AST Wykład 2: Skalowalność sieci - VLAN i integracja Ethernetu

Wprowadzenie do skalowalności i segmentacji

Ten wykład dotyczy dwóch kluczowych zagadnień inżynierii sieciowej: skalowalności oraz segmentacji logicznej. Skalowalność sieci to jej zdolność do sprawnego działania po dodaniu nowych użytkowników, urządzeń i lokalizacji. Segmentacja za pomocą VLAN pozwala podzielić jedną fizyczną sieć Ethernet na wiele niezależnych sieci logicznych. Technologia Ethernet - opisana standardami IEEE 802.3 - jest podstawą okablowanych sieci lokalnych od lat i wciąż wyznacza standardy. Symulatory sieciowe, takie jak Cisco Packet Tracer i GNS3, umożliwiają projektowanie i testowanie topologii bez ryzyka i kosztów sprzętu fizycznego. Na tym wykładzie poznamy mechanizmy VLAN, sposoby ich projektowania oraz zasady łączenia segmentów Ethernet w skalowalną całość.

Schemat podziału sieci na VLAN-y i segmenty Ethernet

Definicja skalowalności sieci

Skalowalność sieci oznacza, że sieć może rosnąć bez konieczności jej całkowitego przeprojektowania. Rośnie liczba użytkowników, urządzeń końcowych, lokalizacji - sieć musi to obsłużyć bez pogorszenia wydajności. Nieskalowalną sieć poznaje się po tym, że każda zmiana wymaga "gaszenia pożaru": rekonfiguracji wielu urządzeń, przerw w działaniu usług i interwencji administratora. Skalowalność osiąga się przez hierarchiczną architekturę, segmentację logiczną (VLAN) oraz odpowiednio zwymiarowane łącza szkieletowe. Ważnym elementem skalowalności jest modularność: możliwość rozbudowy przez dodawanie kolejnych identycznych modułów (budynków, podsieci, przełączników). Planowanie "z górką" - dobór sprzętu z zapasem mocy i portów - to najtańszy sposób na zapewnienie skalowalności w długim horyzoncie czasowym.

Diagram wzrostu sieci: przed i po skalowaniu

Broadcast w sieci płaskiej

Każdy komputer w sieci Ethernet od czasu do czasu wysyła ramki rozgłoszeniowe (broadcast) - trafiają one do wszystkich urządzeń w tej samej domenie rozgłoszeniowej. Gdy sieć jest płaska (jeden wielki segment Ethernet bez podziału), każde rozgłoszenie dociera do wszystkich hostów w sieci. Przy stu lub tysiącu komputerów ruch rozgłoszeniowy może zająć znaczny procent dostępnej przepustowości i spowalniać sieć. Urządzenia muszą przetworzyć każde rozgłoszenie, nawet jeśli nie jest ono dla nich przeznaczone - to marnuje zasoby kart sieciowych i procesorów stacji. Protokoły sieciowe, takie jak ARP czy DHCP, generują rozgłoszenia jako swój naturalny mechanizm działania. Rozwiązaniem jest podział sieci na mniejsze domeny rozgłoszeniowe za pomocą technologii VLAN lub routerów.

Wizualizacja rozgłoszenia w dużej sieci płaskiej

Logiczny podział sieci Ethernet

VLAN (Virtual Local Area Network) to mechanizm logicznego podziału sieci Ethernet na niezależne segmenty bez konieczności kładzenia oddzielnych kabli. Przełącznik obsługujący VLAN traktuje porty zgrupowane w jednym VLAN-ie tak, jakby były podłączone do osobnego, izolowanego urządzenia. Hosty w różnych VLAN-ach nie widzą wzajemnie swoich ramek rozgłoszeniowych - każdy VLAN tworzy oddzielną domenę rozgłoszeniową. Komunikacja między VLAN-ami wymaga routera lub przełącznika warstwy trzeciej - nie może odbywać się bezpośrednio na poziomie warstwy 2. VLAN-y identyfikuje się numerami od 1 do 4094. Każdy VLAN ma przypisaną własną podsieć IP - to zasada "jeden VLAN, jedna podsieć". Technologia VLAN jest standaryzowana przez IEEE jako standard 802.1Q.

