- Laboratorium sieci komputerowych

Laboratorium z przedmiotu Sieci
Komputerowe - Wirtualne sieci lokalne
Łukasz Wiszniewski
2015
Rozdział 1
Instrukcja dla studentów
1.1
Wprowadzenie do sieci wirtualnych w standardzie IEEE 802.1Q
IEEE 802.1Q jest standardem opisującym działanie wirtualnych sieci LAN
(VLAN) budowanych w środowisku transportującym ramki. Został opracowany w celu wykorzystania jednego fizycznego łącza do przesyłania informacji pochodzących z kilku sieci z zachowaniem ich rozróżnialności. Dane
przesyłane w obrębie jednej sieci wirtualnej, nie są widoczne dla pozostałych
sieci, wykorzystujących to samo fizyczne łącze. Nazwa IEEE 802.1Q jest również stosowana do określenia protokołu enkapsulacji, który używany jest w
implementacji tego mechanizmu w sieci Ethernet.
Urządzenia zarządzane (np. przełączniki), działające zgodnie ze standardem 802.1Q, stosują specjalne oznaczanie ramek (tagowanie). Nie jest to
dodatkowa enkapsulacja, a jedynie dołączanie informacji do której sieci wirtualnej przynależy dana ramka. Dla ramek ethernetowych oznaczenie polega
na wstawieniu dodatkowych 4 bajtów pomiędzy adres źródłowy MAC a pole
EtherType. Określane jako TPID (ang. Tag Protocol Identifier). 2 pierwsze
dodatkowe bajty są znacznikiem i zawsze mają wartość 0x8100, co umożliwia
identyfikację ramki jako oznaczonej w standardzie 802.1Q. Pozostałe 2 bajty
zwane TCI (ang. Tag Control Information) zawierają następujące informacje:
• pole PCP – pole składające się z trzech bitów, używane do oznaczenia
priorytetu ramki. Sposób użycia tego pola jest zdefiniowany w standardzie IEEE 802.1p
• pole CFI (ang. Canonical Format Indicator) – jednobitowy identyfikator, który mówi o tym, w jakiej technologii została utworzona sieć
LAN. Ramki o technologii innej niż port są odrzucane.
2
• VLAN ID (VID) – 12-bitowe pole określające, do której sieci witualnej
należy ramka. Wartość zero oznacza, że ramka nie należy do żadnej
wirtualnej sieci, wartość jeden jest zwyczajowo wykorzystywana dla
mostów, a wartość 0xFFF jest zarezerwowana do innych celów. Pozostałe 4093 wartości mogą być użyte do oznaczenia poszczególnych sieci
VLAN. Urządzenie działające w standardzie 802.1Q po otrzymaniu takiej ramki odczytuje VLAN ID i kieruje ramkę do odpowiedniej sieci
wirtualnej.
Rysunek 1.1: Porównanie ramki przed i po dodaniu VLAN ID
Ramki należące do wbudowanych sieci wirtualnych nie są modyfikowane
podczas przesyłania ich we wspólnym łączu. Jedna z tych sieci jest zawsze
typu “Native”, co określane jest zwyczajowo jako „Management VLAN”
(sieci zarządzające). Dla przykładu, jeżeli port typu 802.1Q przyporządkowany jest do sieci wirtualnej numer 4, 5 i 7, a sieć numer 4 jest siecią “Native VLAN”, ramki wychodzące z tej sieci oraz z wyżej wymienionego portu
nie mają dołączanego nagłówka 802.1Q (mają standardowy nagłówek ramki
Ethernet). W przypadku ramek przychodzących do tego portu bez dodatkowych 4 bajtów w nagłówku oznaczających numer sieci wirtualnej są wysyłane
do sieci numer 4. Zachowanie dla pozostałych wirtualnych sieci na tym porcie pozostaje bez zmian. Każdy port typu 802.1Q może mieć tylko jedną sieć
„Native VLAN”, jednak dla każdego portu sieć ta może być inna. W przypadku łączy typu „trunk” (jedno fizyczne połączenie transportujące wiele
sieci wirtualnych), które są budowane między dwoma interfejsami sieciowymi,
„native VLAN” na obu stronach tego łącza mogą mieć różne VLAN-ID, jednak pakiety bez znaczników wędrujące takim łączem nadal należą do jednej
sieci wirtualnej.
1.2
Porty, urządzenia i VLANY
Porty sieciowe mogą pracować w dwóch trybach: access oraz trunk. Pierwszy
z nich umożliwia przypisanie tylko do jednej sieci wirtulanej. Ramki wychodzące z portu typu access nie są tagowane znacznikiem 802.1Q Aby pomiędzy
urządzeniami jednym łączem przesyłać ramki z różnych sieci, należy na tym
łączu umożliwić przesyłanie ramek w ramach różnych sieci wirtulanych. Do
3
tego złuży łącze typu trunk (ang. VLAN trunk). Komunikację w ramach
jednej sieci wykorzystującej łącza trunk (czyli sieci wirtulanych obejmującej
więcej niż jeden przełącznik) umożliwia technika oznaczania ramek sieciowych identyfikatorem sieci (ang. VLAN ID).
