こんにちはオリオン社員の石森です!
ネットワーク機器の実機テスト第3弾やっていきます!
前回はOSPFを使って、動的にルーティング設定をしました!
今回はVLAN構築の実機テストをやっていきたいと思います!
VLANとは
VLANはVirtual LAN の略です!
L2スイッチは基本的に
コリジョンドメインを分割する機器ですが、ブロードキャストドメインは分割できません。
VLANを使用すると1台の物理的なスイッチ上で仮想的に複数のネットワークを構築できます。
これにより、ブロードキャストドメインを分割できるのです。
VLANは番号で識別されており、同じ番号に属している機器でしか通信できません。
VLANのメリットは以下のとおりです!
・端末の配置に依存しない環境を作れる。
・ブロードキャストドメインを分割できる。
・セキュリティが向上する。
VLANのポートについて
VLANのポートには、2種類あります。
1つ目はアクセスポート
2つ目はトランクポート
アクセスポートは1つのVLANが通るポート。
サーバーやPCなどの終端装置に使うポートです。
トランクポートは複数のVLANが通るポート。
他のスイッチと接続しているポートに利用する。
例えば、経理部と人事部でネットワークを部署ごとに分割して、情報が洩れないようにするために使います。
トランクリンクにタグを付加する方法には2種類あります。
ISLとIEEE802.1Qです。
ISLはcisco独自のプロトコルです。
こちらは通信相手がcisco製機器でないと通信できません。
対して、IEEE802.1Qは標準化されたプロトコルです。
IEEE802.1QにはネイティブVLANがあります。
ネイティブVLANに指定すると、VLANのタグをつけずにそのまま送信できます。
DTPについて
DTP(Dynamic Trunking Protocol)はcisco独自のプロトコルです。
管理者が手動でアクセスポートとトランクポートの設定をしますが、1個1個設定するのは大変ですよね
でも、このDTPを使うとスイッチ間でネゴシエーションして対向ポートに合わせて自動で設定してくれます。
DTPが有効になっていると30秒ごとにマルチキャストアドレス宛にDTPフレームを送信しネゴシエーションします。
各ポートの組み合わせは以下のとおりです。
| リモート/ローカル | trunk | access | dynamic desirable | dynamic auto |
|---|---|---|---|---|
| trunk | トランクポート | × | トランクポート | トランクポート |
| access | × | アクセスポート | アクセスポート | アクセスポート |
| dynamic desirable | トランクポート | アクセスポート | トランクポート | トランクポート |
| dynamic auto | トランクポート | アクセスポート | トランクポート | アクセスポート |
VTPについて
複数のスイッチを管理すると設定が大変な上にほんの少しの設定ミスでVLANがずれて障害の原因となります。
VTPはVLANの設定ミスやVLAN名の不一致などを防ぐために使うCisco独自のプロトコルです。
これを使うことでVLANの管理が簡易化します。
VTPを使うとVLANの情報がトランリンクを通してマルチキャストで他のスイッチに伝播されます。
VLAN情報はVLANデーターベースに保存されます。
でも、これだと、どのスイッチが最新の情報を保持しているのか分からないので
最新情報の同期には、リビジョン番号を基準に選定していきます。
一番大きなリビジョン番号を持つスイッチが他のスイッチへVLAN情報を送信します。
リビジョン番号とは別にVTPドメインが共通でないと同期は行いません。
同期する場合は必ず、同じVTPドメインを設定します。
VTPの動作モード
VTPには3種類の動作モードがあります。
各モードで同期時の動作が異なります。
・サーバーモード
・クライアントモード
・トランスペアモード
サーバーモードはVLANの構築が可能でVLAN情報を他のスイッチアドバタイズします。
クライアントモードは自身でVLAN構築はできませんが、サーバーモードと同期してVLAN情報を取得します。受け取った情報を他のスイッチに流します。
トランスペアモードはVLANの構築が可能ですが、自身のVLAN情報をアドバタイズしません。
ですが、他のスイッチから受け取ったVTPアドバタイズを他のスイッチに流すことは可能です。
VLAN間ルーティング
L3スイッチを使ったVLAN間ルーティングを作っていきたいともいます。
通常のVLAN間ルーティングと仕組みは一緒ですが、ネットワーク層とデータリンク層を一つの機器でやってるので、ややこしいかもしれません(笑)
今回、作っていくVLANネットワーク図は以下の通りです。
上記のネットワーク図を見た方は疑問に感じたと思います。
以前とそんな変わらないじゃん!と思うかもしれません。
でも実際は、物理的なスイッチの中に仮想スイッチが入っているイメージなので、仮想的なスイッチも合わせると、L3スイッチの直下にVLANが入っている構成です。
そして、今回は経理部と人事部でネットワークを分割したVLAN環境を構築したいと思います。
実際にデータ転送できるか、ネットワークが分割されているかやってみましょう!
