|
|
@@ -246,19 +246,36 @@ Beispiel:
|
|
|
Durch Abzählen verlorener PING-Pakete kann die bei den obigen Änderungen jeweils benötigte RSTP-Konvergenzzeit gemessen werden.
|
|
|
|
|
|
## 4.4 VLANs (getrennte Layer 2 Netze auf einer Infrastruktur)
|
|
|
-VLAN steht für Virtual Local Area Network und werden auf einem Switch konfiguriert. Der Einsatz von VLANs ermöglicht es, einem physikalischen Switch in mehrere virtuelle Switches aufzuteilen. Die Kommunikation der angeschlossenen Geräte beschränkt sich auf das ihnen zugewiesene VLAN.
|
|
|
-Die Vorteile eines VLANs besteht darin, dass eine erhöhte Sicherheit durch die Trennung der Netze erfolgt und dies durch den Einsatz eines einzigen Switches ermöglicht wird.
|
|
|
-Es gibt verschiedene Arten von VLANs, die im Folgenden kurz aufgezeigt werden:
|
|
|
|
|
|
-### 4.4.1 VLAN-Typen
|
|
|
-- **Portbasierte VLANs**
|
|
|
- Einzelne Ports des Switches werden einem VLAN zugewiesen. Somit ist auf einem physikalischen Switch die Konfiguration verschiedener virtueller Switches möglich, indem verschiedene Ports in ein VLAN gelegt werden.
|
|
|
-- **Tagged VLANs**
|
|
|
- Tagged bedeutet, dass dem zu versendenden Datenpaket ein Tag hinzugefügt wird, das VLAN Tag, welches es dem Switch ermöglicht zu erkennen, welchem virtuellem Netz das empfangene Datenpaket angehört. Somit kann der Switch entscheiden, an welche Ports diese Pakete gesendet werden. Hierbei besteht der Vorteil darin, dass sich VLANs über mehrere Switches erstrecken können und nicht nur auf einen Switch beschränkt ist.
|
|
|
+VLAN steht für Virtual Local Area Network. Diese Technik wird benutzt, um ein physisches Layer 2 Netz, das aus materiellen Switches und Kabeln besteht, in mehrere virtuelle Layer 2 Netze (VLANs) aufzuteilen. Der Vorteil: Es müssen nicht für verschiedene Nutzungsarten bzw. NutzerInnengruppen separate physische Infrastrukturen aufgebaut werden, sondern eine reicht.
|
|
|
|
|
|
-VLAN-IDs gehen von 1-4094. VLAN 1 wird üblicherweise als Default-VLAN verwendet, d.h. wenn noch nichts anderweitig konfiguriert ist, dann wird ein ungetaggeter Frame so verarbeitet, als wäre er im VLAN 1.
|
|
|
+Dies ist zB dort ein Vorteil für den Freifunk, wo Menschen oder Organisationen, die für den Freifunk Infrastruktur zur Verfügung stellen, möchten, dass ihr eigenes (Layer 2) Netz von der des Freifunks sicher getrennt ist. Das gilt übrigens nicht nur für kabelbasierte Ethernets, sondern auch im Richtfunk, wo der große Aufwand für das Errichten von Richtfunkstrecken eine möglichst vielseitige (und doch geordnete) Nutzung derselben wünschenswert macht.
|
|
|
|
|
|
-### 4.4.2 Konfiguration
|
|
|
+### 4.4.1 VLAN tag und VLAN ID
|
|
|
+
|
|
|
+Die wundersame Vermehrung eines LANs in mehrere VLANs geschieht durch einen einfachen Kniff: jedem Frame wird eine Markierung ("tag") hinzugefügt, in der sich die Kennung (VLAN ID) eines virtuellen Layer 2 Netzes befindet. S. das rote Feld "(VLAN-tag)" im Schema eines Ethernet-Frames [oben](#frame-format). Und weil Frames beim Switching nicht verändert werden (anders als IP Pakete beim Routing auf Layer 3, s.o. das Schleifenproblem), bleibt ein Frame immer in "seinem" VLAN.
|
|
|
+
|
|
|
+Die Aufteilung der physischen Infrastruktur in VLANs geschieht durch entsprechende Konfiguration der beteiligten Switches. Dabei ist für jeden Port eines Switches Folgendes festzulegen:
|
|
|
+
|
|
|
+1. An welchen VLANs ist der Port beteiligt? Nur Frames mit einer dazu passenden VLAN ID werden auf diesem Port gesendet bzw. empfangen und weiterverarbeitet.
|
|
|
+2. Welches VLAN wird für untagged Frames verwendet, die auf dem Port empfangen werden bzw. zu senden sind?
|
|
|
+
|
|
|
+Je nach Verwendung von tagged und/oder untagged Frames unterscheidet man drei Port-Typen:
|
|
|
+
|
|
|
+- access. Entspricht einem "klassischen" LAN Port, d.h. nur untagged Frames.
|
|
|
+- trunk. Nur tagged Frames. Wird insb. für Verbindungen zwischen VLAN-Switches benutzt.