W urządzeniach firmy Cisco nazwa portu składa się z trzech członów. Np.
FastEthernet0/1
• FastEthernet - nazwa typu portu, w tym przypadku jest to Ethernet o
szybkości 100Mbps
• 0 - numer grupy
• 1 - numer interfejsu
Inne przykłady nazw:
GigabitEthernet0/20 - Interfejs o szybkości 1000Mbps, w grupie 0, numer
interfejsu 20
TenGigabitEthernet5/2 - Interfejs o szybkości 10000Mbps, w grupie 5, numer
interfejsu 2
1.2.1
Konfiguracja urządzeń Cisco
Konfigurację przełączników Cisco przeprowadzamy za pomocą kabla konsolowego i programu minicom.
minicom
Jeśli program nie może się połączyć z urządzeniem należy ponownie uruchomić program z opcja -s
minicom -s
1.2.2
Funkcjonalność Port Mirroring na urządzeniach
Cisco
Ustawianie monitora ruchu na porcie FastEthernet 0/1. Wyjście kopiowane
jest na port FastEthernet0/2 Wejście do konfiguracji z terminala
switch# conf t
monitor session 1 source interface FastEthernet 0/1
monitor session 1 destination int FastEthernet 0/2 encapsulation dot1q
4
Usuwanie monitora
no monitor session 1
1.2.3
Dodawanie nowego vlanu do urządzenia Cisco
Przykładowa konfiguracja VLANu na urządzeniu Cisco.
Wejście do konfiguracji z terminala
switch# conf t
Nowa sieć wirtualna o numerze XX:
switch (config)# vlan XX
Nadanie nazwy vlanowi:
switch (config-vlan)# name ’’Nazwa sieci wirtulalnej’’
Wyjście:
switch (config-vlan)# exit
1.2.4
Tryb access na urządzeniu Cisco
Przypisanie sieci wirtulalnej XX na interfejsie FastEthernet 0/1 w trybie
access.
Wejście do konfiguracji z terminala
switch# conf t
Wejście do konfiguracji interfejsu:
switch (config)# int FastEthernet 0/1
Ustawianie portu w tryb access:
switch (config-if)# switchport mode access
Włączenie vlanuXX na porcie:
switch (config-if)# switchport access vlan xx
Wyjście
switch (config-if)# exit
5
1.2.5
Tryb trunk na urządzeniu Cisco
Przypisanie dwóch sieci wirtulanych (XX oraz YY) na interfejsie FastEthernet
0/1 w trybie trunk.
Wejście do konfiguracji z terminala
switch# conf t
Wejście do konfiguracji interfesju:
switch (config)# int FastEthernet 0/1
Ustawienie enkapsulacji:
switch (config-if)# switchport trunk encapsulation dot1q
Ustawianie portu w tryb trunk:
switch (config-if)# switchport mode trunk
Włączenie vlanuXX na porcie:
switch (config-if)# switchport trunk allowed vlan XX,YY
Wyjście:
switch (config-if)# exit
1.2.6
Podgląd aktulanej konfiguracji urządzenia
Aby zobaczyć aktulaną konfigurację urządzenia należy wpisać
switch# show running-config
I następnie przewijać ekran spacją.
6
Rozdział 2
Ćwiczenia laboratoryjne
Wszystkie ćwiczenia laboratoryjne wykonywane są na systemie Linux. Każdy
komputer posiada trzy karty sieciowe oznaczone następująco:
• eth0 - interfejs dostępu do Internetu (nie zmienić ustawień)
• eth1 - interfejs do ćwiczeń (skonfigurować adres IP 10.7.7.X/24 - gdzie
x to nr komputera)
• eth2 - interfejs do podglądu działania sieci przy użyciu narzędzia wireshark
Wskazówki:
• login/haslo na komputer w laboratrium root/kti
• przypisywanie adresu ip do interfejsu na systemie linux:
ip address add ZZ.ZZ.ZZ.ZZ/MM dev ethX
ip link set ethX up
• login/haslo do urządzeń cisco admin/admin
• W urządzeniach Cisco działa autouzupełnanie po przyciśnięciu klawisza
TAB
7
2.1
Ćwiczenie 1 - Zapoznanie się z podstawową funkcjonalnością przełączników cisco
Celem tego ćwiczenia jest konfiguracja prostej sieci pomiędzy dwoma komputerami według poniższego schematu.
Rysunek 2.1: Schemat ćwiczenia nr 1.
