Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lager:lok_netze:vlan_labor [2014/04/03 06:47] – richard
+++ lager:lok_netze:vlan_labor [2025/11/19 16:15] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-~~DISCUSSION|Ergänzungen~~
+~~DISCUSSION:closed|Ergänzungen~~
 ====== Laborübung zu VLAN ======
@@ Zeile 6: / Zeile 6: @@
 Es soll die Auswirkung von VLAN auf die Kommunikation untersucht werden. Dabei soll u.a. das 802.1q Protokoll untersucht werden. Das Netzwerk soll aus drei verschiedenen VLAN bestehen. Jede Gruppe administriert einen Switch und arbeitet mit 3-4 Client-PCs.
-==== Vorarbeitung ====
+==== Vorbereitung ====
-Um auf den Switches VLAN konfigurieren zu können, wird entweder das Webfront verwendet oder die CLI (vgl. [[lager:lok_netze:stp_labor|Spanning Tree Übung]]).
+Um auf den Switches VLAN konfigurieren zu können, wird entweder das Webfront verwendet oder die CLI **(Die Befehle finden Sie
+in der [[lager:lok_netze:stp_labor|Spanning Tree Übung]])**.
 **ACHTUNG:** ''VLAN1'' ist das Default-VLAN auf den 3Com 5500, in dem standardmäßig alle Ports liegen. Nur Ports in ''VLAN1'' können auf das Web-Interface und die ''CLI''((CLI: **C**ommand **L**ine **I**nterface)) zugreifen! Sobald ein Port in ein anderes VLAN konfiguriert wird (untagged), wird dieser aus dem ''VLAN1'' entfernt und der Zugriff auf die Konfiguration ist nicht mehr möglich!
@@ Zeile 27: / Zeile 28: @@
 **Fertigen Sie eine Skizze in der 3 PCs und zwei Switche angeordnet sind. An den Switch-Symbolen wird Platz für die ''Verbindungen zu den PCs'' sowie die ''jeweilige Port-Nummer'' und die ''VLAN-ID'' benötigt. Aus der Skizze muss hervorgehen, ''welcher PC an welchem Port und in welchem VLAN'' angeschlossen ist!**
+Grobes Beispiel:
+{{ :lager:lok_netze:bilder:vlan_laboraufbau.png | VLAN-Laboraufbau}}
 ===== Durchführung =====
@@ Zeile 35: / Zeile 40: @@
   * PC 3 in den Port ''Ethernetport 1/0/5'' (= Port 5) Ihres Switches.
-Nun können Sie mit dem Kommando ''ifconfig'' die IP-Konfiguration der Clients überprüfen. Außerdem sollten PC2 und PC3 miteinander kommunizieren können. Überprüfen Sie dies mit dem Befehl ''ping''.
+Nun können Sie mit dem Kommando ''ifconfig'' oder ''ip addr show'' die IP-Konfiguration der Clients überprüfen. Außerdem sollten PC2 und PC3 miteinander kommunizieren können. Überprüfen Sie dies mit dem Befehl ''ping''.
 . Verbinden Sie sich nun mittels Browser auf PC1 zu Ihrem Switch((IP-Adressen finden Sie am Rack)).
-a) Erstellen Sie zunächst 2 VLANs. Dazu wählen Sie unter dem Menüpunkt ''vlan'' den Karteikartenreiter ''create'' aus. Dort können die VLAN erstellt werden. \\
+a) Erstellen Sie zunächst 2 VLANs. Dazu wählen Sie unter dem Menüpunkt ''Device  ->  VLAN'' den Karteikartenreiter ''Create'' aus. Dort können die VLAN erstellt werden. \\
-**''CLI''-Befehl zum Erstellen eines VLANs: ''[5500]vlan **X**'' (mit ''X'' für das jeweilige VLAN)**
+**''CLI''-Befehl zum Erstellen eines VLANs: \\
+''[5500]vlan **X**'' (mit ''X'' für das jeweilige VLAN)**
-b) Anschließend müssen den VLAN Port zugewiesen werden. Dies kann über den Menüpunkt ''Modify'' VLAN konfiguriert werden. \\
+b) Anschließend müssen den VLAN Port zugewiesen werden. Dies kann über den Menüpunkt ''Device  ->  VLAN  ->  Modify VLAN'' konfiguriert werden. **HINWEIS: Zunächst muss das zu ändernde VLAN ausgewählt werden. Dies kann per ''All VLANs'' -> ''Select''  gemacht werden.**\\
   * VLAN 2 enthält nur Port 3\\
   * VLAN 3 enthält nur Port 5\\
-**''CLI''-Befehl zur Port-Zuordnung: ''[5500-vlanX]port Ethernet 1/0/3'' (Port 3 wird dem VLAN 2 zugeordnet.)**\\
+**''CLI''-Befehl zur Port-Zuordnung:\\
-Nach diesem Konfigurationsschritt sollten PC2 und PC3 nicht mehr miteinander kommunizieren können.