|
|
|
+- general. Sowohl tagged wie auch untagged Frames.
|
|
|
+
|
|
|
+Mehr dazu weiter unten: [VLANs konfigurieren](#vlans-konfigurieren).
|
|
|
+
|
|
|
+Noch wichtig zu wissen:
|
|
|
+
|
|
|
+- Als VLAN-IDs sind die Zahlen von 1 bis 4094 zulässig. (Sehr alte VLAN-Switches können bisweilen nur IDs bis 255 oder 1000.)
|
|
|
+- VLAN 1 wird üblicherweise als Default-VLAN verwendet, d.h. wenn noch nichts anderweitig konfiguriert ist, dann wird ein untagged Frame so verarbeitet, als wäre er im VLAN 1.
|
|
|
+- Anders als Switching Hubs, die "auf Durchzug geschaltet" sein müssen, weil sie nicht konfiguriert werden können, sind konfigurierbare Switches (zumindest die in diesem Workshop verwendeten) ab Werk ohne VLAN-Konfiguration, was praktisch bedeutet, dass sie tagged Frames ignorieren! Untagged Frames hingegen werden, wie im vorigen Punkt beschrieben, dem VLAN 1 zugeordnet und daher zwischen allen Ports geswitcht, wie bei einem "einfachen" Switch.
|
|
|
+- Auch WLAN Frames (IEEE 802.11) können einen VLAN tag enthalten. Dies ermöglicht die Nutzung einer Richtfunkstrecke "wie ein Kabel" zwischen zwei Switches.
|
|
|
+
|
|
|
+### 4.4.2 Wie werden VLANs konfiguriert?
|
|
|
|
|
|
Diesen Abschnitt erstmal lesen und verstehen, fürs Ausprobieren folgen weiter unten Übungen.
|
|
|
|
|
|
@@ -287,7 +304,7 @@ Damit ein konfigurierbarer Switch Teil eines VLAN wird, muss ihm zunächst diese
|
|
|
#
|
|
|
[...]
|
|
|
|
|
|
-Nun kann man die Ports des Switches konfigurieren, die Teil des VLANs werden sollen, weil die dort anzuschließenden Geräte Teil des VLANs (= virtuellen Switches) werden sollen.
|
|
|
+Nun kann man die Ports des Switches konfigurieren, die Teil des VLANs werden sollen, weil die dort anzuschließenden Geräte Teil des VLANs (= virtuellen Switches) werden sollen.
|
|
|
|
|
|
Zunächst ein "access"-Port (s.o. "portbasiert", s.u. `switchport mode`):
|
|
|
|
|
|
@@ -345,7 +362,7 @@ Nun ein "trunk"-Port für alle "tagged VLANs", oder besser gleich mehrere solche
|
|
|
|
|
|
Die description der Ports muss man individuell (d.h. je Port, nicht per `interface range`) konfigurieren.
|
|
|
|
|
|
-Gründlicherweise sollte man auch auf jedem "trunk"-Port ein anderes dummy-VLAN als PVID (= VLAN ID für ungetagged auf dem Port hereinkommende Frames) setzen (`switchport pvid`), s. dazu die ausführlichen (unten verlinkten) Switchkonfigurationen.
|
|
|
+Gründlicherweise sollte man auch auf jedem "trunk"-Port ein anderes dummy-VLAN als PVID (= VLAN ID für untagged auf dem Port hereinkommende Frames) setzen (`switchport pvid`), s. dazu die ausführlichen (unten verlinkten) Switchkonfigurationen.
|
|
|
|
|
|
## 4.5 VLANs planen
|
|
|
|
|
|
@@ -371,15 +388,15 @@ Als Beispiel für das Ergebnis einer VLAN-Planung gibt es das Diagramm der Layer
|
|
|
|
|
|
Auf jedem Switchport (interface) werden genau die VLANs freigeschaltet, in denen sich das dort angeschlossene Gerät laut Plan befindet.
|
|
|
|
|
|
-1. Kann das Gerät keine VLAN-tags verarbeiten, dann muss der Switchport, an dem das Gerät angeschlossen wird, die zum entsprechenden VLAN gehörigen Ethernet-Frames ungetagged an das Gerät aussenden und umgekehrt ungetagged empfangene Frames in dieses VLAN empfangen.
|
|
|
+1. Kann das Gerät keine VLAN-tags verarbeiten, dann muss der Switchport, an dem das Gerät angeschlossen wird, die zum entsprechenden VLAN gehörigen Ethernet-Frames untagged an das Gerät aussenden und umgekehrt untagged empfangene Frames in dieses VLAN empfangen.
|
|
|
|
|
|
-2. Für Verbindungen zwischen Switches und zu VLAN-fähigen Router werden die benötigten VLANs getagged übertragen (und die Switchports entsprechend konfiguriert).
|
|
|
+2. Für Verbindungen zwischen Switches und zu VLAN-fähigen Routern werden die benötigten VLANs tagged übertragen (und die Switchports entsprechend konfiguriert).