Schemat podziału przełącznika na VLAN-y z domenami rozgłoszeniowymi

Tagowanie ramek Ethernet

Standard IEEE 802.1Q definiuje sposób oznaczania (tagowania) ramek Ethernet informacją o przynależności do konkretnego VLAN-u. Do ramki Ethernet wstawiany jest 4-bajtowy znacznik (tag) zawierający pole VLAN ID (12 bitów) oraz priorytet CoS (3 bity). VLAN ID to liczba od 0 do 4095, przy czym 0 i 4095 są zarezerwowane przez standard, a wartości 1–4094 są dostępne dla administratora. Tagowanie stosuje się na łączach trunk między przełącznikami oraz między przełącznikiem a routerem. Na portach, do których podłączone są stacje robocze (porty dostępowe), ramki są nietagowane - tag jest dodawany i usuwany przez przełącznik transparentnie dla komputera. Pole priorytetu CoS (Class of Service) umożliwia różnicowanie ruchu w warstwie 2 - np. głos VoIP może mieć wyższy priorytet niż transfer plików. Znajomość formatu 802.1Q jest niezbędna do prawidłowej konfiguracji środowisk wielodostępnych.

Format ramki Ethernet 802.1Q z polem VLAN ID i CoS

Access Port - podłączenie urządzeń końcowych

Port dostępowy (access port) to port przełącznika przypisany do jednego konkretnego VLAN-u. Do takiego portu podłącza się urządzenia końcowe: komputery, drukarki, telefony IP, punkty dostępu Wi-Fi. Przełącznik dodaje tag VLAN, gdy ramka wchodzi do sieci przez port dostępowy, i usuwa go, gdy ramka wychodzi w kierunku urządzenia końcowego. Komputer podłączony do portu dostępowego nie "wie", że działa w jakimkolwiek VLAN-ie - nie widzi i nie przetwarza żadnych tagów. Konfiguracja portu dostępowego w systemie Cisco IOS: polecenie "switchport mode access" ustawia tryb, a "switchport access vlan 10" przypisuje port do VLAN-u 10. Błędne przypisanie portu do złego VLAN-u to jedna z najczęstszych przyczyn problemów z łącznością w sieci.

Schemat portów dostępowych przypisanych do różnych VLAN-ów

Łącze trunk - transport wielu VLAN-ów

Łącze trunk to połączenie między dwoma przełącznikami (lub przełącznikiem i routerem), które przenosi ruch wielu VLAN-ów jednocześnie. Ramki na łączu trunk mają dodany tag 802.1Q, który informuje odbierające urządzenie, do jakiego VLAN-u należy dana ramka. Jedno fizyczne łącze trunk zastępuje wiele oddzielnych kabli, które byłyby potrzebne, gdyby każdy VLAN miał własne fizyczne połączenie. Administrator decyduje, które VLAN-y są "dozwolone" na danym łączu trunk - można ograniczyć przepuszczane VLAN-y dla bezpieczeństwa i porządku konfiguracyjnego. Konfiguracja w Cisco IOS: "switchport mode trunk" oraz "switchport trunk allowed vlan 10,20,30". Pojęcie "native VLAN" na łączu trunk oznacza VLAN, którego ramki nie są tagowane - źle skonfigurowany native VLAN to częste źródło problemów bezpieczeństwa.

Schemat łącza trunk przenoszącego kilka VLAN-ów między przełącznikami

Zasady projektowania VLAN

Projektowanie VLAN-ów powinno wynikać z potrzeb organizacji, a nie z przypadkowych decyzji. Zazwyczaj VLAN-y tworzy się według funkcji lub działów: VLAN dla pracowników biurowych, VLAN dla drukarek, VLAN dla telefonii VoIP, VLAN dla zarządzania urządzeniami. Każdy VLAN powinien mieć jednoznaczną nazwę i przypisaną podsieć IP - ułatwia to dokumentację i diagnostykę. VLAN zarządzający to osobny VLAN, przez który administratorzy logują się do przełączników - oddzielenie go od ruchu użytkowników podnosi bezpieczeństwo. Warto zarezerwować spójny zakres numerów VLAN dla każdej lokalizacji lub piętra budynku - np. 10–19 to parter, 20–29 to pierwsze piętro. Liczba VLAN-ów nie powinna być nadmierna: zbyt wiele VLAN-ów komplikuje zarządzanie bardziej, niż to konieczne.