VLANの実機テスト
設定前にまずは、VLANのデフォルト設定を確認します。
show vlanで設定されているVLANを確認できます。。
Switch1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0/2, Fa1/0/4, Fa1/0/5
Fa1/0/6, Fa1/0/7, Fa1/0/8
Fa1/0/9, Fa1/0/10, Fa1/0/11
Fa1/0/12, Fa1/0/13, Fa1/0/14
Fa1/0/15, Fa1/0/16, Fa1/0/17
Fa1/0/18, Fa1/0/19, Fa1/0/20
Fa1/0/21, Fa1/0/22, Fa1/0/23
Fa1/0/24, Gi1/0/1, Gi1/0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports下記のように、show running-configでもVLANを確認できる項目があります。
interface Vlan1
no ip addressこのVLAN1は使用しません。
このVLAN1はデフォルトで存在するので
セキュリティ上の問題でVLANホッピングのように外部の人から不正に使われる可能性があります。
VLANをグローバルコンフィギュレーションモードで作成していきます
人事部用と経理部用のvlanIDを10番と20番で作成していきます!
グローバルコンフィギュレーションモードでの作成方法は以下の通りです。
Switch1(config)#vlan 10
Switch1(config-vlan)#name Human-Resources-Department
Warning: Vlan 10 name length exceeded the recommended length of 20 characters.
Switch1(config-vlan)#exit
Switch1(config)#vlan 20
Switch1(config-vlan)#name Accounting-Department
Warning: Vlan 20 name length exceeded the recommended length of 20 characters.それぞれのVLANが作成されいているか「show vlan」で確認してみます。
Switch1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0/1, Fa1/0/2, Fa1/0/4
Fa1/0/5, Fa1/0/6, Fa1/0/7
Fa1/0/8, Fa1/0/9, Fa1/0/10
Fa1/0/11, Fa1/0/12, Fa1/0/13
Fa1/0/14, Fa1/0/15, Fa1/0/16
Fa1/0/17, Fa1/0/18, Fa1/0/19
Fa1/0/20, Fa1/0/21, Fa1/0/22
Fa1/0/23, Fa1/0/24, Gi1/0/1
Gi1/0/2
10 Human-Resources-Department active
20 Accounting-Department active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------作成されているのが確認できました!
続いて、グローバルコンフィギュレーションモードからトランクポートに設定するインターフェースに移動して、L3スイッチ間で通信できるようにトランクポートを設定します
Switch1(config)#interface fa 1/0/1
Switch1(config-if)#
Switch1(config-if)#switchport trunk encapsulation dot1q
Switch1(config-if)#switchport mode trunkSVIを設定をします。
VLAN10のSVI設定
Switch1(config)#interface vlan 10
Switch1(config-if)#ip address 192.168.2.0 255.255.255.240
Bad mask /28 for address 192.168.2.0
Switch1(config-if)#ip address 192.168.2.1 255.255.255.240
Switch1(config-if)#exitVLAN20のSVI設定
Switch1(config)#interface vlan 20
Switch1(config-if)#
*Mar 1 02:55:50.922: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down
Switch1(config-if)#ip address 192.168.2.49 255.255.255.240
Switch1(config-if)#exitVLANの仮想インターフェースにIPアドレスが設定されているか確認してみます!
