Virtual Local Area Network – VLAN Teil 2 – Konfiguration

In meinem letzten Artikel habe ich den grundlegenden Aufbau des Netzwerkes meiner imaginären Firma beschrieben. Um die Konfiguration dieses Netzwerkes geht es im zweiten Teil des Artikels. Ich habe hier die wichtigen Teile der Konfigurationen in Textdateien hinterlegt.
Switch Grundkonfiguration
Switch Makros

Es werden folgende VLAN’s (Virtual Local Area Network) gebildet:

VLAN 10 : 172.16.1.0 / 24 – Produktion
VLAN 20 : 172.16.2.0 / 24 – Entwicklung
VLAN 30 : 172.16.3.0 / 24 – Finanzen
VLAN 40 : 172.16.4.0 / 24 – Management (Router und Switche)

Die Switche werden mit Port Security und die Switch Verbindungen (Trunk Links) mit Port Channel Uplinks verbunden. Die DHCP IP-Adressen werden von einem Router vergeben, dessen Konfiguration im dritten Teil des Artikels (Inter VLAN Routing) beschrieben wird.
Netzwerk Aufbau mit VLAN
Als Erstes werden die VLAN’s auf allen Switchen eingerichtet:

vlan 10
name Produktion
vlan 20
name Entwicklung
vlan 30
name Finanzen
vlan 40
name Management

Dann werden im Managementnetz die IP Adressen für die Switche vergeben.

Switch 1 :

interface vlan 40
ip address 172.16.4.10 255.255.255.0

Switch 2 :

interface vlan 40
ip address 172.16.4.11 255.255.255.0

Switch 3 :

interface vlan 40
ip address 172.16.4.12 255.255.255.0

Switch 4 :

interface vlan 40
ip address 172.16.4.1 255.255.255.03

Auf allen vier Switchen zeigt das Default Gateway auf den Router:

ip default-gateway 172.16.4.1

Um das DHCP Snooping und die ARP Inspection zu aktivieren, werden folgende Einträge benötigt:

ip dhcp snooping vlan 10,20,30
no ip dhcp snooping information option
ip dhcp snooping database flash:/dhcp-snoop-db
ip dhcp snooping
ip arp inspection vlan 10,20,30

Hier wird festgelegt, dass die “nicht vertrauenswürdigen” User Ports eine DHCP Adresse beziehen müssen. Diese Zuordnung (MAC Adresse / IP Adresse) wird dann in eine Datenbank geschrieben. Das dient dazu, um “Man in the Middle” Attacken zu unterbinden.

Dann gibt es auf jedem Switch noch die Makros für die Portkonfiguration (ich habe die vollständigen Makros hier in einer Textdatei hinterlegt):
Makro User (Einstellungen für Benutzerports mit Portsecurity)
Makro Server (Einstellungen für Serverport mit geänderter Portsecurity)
Makro Management (Einstellungen für Management Geräte mit geänderter Portsecurity)
Makro Default (Porteinstellungen zurücksetzen)

Sehen wir uns das Makro “User” etwas genauer an:

macro name user
description user_$vlan $descr
switchport access vlan $vlan
switchport mode access

Hier werden die allgemeinen Einstellungen vorgenommen (Access Mode, VLAN, …)

ip arp inspection limit rate 10

Von diesem Port werden nur 10 ARP Anfragen pro Minute erlaubt. Sind es mehr, wird der Port deaktiviert.

storm-control broadcast level pps 50
storm-control multicast level pps 100
storm-control action shutdown
storm-control action trap

Broadcast und Multicast Stürme werden erkannt und unterbunden.

switchport port-security
switchport port-security violation protect

Port Security wird aktiviert.

switchport port-security maximum 2

Maximale Anzahl von zwei Netzwerkgeräten an diesem Port

switchport port-security aging time 1
switchport port-security aging type inactivity

Die “aging time” und der “aging type” sorgen dafür, das eine inaktive MAC Adresse nach einer Minute aus dem Cache gelöscht wird.

spanning-tree portfast
spanning-tree bpduguard enable

Der Port geht nach einem erkannten Link sofort in den forwarding Status. Dadurch werden DHCP Probleme vermieden. Um einen Loop zu verhindern, wird zusätzlich die BPDU Überwachung aktiviert.

ip dhcp snooping limit rate 20

Damit an diesem Port kein DHCP Server betrieben werden kann, wird ein Limit gesetzt. Hier sind es 20 DHCP-Pakete pro Sekunde.

ip verify source

Prüft, ob IP, Port und MAC Adresse zueinanderpassen.

no shutdown @

Mit den Makros kann dann der jeweilige Port schnell und einfach konfiguriert werden:

interface FastEthernet 0/1
macro apply user $vlan 10 $descr PC-Arbeitsplatz

Jetzt ist dieser Port in VLAN 10 als User Port eingerichtet.

Es fehlen noch die Verbindungen zwischen den einzelnen Switchen. Jeder Switch ist direkt mit dem Hauptswitch (Switch 4) per Trunk Links und Portchannel angebunden. Trunk Links sorgen dafür, dass über die Verbindung alle Pakete geschickt werden. Damit die Pakete in den jeweiligen VLAN’s bleiben, bekommen die Pakete einen zusätzlichen Marker, der beschreibt in welches VLAN ein Datenpaket gehört (das sogenannte VLAN tagging). Der Port Channel dient dazu, die Switchverbindungen zum einen redundant zu haben (Ausfallsicherheit) und zum anderen die Geschwindigkeit zu erhöhen.

Auf den drei Switchen der einzelnen Abteilungen werden jeweils die Ports FastEthernet 0/47 und FastEthernet 0/48 als Trunk konfiguriert und ein neues Interface für den Portchannel angelegt:

interface Portchannel 1
description PortChannel
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
no shutdown

interface range FastEthernet 0/47 - 48
description Trunk
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
channel-group PortChannel 1 mode active
no shutdown

Auf dem Hauptswitch (Switch 4) werden dann drei Portchannel und Trunks benötigt:

interface Portchannel 1
description PortChannel
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
no shutdown

interface Portchannel 2
description PortChannel
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
no shutdown

interface Portchannel 3
description PortChannel
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
no shutdown

interface range FastEthernet 0/43 - 44
description Trunk
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
channel-group PortChannel 1 mode active
no shutdown

interface range FastEthernet 0/45 - 46
description Trunk
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
channel-group PortChannel 2 mode active
no shutdown

interface range FastEthernet 0/47 - 48
description Trunk
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
channel-group PortChannel 1 mode active
no shutdown

Damit sind die Grundlagen geschaffen, um die Nutzer im kompletten Netzwerk problemlos arbeiten zu lassen. Im dritten Teil geht es dann ans InterVlan Routing und die Internetverbindung.

10 Kommentare

Schreibe einen Kommentar

You have to agree to the comment policy.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg