kopfload - Lad Dein Hirn auf!

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: start » lager » lok_netze » vlan_labor
Zuletzt angesehen: mathe
lager:lok_netze:vlan_labor

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
lager:lok_netze:vlan_labor [2014/02/12 07:49] richardlager:lok_netze:vlan_labor [2025/11/19 16:15] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
-~~DISCUSSION|Ergänzungen~~+~~DISCUSSION:closed|Ergänzungen~~
 ====== Laborübung zu VLAN ====== ====== Laborübung zu VLAN ======
  
-Erstellen Sie ein VLAN basiertes Netzwerk. Das Netzwerk soll aus drei verschiedenen VLAN bestehen. Jede Gruppe administriert einen Switch und arbeitet mit 3-4 Client-PCs.\\+===== Einführung und Vorbereitung ===== 
 +==== Ziel ==== 
 +Es soll die Auswirkung von VLAN auf die Kommunikation untersucht werden. Dabei soll u.a. das 802.1q Protokoll untersucht werden. Das Netzwerk soll aus drei verschiedenen VLAN bestehen. Jede Gruppe administriert einen Switch und arbeitet mit 3-4 Client-PCs. 
 + 
 +==== Vorbereitung ==== 
 +Um auf den Switches VLAN konfigurieren zu können, wird entweder das Webfront verwendet oder die CLI **(Die Befehle finden Sie  
 +in der [[lager:lok_netze:stp_labor|Spanning Tree Übung]])**. 
 **ACHTUNG:** ''VLAN1'' ist das Default-VLAN auf den 3Com 5500, in dem standardmäßig alle Ports liegen. Nur Ports in ''VLAN1'' können auf das Web-Interface und die ''CLI''((CLI: **C**ommand **L**ine **I**nterface)) zugreifen! Sobald ein Port in ein anderes VLAN konfiguriert wird (untagged), wird dieser aus dem ''VLAN1'' entfernt und der Zugriff auf die Konfiguration ist nicht mehr möglich! **ACHTUNG:** ''VLAN1'' ist das Default-VLAN auf den 3Com 5500, in dem standardmäßig alle Ports liegen. Nur Ports in ''VLAN1'' können auf das Web-Interface und die ''CLI''((CLI: **C**ommand **L**ine **I**nterface)) zugreifen! Sobald ein Port in ein anderes VLAN konfiguriert wird (untagged), wird dieser aus dem ''VLAN1'' entfernt und der Zugriff auf die Konfiguration ist nicht mehr möglich!
  
-Die PCs benötigen folgende Konfiguration:+Die PCs sollten mit folgender Konfiguration eingerichtet sein:
 ^PC ^ IP Adresse/Subnetzmaske ^ VLAN-ID ^ Bemerkung ^ ^PC ^ IP Adresse/Subnetzmaske ^ VLAN-ID ^ Bemerkung ^
 | 1 | 192.168.XX.100+Platznummer/255.255.255.0 | 1 | zur Konfiguration des Switches | | 1 | 192.168.XX.100+Platznummer/255.255.255.0 | 1 | zur Konfiguration des Switches |
-| 2 | 10.1.0.100+Platznummer/255.0.0.0 | 2 | | +| 2 | 192.168.XX.100+Platznummer/255.255.255.0 | 2 | Rechner in VLAN 2 
-| 3 | 10.1.0.100+Platznummer/255.0.0.0 | 3 | |+| 3 | 192.168.XX.100+Platznummer/255.255.255.0 | 3 | Rechner in VLAN 3| 
 +Hinweis: XX steht für das jeweilige Raumnetz.
  