特権モードのshow interface briefで確認できます。
Switch1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Vlan1 unassigned YES NVRAM up up
Vlan10 192.168.2.1 YES manual up down
Vlan20 192.168.2.49 YES manual up down
FastEthernet1/0/1 unassigned YES unset up up
FastEthernet1/0/2 unassigned YES unset down down
FastEthernet1/0/3 192.168.1.252 YES NVRAM up up
FastEthernet1/0/4 unassigned YES unset down down
FastEthernet1/0/5 unassigned YES unset down down
FastEthernet1/0/6 unassigned YES unset down down
FastEthernet1/0/7 unassigned YES unset down down
FastEthernet1/0/8 unassigned YES unset down down
FastEthernet1/0/9 unassigned YES unset down down
FastEthernet1/0/10 unassigned YES unset down down
FastEthernet1/0/11 unassigned YES unset down down
FastEthernet1/0/12 unassigned YES unset down down
FastEthernet1/0/13 unassigned YES unset down down
FastEthernet1/0/14 unassigned YES unset down down
FastEthernet1/0/15 unassigned YES unset down down
FastEthernet1/0/16 unassigned YES unset down down
FastEthernet1/0/17 unassigned YES unset down down
FastEthernet1/0/18 unassigned YES unset down down
FastEthernet1/0/19 unassigned YES unset down down
FastEthernet1/0/20 unassigned YES unset down down
FastEthernet1/0/21 unassigned YES unset down down
FastEthernet1/0/22 unassigned YES unset down down
FastEthernet1/0/23 unassigned YES unset down down
FastEthernet1/0/24 unassigned YES unset down down
GigabitEthernet1/0/1 unassigned YES unset down down
GigabitEthernet1/0/2 unassigned YES unset down downSVIの設定は完了しましたが、先ほどの「show vlan」で確認すると、まだport欄にVLANIDが一つも設定されていないのが確認できますので、ここからインターフェースを設定したいと思います!
設定方法は簡単で、対象ポートのインターフェースコンフィギュレーションモードで switchport access vlan [vlan id]で設定できます。
Switch1(config)#int fa 1/0/5
Switch1(config-if)#switchport access vlan 10設定した内容が反映されているか確認します。
Switch1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0/2, Fa1/0/4, Fa1/0/6
Fa1/0/7, Fa1/0/8, Fa1/0/9
Fa1/0/10, Fa1/0/11, Fa1/0/12
Fa1/0/13, Fa1/0/14, Fa1/0/15
Fa1/0/16, Fa1/0/17, Fa1/0/18
Fa1/0/19, Fa1/0/20, Fa1/0/21
Fa1/0/22, Fa1/0/23, Fa1/0/24
Gi1/0/1, Gi1/0/2
10 Human-Resources-Department active Fa1/0/5
20 Accounting-Department active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------設定されていますね!
では、switch1での設定は以上です。
同じ手順をswitch2でもやります!と言いたいところですが
設定が大変なので先ほど説明したVTPを活用します!
VTPドメインの設定
Switch1(config)#vtp domain VLAN-TEST
Changing VTP domain name from NULL to VLAN-TEST
Switch1(config)#
*Mar 1 03:40:30.428: %SW_VLAN-6-VTP_DOMAIN_NAME_CHG: VTP domain name changed to VLAN-TEST.VTPモードの設定
Switch1(config)#vtp mode server
Device mode already VTP Server for VLANS.VTPが設定されているか確認
補足:通常コマンドの文頭にdo を使用することでコンフィギュレーションモードでも設定が確認できます!