|
|
|
|
|
|
-3. Auch die Mischform kann nützlich sein, d.h. dass es sowohl ein ungetaggedes VLAN als auch (ggf. mehrere) getaggede VLANs auf einem Switchport gibt.
|
|
|
+3. Auch die Mischform kann nützlich sein, d.h. dass es sowohl ein untagged VLAN als auch tagged VLANs auf einem Switchport gibt.
|
|
|
|
|
|
- Dann können gleichzeitig sowohl "einfache" als auch VLAN-fähige Geräte am selben Switchport hängen (etwa mit Hilfe eines Switching-Hub).
|
|
|
|
|
|
- - Beispiel Richtfunk: die Richtfunk-Antennen sind als transparente Brigde konfiguriert, die selbst nichts von VLANs weiß, aber getaggede Frames durchlässt. Das Management-VLAN liegt daher ungetagged auf den Switchports Richtung Antenne, sodass die Antenne ihre Management-IP auf das Bridgeinterface konfigurieren kann. Bei Änderungen an den Nutz-VLANs im Richtfunknetz müssen die Antennen daher nicht mehr angefasst werden.
|
|
|
+ - Beispiel Richtfunk: die Richtfunk-Antennen sind als transparente Brigde konfiguriert, die selbst nichts von VLANs weiß, aber tagged Frames durchlässt. Das Management-VLAN liegt daher untagged auf den Switchports Richtung Antenne, sodass die Antenne ihre Management-IP auf das Bridgeinterface konfigurieren kann. Bei Änderungen an den Nutz-VLANs im Richtfunknetz müssen die Antennen daher nicht mehr angefasst werden.
|
|
|
|
|
|
Die Firmware der "besseren" TP-Link Switches (TL-SG3...) kennt entsprechend zu den obigen 3 Methoden auch 3 `switchport mode` Varianten (access, trunk, general). Die TL-SG2... kennen nur `switchport mode general`, aber weil das der allgemeine Fall ist, kommt man damit aus (nur dass die Konfig ggf. weniger hübsch ist).
|
|
|
|
|
|
@@ -388,7 +405,7 @@ Die Firmware der "besseren" TP-Link Switches (TL-SG3...) kennt entsprechend zu d
|
|
|
Seit dem 2. Teil des Workshops gibt's im Café Aufbruch zwei konfigurierbare Switches und fünf VLANs. Die Switch-Konfigurationen sind auf der [Projektseite](/Community/Projekte/Cafe_Aufbruch) verlinkt.
|
|
|
Versuche, die Beschreibung auf der Projektseite zu verstehen und dann anhand der Switchkonfigurationen folgende Fragen zu beantworten:
|
|
|
|
|
|
-- Auf welchen Switchports liegt VLAN 252 auf? Getagged oder ungetagged? Warum?
|
|
|
+- Auf welchen Switchports liegt VLAN 252 auf? Tagged oder untagged? Warum?
|
|
|
- Und wie sieht's mit VLAN 2010 aus? ...
|
|
|
|
|
|
### 4.6.2 Übung (VLAN Konfiguration erstellen)
|
|
|
@@ -398,7 +415,7 @@ Konfiguriere (D)einen Switch so,
|
|
|
- dass er im Management-VLAN erreichbar ist,
|
|
|
- dass er an Port 7 von CA-sw2 sinnvoll angeschlossen werden kann,
|
|
|
- (mindestens) ein weiterer lokaler Port genauso konfiguriert ist wie Port 7 von CA-sw2 (um weitere Switche anzuschließen),
|
|
|
-- jedes VLAN an mindestens einem lokalen Port anliegt, und zwar untagged (außer VLAN 3007, das sollte immer getagged anliegen).
|
|
|
+- jedes VLAN an mindestens einem lokalen Port anliegt, und zwar untagged (außer VLAN 3007, das sollte immer tagged anliegen).
|
|
|
|
|
|
## 4.7 MSTP (Redundanz ohne Linkabschaltung)
|
|
|
|
|
|
@@ -434,16 +451,3 @@ Dann MSTP:
|
|
|
|
|
|
- [Flüchlingsunterkunft](/Community/Projekte/Braunschweiger_31-33) und andere [Standorte am Richtfunknetz](/Technik/Richtfunk/Standorte/). "Echte" Switchkonfigurationen aus diesem Richtfunknetz gibt's im Ordner [Gerätekonfiguration](Geraetekonfiguration/).
|
|
|
- [Café Aufbruch](/Community/Projekte/Cafe_Aufbruch), incl. links zu Switchkonfigurationen.
|
|
|
-
|
|
|
-
|
|
|
-# Anhang A Stichwortverzeichnis
|
|
|
-
|
|
|
-STP:
|
|
|
-
|
|
|
-RSTP:
|
|
|
-
|
|
|
-MSTP:
|
|
|
-
|
|
|
-VLAN:
|
|
|
-
|
|
|
-WAN:
|
