel is voor de slachtofferhost.

Dit type aanval is unidirectioneel en werkt alleen als de aanvaller is verbonden met een poort die zich in hetzelfde VLAN bevindt als het native VLAN van de trunk-poort. Het tegengaan van dit type aanval is niet zo eenvoudig als het stoppen van eenvoudige VLAN-hopping-aanvallen.

De beste benadering om aanvallen met dubbele tags te beperken, is ervoor te zorgen dat het native VLAN van de trunk-poorten verschilt van het VLAN van alle gebruikerspoorten. In feite wordt het als een best practice voor beveiliging beschouwd om een ​​vast VLAN te gebruiken dat verschilt van alle gebruikers-VLAN’s in het geschakelde netwerk als het native VLAN voor alle 802.1Q-trunks.

3.3.1.3. PVLAN Edge

Sommige toepassingen vereisen dat er geen verkeer wordt doorgestuurd op laag 2 tussen poorten op dezelfde switch, zodat de ene buur het verkeer dat door een andere buur wordt gegenereerd niet ziet. In een dergelijke omgeving zorgt het gebruik van de Private VLAN (PVLAN) Edge-functie, ook wel beschermde poorten genoemd, ervoor dat er geen uitwisseling van unicast-, broadcast- of multicast-verkeer tussen deze poorten op de switch plaatsvindt (Figuur 1).

De PVLAN Edge-functie heeft de volgende kenmerken:

• Een beveiligde poort stuurt geen verkeer (unicast, multicast of broadcast) door naar een andere poort die ook een beveiligde poort is, met uitzondering van controleverkeer. Dataverkeer kan niet worden doorgestuurd tussen beschermde poorten op Layer 2.
• Het doorstuurgedrag tussen een beschermde poort en een niet-beschermde poort verloopt zoals gewoonlijk.
• Beveiligde poorten moeten handmatig worden geconfigureerd.

Om de PVLAN Edge-functie te configureren, voert u de opdracht switchport protected uit in de interfaceconfiguratiemodus. Om de beveiligde poort uit te schakelen, gebruikt u de opdracht voor configuratiemodus no switchpoort ptoected interface. Om de configuratie van de PVLAN Edge-functie te controleren, gebruikt u de opdracht show interfaces interface-id switchport privileged EXEC mode.

S1(config)# interface g0/1
S1(config-if)# switchport protected
S1(condig-if)# end

S1# show interfaces g0/1 switchport
Name: GiO/1
Switchport : Enabled
Administrative Mode: dynamic auto
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiating of Trunking: On
Access Mode VLAN: 1 (default)                                         
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
<output omitted>

Protected: true
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none

3.3.2. Ontwerp best practices voor VLAN’s

3.3.2.1. VLAN-ontwerprichtlijnen

Cisco-switches hebben een fabrieksconfiguratie waarin standaard VLAN’s vooraf zijn geconfigureerd om verschillende media- en protocoltypen te ondersteunen. Het standaard Ethernet VLAN is VLAN 1. Het is een best practice om alle poorten op alle switches te configureren om te worden geassocieerd met andere VLAN’s dan VLAN 1. Dit wordt meestal gedaan door alle ongebruikte poorten te configureren naar een zwart gat VLAN dat niet wordt gebruikt voor alles op het netwerk. Alle gebruikte poorten zijn geassocieerd met VLAN’s die verschillen van VLAN 1 en onderscheiden van het zwarte gat VLAN. Het is ook een goede gewoonte om ongebruikte switchpoorten af ​​te sluiten om ongeoorloofde toegang te voorkomen.

Een goede beveiligingspraktijk is het scheiden van beheer en gebruikersdataverkeer. Het beheer-VLAN, dat standaard VLAN 1 is, moet worden gewijzigd in een afzonderlijk, afzonderlijk VLAN. Om op afstand te communiceren met een Cisco-switch voor beheerdoeleinden, moet de switch een IP-adres hebben dat is geconfigureerd op het beheer-VLAN. Gebruikers in andere VLAN’s zouden geen RAS-sessies tot de switch kunnen maken, tenzij ze naar het beheer-VLAN werden gerouteerd, wat een extra beveiligingslaag biedt. De switch moet ook worden geconfigureerd om alleen gecodeerde SSH-sessies voor extern beheer te accepteren.

Al het controleverkeer wordt op VLAN 1 verzonden. Daarom, wanneer het native VLAN wordt gewijzigd in iets anders dan VLAN 1, wordt al het controleverkeer getagd op IEEE 802.1Q VLAN-trunks (getagd met VLAN ID 1). Een aanbevolen beveiligingspraktijk is om de native VLAN te wijzigen in een andere VLAN dan VLAN 1. De native VLAN moet ook verschillen van alle gebruikers-VLAN’s. Zorg ervoor dat het native VLAN voor een 802.1Q-trunk hetzelfde is aan beide uiteinden van de trunk-link.