-XX steht für das jeweilige Raumnetz.+IP-Adressen der gelben Schnittstellen in den beiden Räumen:
 ^ Raum ^ Subnetz ^ ^ Raum ^ Subnetz ^
 | G216 | 192.168.**33**.0/24 | | G216 | 192.168.**33**.0/24 |
 | W610 | 192.168.**65**.0/24 | | W610 | 192.168.**65**.0/24 |
  
 +Falls Sie die IP-Adressen ändern möchten ist Folgendes zu beachten:
 +Die Standardkonfiguration der Schnittstellen ((vgl. ''Ifupdown'' bei den Netzwerkverbindungen)) lassen sich im Netzwerkmanager **NICHT** ändern. Durch Hinzufügen einer neuen ''Netzwerkverbindung'' kann man die gewünschte Konfiguration herbeiführen. Wie das funktioniert ist [[network:labornutzung#netzwerkmanager| HIER]] erklärt.
  
-1. Konfigurieren Sie im ersten Arbeitsschritt nur die PCs. Vergeben Sie die entsprechende IP-Adresse der Netzwerkkarte mit dem Intel-Chipsatz (meistens die Karte mit dem gelben Kabel).+**Fertigen Sie eine Skizze in der 3 PCs und zwei Switche angeordnet sindAn den Switch-Symbolen wird Platz für die ''Verbindungen zu den PCs'' sowie die ''jeweilige Port-Nummer'' und die ''VLAN-ID'' benötigtAus der Skizze muss hervorgehen, ''welcher PC an welchem Port und in welchem VLAN'' angeschlossen ist!**
  
-2Im zweiten Schritt müssen Sie die physikalische Verbindung zum Switch herstellen. Dazu verbinden Sie das Kabel der konfigurierten Netzwerkkarte mit der Buchse Platznummer.1.2, wenn Sie an einem Switch im linken Schaltschrank (=Rack) arbeiten, oder mit der Buchse Platznummer.2.1, wenn Sie an einem Switch im rechten Schaltschrank arbeiten. Anschließend patchen Sie +Grobes Beispiel: 
 +{{ :lager:lok_netze:bilder:vlan_laboraufbau.png | VLAN-Laboraufbau}} 
 + 
 + 
 +===== Durchführung ===== 
 + 
 +1. Zunächst müssen Sie die physikalische Verbindung zum Switch herstellen. Dazu verbinden Sie das gelbe Kabel (''eth1''der konfigurierten Netzwerkkarte mit den folgenden Ports auf dem Switch:
   * PC 1 in den Port ''Ethernetport 1/0/1'' (= Port 1) Ihres Switches,   * PC 1 in den Port ''Ethernetport 1/0/1'' (= Port 1) Ihres Switches,
   * PC 2 in den Port ''Ethernetport 1/0/3'' (= Port 3) Ihres Switches und   * PC 2 in den Port ''Ethernetport 1/0/3'' (= Port 3) Ihres Switches und
   * PC 3 in den Port ''Ethernetport 1/0/5'' (= Port 5) Ihres Switches.   * PC 3 in den Port ''Ethernetport 1/0/5'' (= Port 5) Ihres Switches.
  
-Nun können Sie mit dem Kommando ''ifconfig'' die IP-Konfiguration der Clients überprüfen. Außerdem sollten PC2 und PC3 miteinander kommunizieren können. Überprüfen Sie dies mit dem Befehl ''ping''.+Nun können Sie mit dem Kommando ''ifconfig'' oder ''ip addr show'' die IP-Konfiguration der Clients überprüfen. Außerdem sollten PC2 und PC3 miteinander kommunizieren können. Überprüfen Sie dies mit dem Befehl ''ping''.
  
-3. Verbinden Sie sich nun mittels Browser auf PC1 zu Ihrem Switch. +2. Verbinden Sie sich nun mittels Browser auf PC1 zu Ihrem Switch((IP-Adressen finden Sie am Rack))
  