Tabela projektowania VLAN-ów z numerami, nazwami i podsieciami

Router-on-a-Stick

Hosty w różnych VLAN-ach leżą w różnych podsieciach IP i nie mogą komunikować się bezpośrednio - potrzebny jest router. Metoda "Router-on-a-Stick" polega na podłączeniu routera do przełącznika jednym fizycznym kablem na łączu trunk. Na routerze tworzy się podinterfejsy (subinterfaces) - jeden na każdy VLAN. Każdy podinterfejs: ma przypisany numer VLAN (polecenie "encapsulation dot1Q 10") oraz adres IP z puli danego VLAN-u (brama domyślna dla hostów w tym VLAN-ie). Router odbiera ramkę od jednego VLAN-u, podejmuje decyzję routingu i wysyła ją do właściwego VLAN-u docelowego. Metoda ta jest tania (jeden kabel), ale może stać się wąskim gardłem przy dużym ruchu między VLAN-ami. W dużych sieciach routing między VLAN-ami realizuje przełącznik warstwy trzeciej (Layer 3 Switch).

L3 Switch - routing sprzętowy między VLAN-ami

Przełącznik warstwy trzeciej (L3 Switch) łączy funkcje przełącznika Ethernet z możliwościami routera. Może trasować ruch między VLAN-ami bez konieczności wysyłania pakietów do zewnętrznego routera. Routing odbywa się wewnątrz chipsetu przełącznika z prędkością sprzętową - jest znacznie szybszy od metody Router-on-a-Stick. Na L3 Switch tworzy się interfejsy SVI (Switched Virtual Interface) - wirtualny interfejs dla każdego VLAN-u z adresem IP bramy. Polecenie "ip routing" na przełączniku Cisco aktywuje routing IP pomiędzy wszystkimi skonfigurowanymi interfejsami SVI. L3 Switch jest preferowanym rozwiązaniem w warstwie dystrybucji sieci hierarchicznej dla dużej liczby VLAN-ów. Koszt L3 Switch jest wyższy niż zwykłego przełącznika, ale eliminuje wąskie gardło pojedynczego łącza routera.

Schemat L3 Switch z interfejsami SVI dla VLAN-ów

VLAN Trunking Protocol

VLAN Trunking Protocol (VTP) to protokół firmy Cisco do automatycznej synchronizacji informacji o VLAN-ach między przełącznikami. Jeden przełącznik pełni rolę serwera VTP (VTP Server) i przechowuje bazę VLAN-ów. Pozostałe przełączniki w trybie klienta (VTP Client) automatycznie pobierają listę VLAN-ów z serwera przez łącza trunk. Tryb transparentny (VTP Transparent) przesyła informacje VTP dalej, ale sam ich nie stosuje - może mieć niezależną konfigurację. VTP oszczędza czas administratora: dodanie nowego VLAN-u na serwerze automatycznie rozgłasza go do wszystkich klientów. Poważna pułapka: podłączenie nowego przełącznika z wyższym numerem rewizji VTP może nadpisać konfigurację całej sieci. Dlatego wielu administratorów rezygnuje z VTP na rzecz ręcznej konfiguracji lub stosuje VTP w wersji 3, która jest bezpieczniejsza.

Schemat VTP: serwer, klienci i tryb transparentny

Spanning Tree Protocol

Gdy sieć ma nadmiarowe połączenia między przełącznikami (co jest pożądane dla redundancji), powstaje ryzyko pętli w warstwie 2. Pętla logiczna powoduje nieskończone krążenie ramek rozgłoszeniowych między przełącznikami - to tzw. burza rozgłoszeniowa, która w kilka sekund może unieruchomić całą sieć. Spanning Tree Protocol (STP, standard IEEE 802.1D) zapobiega pętlom przez automatyczne blokowanie nadmiarowych ścieżek. Przełączniki wybierają "korzeniowy" (Root Bridge) - przełącznik o najniższym Bridge ID zostaje korzeniem drzewa. Wszystkie ścieżki do Root Bridge są obliczane na podstawie kosztu, a nadmiarowe porty są blokowane. Wada klasycznego STP: reakcja na awarię trwa do 50 sekund (konwergencja). Rapid STP (RSTP, 802.1w) skraca konwergencję do kilku sekund dzięki bezpośredniemu negocjowaniu stanu portów.