DTP biedt vier switchpoortmodi: toegang, trunk, dynamisch automatisch en dynamisch wenselijk. Een algemene richtlijn is om automatische onderhandeling uit te schakelen. Gebruik als best practice voor poortbeveiliging niet de dynamische automatische of dynamische gewenste switchpoortmodi.

Ten slotte heeft spraakverkeer strikte QoS-vereisten. Als gebruikers-pc’s en IP-telefoons zich op hetzelfde VLAN bevinden, probeert elk de beschikbare bandbreedte te gebruiken zonder rekening te houden met het andere apparaat. Om dit conflict te vermijden, is het een goede gewoonte om aparte VLAN’s te gebruiken voor IP-telefonie en dataverkeer.

3.4. Samenvatting

Dit hoofdstuk introduceerde VLANS. VLAN’s zijn gebaseerd op logische verbindingen in plaats van fysieke verbindingen. VLAN’s zijn een mechanisme waarmee netwerkbeheerders logische broadcastdomeinen kunnen maken die zich kunnen uitstrekken over een enkele switch of meerdere switches, ongeacht de fysieke nabijheid. Deze functie is handig om de omvang van broadcastdomeinen te verkleinen of om groepen of gebruikers logisch te groeperen zonder dat ze zich fysiek op dezelfde plaats hoeven te bevinden.

Er zijn verschillende soorten VLAN’s:

• Standaard VLAN
• Management VLAN
• Native VLAN
• Gebruiker/Data-VLAN’s
• Black Hole VLAN
• Voice VLAN

Op een Cisco-switch is VLAN 1 het standaard Ethernet VLAN, het standaard native VLAN en het standaard beheer-VLAN. Best practices suggereren dat de native en management-VLAN’s worden verplaatst naar een ander afzonderlijk VLAN en dat ongebruikte switchpoorten worden verplaatst naar een “zwart gat” VLAN voor een betere beveiliging.

De switchport access vlan-opdracht wordt gebruikt om een ​​VLAN op een switch te maken. Nadat u een VLAN hebt gemaakt, is de volgende stap het toewijzen van poorten aan het VLAN. De opdracht show vlan brief geeft de VLAN-toewijzing en het lidmaatschapstype weer voor alle switchpoorten. Elk VLAN moet overeenkomen met een uniek IP-subnet.

Gebruik de opdracht show vlan om te controleren of de poort tot het verwachte VLAN behoort. Als de poort is toegewezen aan het verkeerde VLAN, gebruikt u de opdracht switchport access vlan om het VLAN-lidmaatschap te corrigeren. Gebruik de opdracht show mac address-table om te controleren welke adressen zijn geleerd op een bepaalde poort van de switch en aan welke VLAN die poort is toegewezen.

Een poort op een switch is een toegangspoort of een trunk-poort. Toegangspoorten dragen verkeer van een specifiek VLAN dat aan de poort is toegewezen. Een trunk-poort is standaard lid van alle VLAN’s; daarom draagt ​​het verkeer voor alle VLAN’s.

VLAN-trunks vergemakkelijken de communicatie tussen schakelaars door verkeer te vervoeren dat is gekoppeld aan meerdere VLAN’s. IEEE 802.1Q-frametagging maakt onderscheid tussen Ethernet-frames die zijn gekoppeld aan verschillende VLAN’s terwijl ze gemeenschappelijke trunkverbindingen doorlopen. Om trunk-links in te schakelen, gebruikt u de opdracht switchport mode trunk. Gebruik de opdracht show interfaces trunk om te controleren of er een trunk tot stand is gebracht tussen switches.

Trunk-onderhandeling wordt beheerd door het Dynamic Trunking Protocol (DTP), dat alleen op een point-to-point-basis werkt tussen netwerkapparaten. DTP is een eigen protocol van Cisco dat automatisch wordt ingeschakeld op schakelaars uit de Catalyst 2960- en Catalyst 3560-serie.

Om een ​​switch in de fabrieksinstellingen te plaatsen met 1 standaard VLAN, gebruik je de commando’s delete flash: vlan.dat en delete startup-config.

Dit hoofdstuk behandelde ook de configuratie, verificatie en probleemoplossing van VLAN’s en trunks met behulp van de Cisco IOS CLI en behandelde elementaire beveiligings- en ontwerpoverwegingen in de context van VLAN’s.