+''[5500-vlanX]port Ethernet 1/0/3'' (Port 3 wird dem VLAN 2 zugeordnet.)**
-c) Der Port ''Ethernetport 1/0/7'' wird der Verbindungsport zwischen den Switchen. Unter dem Menüpunkt ''Port->Administration'' muss der Portstatus dieses Ports auf Trunk geändert werden.\\
+Nach diesem Konfigurationsschritt sollten PC2 und PC3 **nicht** mehr miteinander kommunizieren können, da sie nun in unterschiedlichen VLAN sind.
-**''CLI''-Befehl zum Wechsel in das Port-Interface: ''[5500]interface Ethernet 1/0/7''**\\
-**''CLI''-Befehl zum Wechsel des Port-Status:  ''[5500- Ethernet 1/0/7]port link-type trunk''**
-d) Überprüfen Sie, ob der Port 7 alle VLAN Netze weiterleitet und ändern Sie das ggf. unter ''VLAN->Modify Port''.\\
+c) Der Port ''Ethernetport 1/0/7'' wird der Verbindungsport zwischen den Switchen. Unter dem Menüpunkt ''Port  ->  Administration  ->  Setup'' muss der ''Link Type'' dieses Ports auf ''Trunk'' ((nur ''tagged'')) oder ''Hybrid'' ((sowohl ''tagged'' als auch ''untagged'')) geändert werden.\\
-**''CLI''-Befehl zum Einstellen der VLAN auf dem Port: ''[5500- Ethernet 1/0/7]port trunk permit vlan all''**
+**''CLI''-Befehl zum Wechsel in das Port-Interface:\\
+''[5500]interface Ethernet 1/0/7''**\\
+**''CLI''-Befehl zum Wechsel des Port-Type:\\
+''[5500- Ethernet 1/0/7]port link-type trunk''**
+Alternativ kann der Port auch in den ''hybrid'' Modus versetzt werden, dann unterstützt dieser Port sowohl tagged- (trunk) wie auch untagged-(''access'') Rahmen. Der Wechsel zwischen diesen beiden Modi kann nicht unmittelbar durchgeführt werden. Es muss zu nächst immer in den ''access'' Modus geschaltet werden.
+d) Überprüfen Sie, ob der Port 7 alle VLAN Netze weiterleitet und ändern Sie das ggf. unter ''Device  ->  VLAN  ->  Modify Port''.\\
+**''CLI''-Befehl zum Einstellen der VLAN auf dem Port:\\
+''[5500- Ethernet 1/0/7]port trunk permit vlan X/Y''**
+Mit dem Befehl ''[5500]display vlan X'' kann die Konfiguration für ''VLAN X'' überprüft werden. Statt ''X'' kann auch ''all'' verwendet werden, um die komplette VLAN-Konfiguration auszugeben.
 . Verbinden Sie nun die beiden Switche über deren Port 7.
 . Testen Sie, ob Sie sich jeweils die PCs 2 und 3 der beiden Gruppen „pingen“ können.
 ===== Tagged VLAN auf Linux-PCs einrichten =====
+**Vertiefende Aufgabe**: Konfigurieren Sie nun einen der PC-Ports ebenfalls auf Tagging. Beachten Sie dabei, dass beide Seiten (PC und Switch) auf Tagging eingerichtet werden muss (s. nächster Abschnitt).\\
+TIP: Falls die Verbindung nicht funktioniert, kann dies an identischen logischen Netzen (IP-Ebene) liegen. Überlegen Sie sich hierzu einen Lösung!
 Unter Linux können tagged VLANs über das Tool ''vconfig'' eingerichtet werden. Dieses benötigt ''root''-Rechte, muss also per ''sudo'' ausgeführt werden.
-==== Einrichtung einer tagged VLAN-Verbindung ====
+==== Einrichtung einer tagged VLAN-Verbindung am PC ====
 Ab hier werden die eigentlichen VLAN-Verbindungen konfiguriert.