Schemat STP: Root Bridge, porty aktywne i zablokowane

Per-VLAN STP i Multiple Spanning Tree

Klasyczny STP ma jedno wspólne drzewo dla całej sieci. W środowisku z wieloma VLAN-ami jest to nieefektywne - nie można równoważyć obciążenia między ścieżkami dla różnych VLAN-ów. Per-VLAN Spanning Tree Plus (PVST+) - implementacja Cisco - uruchamia oddzielną instancję STP dla każdego VLAN-u. Pozwala to na konfigurowanie różnych Root Bridge dla różnych VLAN-ów, a przez to manualnego równoważenia ruchu między łączami. Wadą PVST+ jest to, że przy 100 VLAN-ach działa 100 oddzielnych instancji STP - obciąża to procesory przełączników. Multiple Spanning Tree (MST, 802.1s) grupuje wiele VLAN-ów w jedną instancję STP - kompromis między elastycznością a wydajnością. W środowisku wielo-VLAN MST jest preferowanym standardem. Niezależnie od wariantu, kluczowe jest monitorowanie stanu portów STP i wymuszanie roli Root Bridge na urządzeniach rdzeniowych.

Porównanie PVST+ i MST w środowisku wieloVLAN

Link Aggregation

Agregacja łączy (Link Aggregation) polega na połączeniu kilku fizycznych kabli Ethernet w jeden logiczny kanał o wyższej przepustowości. EtherChannel to nazwa stosowana przez Cisco; w środowiskach wieloproducentowych stosuje się standard IEEE 802.3ad (LACP). Dwa przełączniki połączone czterema kablami 1 Gbps tworzą kanał logiczny o przepustowości do 4 Gbps. Protokół LACP (Link Aggregation Control Protocol) negocjuje i utrzymuje spójność agregacji dynamicznie - wykrywa awarie poszczególnych kabli i dostosowuje routing ruchu. STP traktuje cały EtherChannel jako jedno łącze - nie blokuje portów w agregacji. Wszystkie porty w agregacji muszą mieć identyczne parametry: tę samą prędkość, tryb dupleksu i konfigurację VLAN. Agregacja jest standardowym rozwiązaniem dla połączeń trunk między przełącznikami dystrybucyjnymi a rdzennymi.

Schemat EtherChannel z czterema kablami łączącymi dwa przełączniki

Separacja ruchu zarządzającego

VLAN zarządzający to dedykowany VLAN, przez który administratorzy logują się do przełączników i zarządzają nimi przez SSH, SNMP lub HTTPS. Separacja ruchu zarządzającego od ruchu użytkowników podnosi bezpieczeństwo. Konfiguracja na każdym przełączniku: interfejs SVI dla VLAN-u zarządzającego ma adres IP, przez który dostępny jest do routera, SSH i Telnet. Dostęp do VLAN-u zarządzającego powinien być filtrowany listą ACL - tylko stacje administratorów mają dostęp na port 22 (SSH). VLAN 1 jest domyślnym VLAN-em Cisco - jest to też domyślny native VLAN. Dobrą praktyką jest nieużywanie VLAN-u 1 do żadnych celów i przeniesienie wszystkich portów do innych VLAN-ów. Nigdy nie należy używać VLAN-u zarządzającego jako sieci dla użytkowników końcowych.