Wskazówki
• Przydzielić adres 10.7.7.x/24 (x - nr komputera) na karcie sieciowej
eth1
• Komputery o numerach nieparzystych podłączyć należy do portu 0/10
przełącznika.
• Komputery o numerach parzystych podłączyć należy do portu 0/2 przełącznika.
• W obu komputerach do podłącznia korzytać należy z interfesju eth1.
Ćwiczenie zostaje zaliczone gdy zostanie zademonstrowane, za pomocą polecenia ping, prawidłowe działania połączenia.
8
2.2
Ćwiczenie 2 - Zebranie danych za pomocą
analizatora Wireshark
Celem tego ćwiczenia jest zebranie danych programem wireshark. Na prze-
Rysunek 2.2: Schemat ćwiczenia nr 2.
łączniku cisco należy skonfigurować, na porcie FastEthernet0/6, mirror jednego z portów do których podłączone są komputery studentów. Pod skonfigurowany port nalezy podpiąć interfejs eth2 jednego z komputerów.
UWAGA: w konsoli (programie minicom) może pojawić się ostrzeżenie (zaczynające się od słowa WARNING) - należy je zignorować.
Następnie należy uruchomić program Wireshark i zebrać kilka pakietów ICMP
przesyłanych pomiędzy komputerami, przez polecenie ping.
9
2.3
Ćwiczenie 3 - Konfiguracja wirtualnych
sieci lokalnych na dwóch komputerach
Celem tego ćwiczenia jest konfiguracja sieci wirtulalnej na dwóch portach
przełącznika. W tym ćwiczeniu konfigurację urządzeń przeprowadza się z
komputerów nieparzystych. Wskazówki
Rysunek 2.3: Schemat ćwiczenia nr 3.
• Komputery o numerach nieparzystych podłączyć należy do portu 0/10
przełącznika.
• Komputery o numerach parzystych podłączyć należy do portu 0/2 przełącznika.
• W obu komputerach do podłącznia korzytać należy z interfesju eth1.
• Sprawdzić czy na interfejsie eth1 jest przydzilony wcześniej adres
Ćwiczenie zostaje zaliczone gdy zostanie zademonstrowane, za pomocą polecenia ping, prawidłowe działania połączenia.
10
2.4
Ćwiczenie 4 - Konfiguracja wirtualnych
sieci lokalnych na czterech komputerach
Celem tego ćwiczenia jest spięcie czterech komputerów w jedną dużą sieć
według poniższego schematu. Wskazówki
Rysunek 2.4: Schemat ćwiczenia nr 5.
• Potrzebny jest dodatkowy przełącznik spinający dwie podsieci.
• Na trzecim przełączniku należy dodać vlany wszystkich komputerów
(dwa)
• Następnie należy skonfigurować dwa porty: FastEthernet0/2 oraz FastEthernet0/10
Ćwiczenie zostaje zaliczone gdy zostanie zademonstrowane połącznie pomiędzy dwoma komputerami będącymi w tym samym vlanie.
11
2.5
Ćwiczenie 5 - Analiza pakietów przesyłanych pomiędzy różnymi sieciami wirtulanymi
Rysunek 2.5: Schemat ćwiczenia nr 6.
Na porcie FastEthernet0/20 trzeciego przełącznika należy skonfigurować
mirror jednego z portów: FastEthernet0/2 lub FastEthernet0/10. Pod skonfigurowany port należy podłączyć interfejs eth2 jednego z komputerów i zademonstrować prowadzącemu różnice w pakietach icmp przesyłanych pomiędzy
różnymi sieciami wirtualnymi.
12
2.6
Ćwiczenie 6* - Sieć szkieletowa z kilkoma
vlanami
Przed przystąpieniem do konfiguracji należy usunąć wszelkie monitory z
urządzeń!
Wykorzystując wszystkie komputery dostępne w laboratorium należy zbudo-
Rysunek 2.6: Schemat ćwiczenia nr 7.
wać sieć zgodnie z powyższym schematem. Ćwiczenie zostaje zaliczone gdy
będzie możliwa komunikacja pomiędzy komputerami w ramach tej samej sieci
wirtualnej.
13
2.7
Ćwiczenie 7* - Ograniczanie dostępności
vlanów w sieci szkieletowej
Sieć z poprzedniego ćwiczenia należy przekonfigurować w taki sposób aby:
• komputery 17 i 13 które sa w vlanie V1 mogły się ze sobą komunikować
• komputery 1, 5 i 9 które sa w vlanie V1 mogły się ze sobą komunikować
• wzajemna komunikacja komputerów pomiędzy tymi grupami ma być
niemożliwa (np komputer 1 oraz 13 nie mogą się ze sobą komunikować)
• wszystkie pozostałe komputery mają się komunikować tak jak w ćwiczeniu 7
14