@@ Zeile 73: / Zeile 94: @@
 <code>sudo ifconfig eth1.10 10.0.0.1 netmask 255.255.255.0</code>
-==== Vorbereitung für tagged VLAN auf Linux-PCs ====
+==== Vorbereitung für tagged VLAN auf Linux-PCs (MUSS IM LABOR NICHT DURCHGEFÜHRT WERDEN!!) ====
 Es wurden während der Einrichtung der Rechner bereits einige Dinge installiert und konfiguriert. In der Laborumgebung können die nächsten beiden Schritt demnach ignoriert werden. Sie sind lediglich der Vollständigkeit halber aufgeführt, falls man in einer anderen Umgebung VLAN nachträglich einrichten möchte.
@@ Zeile 87: / Zeile 108: @@
     vlan-raw-device eth1
 </code>
+===== telnet Session per Script steuern =====
+Es ist auch möglich eine ''telnet''-Session per Script zu steuern.
+Das folgende Script richtet ein VLAN 5 ein und ändert den Port-Type von Port 7 auf ''trunk''.
+Mit dem folgenden Script wird eine ''telnet''-Verbindung (Port 23) mit Hilfe von ''nc''((nc: netcat)) zu einer IP-Adresse aufgebaut.
+Im Anschluss werden bis zum ''EOF''((EOF: end of file)) die einzelnen Befehle zeilenweise übertragen.
+**ACHTUNG**: In Unternehmensnetze sollte **KEIN** ''telnet'' mehr eingesetzt werden, da dieses Protokoll ohne zusätzliche Sicherheitsmechanismen Klartextpasswörter überträgt. Im Experimentalnetz ist dies nicht so kritisch.
+<file bash telsession.sh>
+#!/bin/bash
+# netcat (kurz nc) ist ein Kommandozeilen-Tool, mit dem Verbindungen zu entfernten Systemen aufgebaut werden können.
+# Verwendung: nc <IP-Adresse> <PORT>
+nc 192.168.33.61 23 <<'EOF'
+schueler
+schueler
+system-view
+display vlan
+undo vlan all
+y
+vlan 2
+port Ethernet 1/0/1
+display vlan 2
+vlan 3
+port Ethernet 1/0/2
+quit
+interface Ethernet 1/0/5
+port link-type trunk
+port trunk permit vlan 3
+port trunk permit vlan 2
+quit
+quit
+EOF
+</file>
+Die folgende Tabelle zeigt die Befehle und ihre Wirkung auf dem Switch:
+^ Befehl ^ Wirkung auf Switch ^
+| ''schueler'' | Benutzername wird als erstes vom Switch erwartet |
+| ''schueler'' | Passwort für ''schueler'' |
+| ''system-view'' | Wechsel in den Konfigurationsmodus |
+| ''display vlan'' | Anzeigen der alten VLAN-Konfiguration |
+| ''undo vlan all'' | Löschen der alten VLAN-Konfiguration |
+| ''y'' | Bestätigung der Löschung |
+| ''vlan 2'' | ''VLAN-ID 2'' anlegen durch Wechsel in den ''vlan-2''-Bereich |
+| ''port Ethernet 1/0/1'' | Port 1/0/1 in ''VLAN2'' bringen |
+| ''display vlan 2'' | neue Konfiguration von ''VLAN2'' anzeigen |
+| ''vlan 3'' | ''VLAN-ID 3'' anlegen durch Wechsel in den ''vlan-3''-Bereich |
+| ''port Ethernet 1/0/2'' | Port 1/0/2 in ''VLAN3'' bringen |
+| ''quit'' | Zurück auf höchste Konfigurationsebene (VLAN verlassen) |
+| ''interface Ethernet 1/0/5'' | In Konfigurationsebene von Port 1/0/5 wechseln |
+| ''port link-type trunk'' | Betriebsmodus für aktuellen Port 1/0/5 auf ''trunk'' ändern |
+| ''port trunk permit vlan 3'' | Port 1/0/5 tagged zu ''VLAN3'' hinzufügen |
+| ''port trunk permit vlan 2'' | Port 1/0/5 tagged zu ''VLAN2'' hinzufügen |
+| ''quit'' | Zurück auf höchste Konfigurationsebene (Port verlassen) |
+| ''quit'' | Verbindung zu Switch beenden |