Schemat VLAN zarządzającego oddzielonego od sieci użytkowników

Voice VLAN i PoE

Telefon IP podłączony do portu przełącznika wymaga specjalnego traktowania - głos jest wrażliwy na opóźnienia i zmienność opóźnień (jitter). Dlatego ruch głosowy przesyła się przez oddzielny VLAN głosowy (Voice VLAN), niezależny od VLAN-u danych użytkownika. Port przełącznika może jednocześnie pracować jako port dostępowy dla komputera i jako port głosowy dla telefonu IP - oba urządzenia "widzą" różne VLAN-y przez ten sam kabel. Konfiguracja: "switchport access vlan 10" (dane) oraz "switchport voice vlan 100" (głos) na tym samym porcie. Ruch głosowy w VLAN-ie głosowym jest automatycznie oznaczany priorytetem CoS=5 (lub DSCP EF), co zapewnia priorytetyzację przed ruchem danych. PoE (Power over Ethernet, standard IEEE 802.3af/at) umożliwia zasilanie telefonów IP bezpośrednio przez kabel sieciowy - eliminuje potrzebę osobnych zasilaczy. VLAN głosowy to przykład segmentacji sieci podyktowanej wymaganiami jakościowymi, a nie tylko bezpieczeństwem.

Schemat portu z VLAN danych i VLAN głosowym dla telefonu IP

Ewolucja Ethernetu

Ethernet powstał w latach 70. XX wieku i od tamtej pory przeszedł przez wiele pokoleń, zwiększając przepustowość o rząd wielkości co kilka lat. 10BASE-T (10 Mbps) był standardem biurowym lat 90. i pracował w trybie half-duplex na koncentratorach. 100BASE-TX (Fast Ethernet, 100 Mbps) wprowadził przełączniki i tryb full-duplex, eliminując kolizje. Gigabit Ethernet (1000BASE-T, 1 Gbps) stał się standardem portów dostępowych na komputerach stacjonarnych w latach 2000. 10GBASE-T (10 Gbps) jest dziś standardem dla połączeń trunk między przełącznikami i serwerami. 40 Gbps i 100 Gbps stosuje się w rdzeniu centrów danych i szkieletu sieci operatorskich. Każda generacja zachowuje kompatybilność formatu ramki - przełącznik 10 Gbps może komunikować się ze starszym urządzeniem 1 Gbps na tym samym kablu.

Oś czasu ewolucji standardów Ethernet od 10 Mbps do 100 Gbps

Standardy okablowania strukturalnego

Okablowanie strukturalne to system organizacji kabli w budynku zgodny z normami TIA/EIA-568 oraz ISO/IEC 11801. Składa się z okablowania poziomego (od gniazd do szafy piętrowej), pionowego (między piętrami) i szkieletowego (między budynkami). Kabel kategorii 5e obsługuje Gigabit Ethernet do 100 metrów - wystarczający dla portów dostępowych. Kabel Cat 6 obsługuje 10 Gbps do 55 metrów i jest zalecany w nowych instalacjach. Cat 6A (augmented) obsługuje 10 Gbps do 100 metrów i jest standardem dla nowych instalacji biurowych. Połączenia pionowe i szkieletowe realizuje się za pomocą światłowodów wielomodowych (OM3, OM4) lub jednomodowych (OS2). Prawidłowe ułożenie kabli, oznakowanie portów i dokumentacja to warunek sprawnego zarządzania siecią przez kolejne lata użytkowania infrastruktury.

Schemat okablowania strukturalnego budynku z szafami piętrową i główną

Negocjacja parametrów łącza

Auto-negotiation to mechanizm, przez który dwa urządzenia sieciowe automatycznie negocjują prędkość i tryb dupleksu połączenia. Gdy obie strony obsługują Auto-negotiation, ustalają najlepsze wspólne parametry: np. 1000 Mbps Full Duplex. Full Duplex oznacza, że urządzenie może jednocześnie nadawać i odbierać dane - nie ma kolizji, bo każda para kabli jest dedykowana do jednego kierunku. Half Duplex wymaga czekania na wolne medium przed nadaniem ramki - powoduje kolizje i jest znacznie mniej wydajny. Wymuszenie prędkości i dupleksu ręcznie na jednej stronie, gdy druga używa Auto-negotiation, prowadzi do duplex mismatch - typowego problemu wydajnościowego. Objawem duplex mismatch są liczne błędy CRC i kolizje widoczne w statystykach portu. Zasada: albo Auto-negotiation po obu stronach, albo ręczna konfiguracja tych samych wartości po obu stronach - w przeciwnym razie powstanie typowy problem wydajnościowy.