-a) Erstellen Sie zunächst 2 VLANs. Dazu wählen Sie unter dem Menüpunkt ''vlan'' den Karteikartenreiter ''create'' aus. Dort können die VLAN erstellt werden. \\ +a) Erstellen Sie zunächst 2 VLANs. Dazu wählen Sie unter dem Menüpunkt ''Device  ->  VLAN'' den Karteikartenreiter ''Create'' aus. Dort können die VLAN erstellt werden. \\ 
-**''CLI''-Befehl zum Erstellen eines VLANs: ''[5500]vlan**X**'' (mit ''X'' für das jeweilige VLAN)**+**''CLI''-Befehl zum Erstellen eines VLANs: \\ 
 +''[5500]vlan **X**'' (mit ''X'' für das jeweilige VLAN)**
  
-b) Anschließend müssen den VLAN Port zugewiesen werden. Dies kann über den Menüpunkt ''Modify'' VLAN konfiguriert werden. \\+b) Anschließend müssen den VLAN Port zugewiesen werden. Dies kann über den Menüpunkt ''Device  ->  VLAN  ->  Modify VLAN'' konfiguriert werden. **HINWEIS: Zunächst muss das zu ändernde VLAN ausgewählt werden. Dies kann per ''All VLANs'' -> ''Select''  gemacht werden.**\\
   * VLAN 2 enthält nur Port 3\\   * VLAN 2 enthält nur Port 3\\
   * VLAN 3 enthält nur Port 5\\   * VLAN 3 enthält nur Port 5\\
-**''CLI''-Befehl zur Port-Zuordnung: ''[5500-vlanX]port Ethernet 1/0/3'' (Port 3 wird dem VLAN 2 zugeordnet.)**\\ +**''CLI''-Befehl zur Port-Zuordnung:\\ 
-Nach diesem Konfigurationsschritt sollten PC2 und PC3 nicht mehr miteinander kommunizieren können.+''[5500-vlanX]port Ethernet 1/0/3'' (Port 3 wird dem VLAN 2 zugeordnet.)**
  
-c) Der Port ''Ethernetport 1/0/7'' wird der Verbindungsport zwischen den Switchen. Unter dem Menüpunkt ''Port->Administration'' muss der Portstatus dieses Ports auf Trunk geändert werden.\\ +Nach diesem Konfigurationsschritt sollten PC2 und PC3 **nicht** mehr miteinander kommunizieren können, da sie nun in unterschiedlichen VLAN sind.
-**''CLI''-Befehl zum Wechsel in das Port-Interface: ''[5500]interface Ethernet 1/0/7''**\\ +
-**''CLI''-Befehl zum Wechsel des Port-Status:  ''[5500- Ethernet 1/0/7]port link-type trunk''**+
  
-dÜberprüfen Sie, ob der Port 7 alle VLAN Netze weiterleitet und ändern Sie das ggfunter ''VLAN->Modify Port''+cDer Port ''Ethernetport 1/0/7'' wird der Verbindungsport zwischen den SwitchenUnter dem Menüpunkt ''Port  ->  Administration  ->  Setup'' muss der ''Link Type'' dieses Ports auf ''Trunk'' ((nur ''tagged'')) oder ''Hybrid'' ((sowohl ''tagged'' als auch ''untagged'')) geändert werden.\\ 
-**''CLI''-Befehl zum Einstellen der VLAN auf dem Port: ''[5500- Ethernet 1/0/7]port trunk permit vlan all''**+**''CLI''-Befehl zum Wechsel in das Port-Interface:\\ 
 +''[5500]interface Ethernet 1/0/7''**\\ 
 +**''CLI''-Befehl zum Wechsel des Port-Type:\\ 
 +''[5500- Ethernet 1/0/7]port link-type trunk''**
  