Switch1(config)#do show vtp status
VTP Version capable : 1 to 3
VTP version running : 1
VTP Domain Name : VLAN-TEST
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : 5478.1ac3.5c00
Configuration last modified by 192.168.1.252 at 3-1-93 02:30:23
Local updater ID is 192.168.2.1 on interface Vl10 (lowest numbered VLAN interface found)
Feature VLAN:
--------------
VTP Operating Mode : Server
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
Configuration Revision : 3
MD5 digest : 0xD9 0x54 0xD9 0x19 0xC8 0xF1 0x3E 0xB8
0x03 0x89 0x21 0x9A 0xC6 0xE5 0x9E 0xB3switch2もVTPドメインの設定とVTPのモードを設定します。
serverからVLAN情報を取得したいのでclientモードに設定します。
Switch2(config)#vtp domain VLAN-TEST
Changing VTP domain name from NULL to VLAN-TEST
Switch2(config)#
Switch2(config)#vtp mode clientswitch2 VTP設定確認
Switch2(config)#do show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa2/0/2, Fa2/0/3, Fa2/0/4
Fa2/0/5, Fa2/0/6, Fa2/0/7
Fa2/0/8, Fa2/0/9, Fa2/0/10
Fa2/0/11, Fa2/0/12, Fa2/0/13
Fa2/0/14, Fa2/0/15, Fa2/0/16
Fa2/0/17, Fa2/0/18, Fa2/0/19
Fa2/0/20, Fa2/0/21, Fa2/0/22
Fa2/0/23, Fa2/0/24, Gi2/0/1
Gi2/0/2
10 Human-Resources-Department active
20 Accounting-Department active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - srb 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------show vlanコマンドで確認するとVLAN情報が共有されていることが確認できますね!
あとは、取得したVLAN情報を各ポートに設定するだけです!
Switch2(config)#int fa 2/0/1
Switch2(config-if)#switchport trunk encapsulation dot1q
Switch2(config-if)#switchport mode trunk
Switch2(config-if)#exit
Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.
Switch2(config)#
Switch2(config)#int fa 2/0/3
Switch2(config-if)#switchport access vlan 10
Switch2(config-if)#exitL3スイッチの設定は以上です!
それでは、経理部PC(192.168.2.2)で通信を確認してみます!
switch2Fa 2/0/3 アクセスポートにVLAN10を設定したときの通信結果
C:\Users\jisim>ping 192.168.2.3
192.168.2.3 に ping を送信しています 32 バイトのデータ:
192.168.2.3 からの応答: バイト数 =32 時間 <1ms TTL=64
192.168.2.3 からの応答: バイト数 =32 時間 <1ms TTL=64
192.168.2.3 からの応答: バイト数 =32 時間 <1ms TTL=64
192.168.2.3 からの応答: バイト数 =32 時間 <1ms TTL=64
192.168.2.3 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 0ms、最大 = 0ms、平均 = 0msよし!送信されていますね!
ちなみにswitch2のFa 2/0/3のアクセスポートに人事部用に作ったVLAN20で設定した場合の経理部PCの動作も確認してみます!
switch2Fa 2/0/3 アクセスポートにVLAN20を設定したときの通信結果
C:\Users\jisim>ping 192.168.2.3
192.168.2.3 に ping を送信しています 32 バイトのデータ:
192.168.2.2 からの応答: 宛先ホストに到達できません。
192.168.2.2 からの応答: 宛先ホストに到達できません。
192.168.2.2 からの応答: 宛先ホストに到達できません。
192.168.2.2 からの応答: 宛先ホストに到達できません。
192.168.2.3 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、予想通り、通信に失敗しましたね!
これで経理部と人事部で通信が分けられていることが分かると思います!
では、今回のVLAN実機テストは以上です!
ここまで見てくださりありがとうございます!
コメント