Schemat negocjacji auto-negotiation i duplex mismatch

Private VLAN - izolacja wewnątrz VLAN-u

Private VLAN (PVLAN) to rozszerzenie mechanizmu VLAN umożliwiające izolację ruchu między hostami wewnątrz tego samego VLAN-u. Normalny VLAN pozwala wszystkim hostom w nim komunikować się ze sobą. Czasem jest to niepożądane: na przykład różni klienci hostingowi mają wspólny adres bramy, ale nie powinni widzieć swoich maszyn wirtualnych. PVLAN dzieli hosty w VLAN-ie na kategorie: izolowane (isolated) - mogą komunikować się tylko z portem uplink; wspólnotowe (community) - komunikują się ze sobą i z uplinkiem; promiskuiczne (promiscuous) - widzą wszystkich (zazwyczaj to port routera). Private VLAN jest stosowany w centrach danych i środowiskach hostingowych, gdzie izolacja między klientami jest wymaganiem bezpieczeństwa. Konfiguracja PVLAN jest złożona i wymaga starannego planowania numeracji VLAN-ów podstawowych i wtórnych.

Schemat Private VLAN z portami izolowanymi, wspólnotowymi i promiskuicznymi

Cisco Packet Tracer

Cisco Packet Tracer to bezpłatny symulator sieci udostępniany przez Cisco w ramach programu Networking Academy. Pozwala budować wirtualne topologie złożone z routerów, przełączników, komputerów, serwerów i urządzeń bezprzewodowych. Użytkownik konfiguruje urządzenia przez interfejs graficzny lub wiersz poleceń (CLI) Cisco IOS - identyczny jak w rzeczywistym sprzęcie. Symulator wizualizuje przepływ pakietów w trybie symulacji - krok po kroku można śledzić, jak ramka przechodzi przez przełączniki i jak router podejmuje decyzję routingu. Packet Tracer obsługuje konfigurację VLAN, trunk, STP, EtherChannel, OSPF, DHCP, NAT i wiele innych protokołów. Ograniczenia: nie symuluje wszystkich funkcji sprzętu, część zaawansowanych funkcji jest niedostępna lub działa inaczej niż na prawdziwym urządzeniu. Packet Tracer jest doskonały do nauki i testowania koncepcji - nie nadaje się do symulowania produkcyjnych konfiguracji krytycznych.

GNS3 - emulacja z rzeczywistymi obrazami IOS

GNS3 (Graphical Network Simulator 3) to otwarte oprogramowanie, które emuluje urządzenia sieciowe przy użyciu prawdziwych obrazów systemów operacyjnych (IOS, IOS-XE, JunOS). W przeciwieństwie do Packet Tracer, GNS3 używa wirtualizacji - urządzenia działają jak prawdziwy sprzęt i obsługują te same funkcje i polecenia. GNS3 wymaga bardziej wydajnego komputera oraz legalnych obrazów systemów operacyjnych (często wymagana licencja). Pozwala na integrację wirtualnych urządzeń sieciowych z prawdziwymi maszynami wirtualnymi (VMware, VirtualBox) i z fizyczną siecią hosta. GNS3 jest stosowany przez inżynierów przygotowujących się do certyfikacji CCNP, CCIE i podobnych, gdzie konfiguracje są bardziej zaawansowane niż Packet Tracer obsługuje. GNS3 Marketplace zawiera gotowe szablony urządzeń od wielu producentów, co ułatwia tworzenie heterogenicznych topologii testowych.

Zrzut ekranu GNS3 z emulowaną topologią sieciową

Kroki konfiguracji VLAN

Konfiguracja VLAN na przełączniku Cisco obejmuje kilka kroków, które należy wykonać w odpowiedniej kolejności. Krok 1: tworzenie VLAN-u - polecenie "vlan 10" w trybie konfiguracji globalnej, następnie "name Pracownicy" jako czytelna etykieta. Krok 2: przypisanie portów dostępowych - wejście w konfigurację interfejsu "interface FastEthernet 0/1", następnie "switchport mode access" i "switchport access vlan 10". Krok 3: konfiguracja łącza trunk - "interface GigabitEthernet 0/1", "switchport mode trunk", "switchport trunk allowed vlan 10,20,30". Krok 4: weryfikacja - polecenie "show vlan brief" pokazuje listę VLAN-ów i przypisane porty; "show interfaces trunk" pokazuje stan łączy trunk. Krok 5: konfiguracja SVI na L3 Switch lub podinterfejsów na routerze dla routingu między VLAN-ami. Każdy krok powinien być natychmiast weryfikowany przed przejściem do kolejnego.