-4. Verbinden Sie nun die beiden Switche über deren Port 7. +Alternativ kann der Port auch in den ''hybrid'' Modus versetzt werden, dann unterstützt dieser Port sowohl tagged- (trunk) wie auch untagged-(''access'') Rahmen. Der Wechsel zwischen diesen beiden Modi kann nicht unmittelbar durchgeführt werden. Es muss zu nächst immer in den ''access'' Modus geschaltet werden. 
 + 
 +d) Überprüfen Sie, ob der Port 7 alle VLAN Netze weiterleitet und ändern Sie das ggf. unter ''Device  ->  VLAN  ->  Modify Port''.\\ 
 +**''CLI''-Befehl zum Einstellen der VLAN auf dem Port:\\ 
 +''[5500- Ethernet 1/0/7]port trunk permit vlan X/Y''** 
 + 
 +Mit dem Befehl ''[5500]display vlan X'' kann die Konfiguration für ''VLAN X'' überprüft werden. Statt ''X'' kann auch ''all'' verwendet werden, um die komplette VLAN-Konfiguration auszugeben. 
 + 
 +3. Verbinden Sie nun die beiden Switche über deren Port 7.  
 + 
 +4. Testen Sie, ob Sie sich jeweils die PCs 2 und 3 der beiden Gruppen „pingen“ können.
  
-5. Testen Sie, ob Sie sich jeweils die PCs 2 und 3 der beiden Gruppen „pingen“ können. 
  
 ===== Tagged VLAN auf Linux-PCs einrichten ===== ===== Tagged VLAN auf Linux-PCs einrichten =====
 +
 +**Vertiefende Aufgabe**: Konfigurieren Sie nun einen der PC-Ports ebenfalls auf Tagging. Beachten Sie dabei, dass beide Seiten (PC und Switch) auf Tagging eingerichtet werden muss (s. nächster Abschnitt).\\
 +
 +TIP: Falls die Verbindung nicht funktioniert, kann dies an identischen logischen Netzen (IP-Ebene) liegen. Überlegen Sie sich hierzu einen Lösung!
 +
  
 Unter Linux können tagged VLANs über das Tool ''vconfig'' eingerichtet werden. Dieses benötigt ''root''-Rechte, muss also per ''sudo'' ausgeführt werden. Unter Linux können tagged VLANs über das Tool ''vconfig'' eingerichtet werden. Dieses benötigt ''root''-Rechte, muss also per ''sudo'' ausgeführt werden.
  
-==== Einrichtung einer tagged VLAN-Verbindung ====+==== Einrichtung einer tagged VLAN-Verbindung am PC ====
 Ab hier werden die eigentlichen VLAN-Verbindungen konfiguriert.  Ab hier werden die eigentlichen VLAN-Verbindungen konfiguriert. 
  
Zeile 62: Zeile 94:
 <code>sudo ifconfig eth1.10 10.0.0.1 netmask 255.255.255.0</code> <code>sudo ifconfig eth1.10 10.0.0.1 netmask 255.255.255.0</code>
  
-==== Vorbereitung für tagged VLAN auf Linux-PCs ==== +==== Vorbereitung für tagged VLAN auf Linux-PCs (MUSS IM LABOR NICHT DURCHGEFÜHRT WERDEN!!) ==== 
-In der Laborumgebung können die nächsten beiden Schritt ignoriert werden. Sie sind lediglich der Vollständigkeit halber aufgeführt.\\+Es wurden während der Einrichtung der Rechner bereits einige Dinge installiert und konfiguriert. In der Laborumgebung können die nächsten beiden Schritt demnach ignoriert werden. Sie sind lediglich der Vollständigkeit halber aufgeführt, falls man in einer anderen Umgebung VLAN nachträglich einrichten möchte. 
 1. Um ''vconfig'' nutzen zu können muss zunächst das Paket ''vlan'' mittels ''sudo apt-get install vlan'' installiert werden. \\ 1. Um ''vconfig'' nutzen zu können muss zunächst das Paket ''vlan'' mittels ''sudo apt-get install vlan'' installiert werden. \\
 2. Weiterhin muss das Modul 802.1q geladen mittels ''sudo modeprobe 8021q'' werden (temporär). In der Laborumgebung wurde dies permanent durch Ergänzung der Datei ''/etc/modules'' um den Eintrag ''8021q'' vorgenommen.\\ 2. Weiterhin muss das Modul 802.1q geladen mittels ''sudo modeprobe 8021q'' werden (temporär). In der Laborumgebung wurde dies permanent durch Ergänzung der Datei ''/etc/modules'' um den Eintrag ''8021q'' vorgenommen.\\
Zeile 76: Zeile 109:
 </code> </code>
  