Okno terminala z poleceniami konfiguracji VLAN na Cisco IOS

Diagnostyka VLAN

Problemy z VLAN należą do najczęstszych zagadnień diagnostycznych w sieciach lokalnych. Symptom: komputer nie ma dostępu do sieci - nie może uzyskać adresu DHCP ani pingować bramy. Krok 1: sprawdź "show vlan brief" - czy port jest przypisany do właściwego VLAN-u? Krok 2: sprawdź "show interfaces trunk" - czy VLAN jest dozwolony na łączu trunk? Krok 3: sprawdź konfigurację SVI lub podinterfejsu routera - czy adres IP i maska są poprawne? Krok 4: sprawdź, czy serwer DHCP ma pulę adresów dla tego VLAN-u i czy jest do niego dostęp do bramy (routing). Inny częsty problem to "native VLAN mismatch" - przełączniki mają różne native VLAN-y na łączu trunk, co powoduje nieprzewidywalne zachowanie ruchu nietagowanego. Polecenie "show interfaces trunk" wyświetla native VLAN na każdym końcu i oznacza niezgodność komunikatem ostrzegawczym.

Schemat diagnostyki VLAN: kroki weryfikacji krok po kroku

DHCP Snooping - zabezpieczenie warstwy 2

DHCP Snooping to mechanizm bezpieczeństwa wbudowany w przełączniki, który chroni przed podszywaniem się pod serwer DHCP. Atakujący może uruchomić na swoim laptopie fałszywy serwer DHCP i przydzielać użytkownikom adresy IP ze złą bramą, kierując ruch przez swoją maszynę. DHCP Snooping dzieli porty przełącznika na "zaufane" (trusted) - tam, skąd mogą przychodzić odpowiedzi DHCP - i "niezaufane" (untrusted). Porty prowadzące do serwerów DHCP lub przełączników wyższej warstwy oznacza się jako trusted. Porty do stacji użytkowników są untrusted - odpowiedzi DHCP przychodząc z tych portów są odrzucane przez przełącznik. Przełącznik prowadzi "tablicę wiązań DHCP" (DHCP Snooping Binding Table) - zawiera MAC, IP, VLAN i port każdego klienta DHCP. Tablica ta jest potem używana przez mechanizmy Dynamic ARP Inspection i IP Source Guard do dalszej weryfikacji ruchu.

Schemat DHCP Snooping: porty trusted i untrusted na przełączniku

DAI i IP Source Guard

Dynamic ARP Inspection (DAI) chroni sieć przed atakami ARP Poisoning, w których atakujący wysyła fałszywe odpowiedzi ARP, aby przekierować ruch do swojej maszyny. DAI weryfikuje każdą ramkę ARP na portach niezaufanych: sprawdza, czy para MAC-IP w ramce ARP zgadza się z wpisem w tablicy wiązań DHCP Snooping. Jeśli para się nie zgadza, ramka jest odrzucana i generowany jest alarm. IP Source Guard działa podobnie, ale dla pakietów IP: pakiet z adresem IP niezgodnym z tablicą DHCP Snooping jest blokowany. Oba mechanizmy razem z DHCP Snooping tworzą spójny system zabezpieczający hosty w sieci LAN. Konfiguracja wymaga najpierw poprawnego działania DHCP Snooping - bez tablicy wiązań, DAI i IP Source Guard nie mogą weryfikować ruchu. Te mechanizmy są szczególnie ważne w sieciach akademickich i hotelowych, gdzie urządzenia różnych użytkowników trafiają do tej samej sieci fizycznej.

Przykład segmentacji dla średniej firmy

Przyjrzyjmy się przykładowi segmentacji sieci dla średniej firmy zatrudniającej 150 pracowników w jednym budynku. VLAN 10 (Biuro) - komputery pracowników biurowych, 90 hostów, podsieć 10.10.10.0/25. VLAN 20 (IT) - stacje administratorów, serwery zarządzania, 10 hostów, podsieć 10.10.20.0/28. VLAN 30 (Serwery) - serwery produkcyjne w serwerowni, 20 hostów, podsieć 10.10.30.0/27. VLAN 40 (VoIP) - telefony IP, 80 aparatów, podsieć 10.10.40.0/25. VLAN 50 (Drukarki) - urządzenia wielofunkcyjne, 15 sztuk, podsieć 10.10.50.0/28. VLAN 99 (Zarządzanie) - interfejsy zarządzania przełącznikami, podsieć 10.10.99.0/29. Ruch między VLAN-ami jest kontrolowany listami ACL na przełączniku L3 - biuro nie ma bezpośredniego dostępu do serwerów i sieci zarządzania.

Tabela VLAN z numerami, nazwami, podsieciami i liczbą hostów

Monitoring sieci VLAN

Sieć z wieloma VLAN-ami wymaga systematycznego monitorowania stanu portów, obciążenia łączy i dostępności bram. SNMP (Simple Network Management Protocol) umożliwia przełącznikom raportowanie statystyk do centralnego systemu NMS (Network Management System). Syslog pozwala przełącznikom wysyłać logi zdarzeń (zmiany statusu portów, błędy STP, naruszenia Port Security) do serwera centralnego. NetFlow lub sFlow dostarczają informacji o przepływach ruchu - pozwalają wykryć anomalie, np. nieoczekiwany ruch między VLAN-ami. Narzędzia takie jak PRTG, Zabbix lub LibreNMS wizualizują topologię sieci, aktywne VLAN-y i obciążenie łączy na dashboardach. Automatyczne alerty (e-mail, SMS) informują o awariach portów lub przekroczeniu progów obciążenia. Monitoring jest szczególnie ważny w środowiskach krytycznych - szpitalach, kampusach, centrach danych - gdzie przestój ma bezpośrednie konsekwencje biznesowe.

Przykładowy dashboard systemu NMS z monitorowaniem VLAN-ów i portów

ACL - filtrowanie między VLAN-ami

Listy ACL (Access Control List) to mechanizm filtrowania pakietów IP na routerach i przełącznikach L3. ACL definiuje reguły zezwalające lub blokujące ruch na podstawie adresów IP, protokołów i portów TCP/UDP. W kontekście VLAN-ów ACL stosuje się na interfejsach SVI lub podinterfejsach routera, aby kontrolować, jaki ruch może przechodzić między segmentami. Przykład: VLAN biurowy (10) ma dostęp do serwera plików w VLAN serwerów (30), ale blokowany jest dostęp do bazy danych produkcyjnej. ACL standardowa (standard ACL) filtruje tylko po źródłowym adresie IP. ACL rozszerzona (extended ACL) filtruje po źródle, celu, protokole i porcie - daje znacznie więcej możliwości. ACL powinny być umieszczane jak najbliżej źródła ruchu (extended ACL) lub jak najbliżej celu (standard ACL) - zasada pozwalająca na efektywne odrzucanie niechcianego ruchu jak najwcześniej.

Schemat ACL filtrujących ruch między VLAN-ami na przełączniku L3

Podsumowanie

Na tym wykładzie omówiliśmy mechanizmy zapewniające skalowalność i segmentację sieci lokalnych. VLAN dzieli sieć fizyczną na logiczne domeny rozgłoszeniowe, co zmniejsza zbędny ruch i podnosi bezpieczeństwo. Standard 802.1Q i łącza trunk umożliwiają przenoszenie wielu VLAN-ów przez jedno fizyczne połączenie. Routing między VLAN-ami realizują Router-on-a-Stick lub przełącznik warstwy trzeciej z interfejsami SVI. STP i EtherChannel zapewniają redundancję i wyższą przepustowość na łączach między przełącznikami. Mechanizmy DHCP Snooping, DAI i IP Source Guard chronią infrastrukturę Ethernet przed typowymi atakami w warstwie 2. Symulatory Packet Tracer i GNS3 umożliwiają praktyczne ćwiczenie konfiguracji przed wdrożeniem na fizycznych urządzeniach. Na kolejnym wykładzie przejdziemy do tematyki bezpieczeństwa: firewalli, VPN i szyfrowania w architekturach sieciowych.