 +===== telnet Session per Script steuern =====
 +
 +Es ist auch möglich eine ''telnet''-Session per Script zu steuern.
 +
 +Das folgende Script richtet ein VLAN 5 ein und ändert den Port-Type von Port 7 auf ''trunk''.
 +
 +Mit dem folgenden Script wird eine ''telnet''-Verbindung (Port 23) mit Hilfe von ''nc''((nc: netcat)) zu einer IP-Adresse aufgebaut.
 +Im Anschluss werden bis zum ''EOF''((EOF: end of file)) die einzelnen Befehle zeilenweise übertragen. 
 +
 +**ACHTUNG**: In Unternehmensnetze sollte **KEIN** ''telnet'' mehr eingesetzt werden, da dieses Protokoll ohne zusätzliche Sicherheitsmechanismen Klartextpasswörter überträgt. Im Experimentalnetz ist dies nicht so kritisch.
 +
 +<file bash telsession.sh>
 +#!/bin/bash
 +# netcat (kurz nc) ist ein Kommandozeilen-Tool, mit dem Verbindungen zu entfernten Systemen aufgebaut werden können.
 +# Verwendung: nc <IP-Adresse> <PORT>
 +nc 192.168.33.61 23 <<'EOF'
 +schueler
 +schueler
 +system-view
 +display vlan
 +undo vlan all
 +y
 +vlan 2
 +port Ethernet 1/0/1
 +display vlan 2
 +vlan 3
 +port Ethernet 1/0/2
 +quit
 +interface Ethernet 1/0/5
 +port link-type trunk
 +port trunk permit vlan 3
 +port trunk permit vlan 2
 +quit
 +quit
 +EOF
 +</file>
  
 +Die folgende Tabelle zeigt die Befehle und ihre Wirkung auf dem Switch:
  
 +^ Befehl ^ Wirkung auf Switch ^
 +| ''schueler'' | Benutzername wird als erstes vom Switch erwartet |
 +| ''schueler'' | Passwort für ''schueler'' |
 +| ''system-view'' | Wechsel in den Konfigurationsmodus |
 +| ''display vlan'' | Anzeigen der alten VLAN-Konfiguration |
 +| ''undo vlan all'' | Löschen der alten VLAN-Konfiguration |
 +| ''y'' | Bestätigung der Löschung |
 +| ''vlan 2'' | ''VLAN-ID 2'' anlegen durch Wechsel in den ''vlan-2''-Bereich |
 +| ''port Ethernet 1/0/1'' | Port 1/0/1 in ''VLAN2'' bringen |
 +| ''display vlan 2'' | neue Konfiguration von ''VLAN2'' anzeigen |
 +| ''vlan 3'' | ''VLAN-ID 3'' anlegen durch Wechsel in den ''vlan-3''-Bereich |
 +| ''port Ethernet 1/0/2'' | Port 1/0/2 in ''VLAN3'' bringen |
 +| ''quit'' | Zurück auf höchste Konfigurationsebene (VLAN verlassen) |
 +| ''interface Ethernet 1/0/5'' | In Konfigurationsebene von Port 1/0/5 wechseln |
 +| ''port link-type trunk'' | Betriebsmodus für aktuellen Port 1/0/5 auf ''trunk'' ändern |
 +| ''port trunk permit vlan 3'' | Port 1/0/5 tagged zu ''VLAN3'' hinzufügen |
 +| ''port trunk permit vlan 2'' | Port 1/0/5 tagged zu ''VLAN2'' hinzufügen |
 +| ''quit'' | Zurück auf höchste Konfigurationsebene (Port verlassen) |
 +| ''quit'' | Verbindung zu Switch beenden |
  
lager/lok_netze/vlan_labor.1392191393.txt.gz · Zuletzt geändert: (Externe Bearbeitung)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki