Einführung in VLANs, Teil 2

Es gibt drei Verfahren der Zuweisung ein Paketes zu einem VLAN:

• portbasierte VLANs (statisch)

• auf MAC-Adressen basierende VLANs (dynamisch)

• protokollbasierte VLANs (dynamisch)

Die Anzahl der VLANs im Switch kann aufgrund mehrerer Faktoren variieren. Zu diesen Faktoren gehören Datenverkehrsmuster, Anwendungstypen, Netzmanagementbedürfnisse und Gruppenzugehörigkeit. Ein wesentlicher Aspekt bei der Definition der Switch-Größe und der Anzahl der VLANs ist das verwendete IP-Adressschema.

Nehmen wir beispielsweise an, ein Netzwerk verwendet zur Definition der Subnetze eine 28-Bit-Maske. Hieraus ergibt sich, dass insgesamt 14 Hostadressen in einem Subnetz zulässig sind. Da ein 1:1-Verhältnis zwischen VLANs und IP-Subnetzen strikt empfohlen wird, können in jedem VLAN nicht mehr als 14 Geräte vorhanden sein.

Miniserie VLANs

Einführung in VLANs, Teil 1	Grundlagen
Einführung in VLANs, Teil 2	VLAN-Frames und Konfiguration eines VLANs

Kennzeichnung von VLAN-Frames

In VLANs mit mehreren Switches werden die Frame-Header gekapselt oder modifiziert, um die Frames mit einer VLAN-Kennung zu markieren, wenn sie über die Leitung zwischen Switches weitergeleitet werden. Vor der Weiterleitung zum Endgerät wird der Header dann wieder in sein Ursprungsformat zurückversetzt. Mit Hilfe dieser VLAN-Kennzeichnung wird logisch ermittelt, welche Pakete zu welcher VLAN-Gruppe gehören. Es gibt mehrere derartige Bündelungsmethoden (engl. Trunking): IEEE 802.1Q, ISL, 802.10 und LANE.

IEEE 802.1Q (Frame-Tagging)

Dieses Protokoll ist eine IEEE-Standardmethode zur Kennzeichnung von VLANs durch Einfügen einer VLAN-Kennung in den Frame-Header. Der Vorgang heißt deswegen auch Frame-Tagging (Frame-Kennzeichnung). Abbildung 13 zeigt das Format eines 802.1Q-Frames. Jeder 802.1Q-Port arbeitet als »VLAN-Leitungsbündel« (engl. Trunk) und gehört zum »nativen« VLAN, standardmäßig mit einer VLAN-ID 1. 802.1Q versieht Frames für das native VLAN nicht mit einem Tag. Deswegen könnten normale Stationen an einem 802.1Q-Port die nativen, nicht gekennzeichneten Frames lesen, alle anderen Frames aber nicht (weil diese eben gekennzeichnet sind). Das IEEE 802.1Q-Frame-Tagging ist die bevorzugte Methode für den Austausch von VLAN-Daten zwischen Switches.

ISL

ISL (Inter-Switch Link) ist ein proprietäres Trunking-Protokoll von Cisco, das ebenfalls mehrere Switches miteinander verbindet. Es wird von Switches und Routern gleichermaßen unterstützt. Abbildung 14 zeigt das Frame-Format.

Die ISL-Kapselung, die von den Switches der Catalyst-Serien verwendet wird, ist eine latenzarme Methode für das Multiplexing von Datenverkehr mehrerer VLANs über einen einzigen physischen Pfad. Es wurde für Verbindungen zwischen Switches, Routern und Netzwerkkarten implementiert, die in Knoten (z. B. Servern) installiert sind. Um ISL verwenden zu können, benötigte jedes beteiligte Gerät eine ISL-Konfiguration. Ein Router mit mindestens einem ISL-Port wird verwendet, um die Kommunikation zwischen VLANs zu ermöglichen.

Ein Nicht-ISL-Gerät, das ISL-gekapselte Ethernet-Frames empfängt, kann diese als Protokollfehler interpretieren, wenn die Gesamtgröße von Header und Daten-Frame aufgrund der ISL-Kapselung die MTU-Größe (Maximum Transmission Unit) überschreitet.

FDDI 802.10

802.10 ist eine proprietäre Methode von Cisco zum Transport von VLAN-Daten innerhalb eines standardkonformen IEEE 802.10-Frames (FDDI, Fiber Distributed Data Interface). Die VLAN-Daten werden in den SAID-Anteil (Security Association Identifier, Sicherheits-ID) des 802.10-Frames geschrieben. Diese Methode wird verwendet, um VLAN-Daten über FDDI-Backbones zu übertragen.

LANE

LANE (LAN Emulation) ist ein durch das ATM-Forum definierter Standard, der zwei Stationen, die über ATM (Asynchronous Transfer Mode) angebunden sind, die gleichen Möglichkeiten wie in herkömmlichen LANs (z. B. Ethernet oder Token Ring) bietet. Wie der Name bereits sagt, besteht die Funktion des LANE-Protokolls in der Emulation eines LAN, die auf ein ATM-Netzwerk aufsetzt. Im Speziellen beschreibt das LANE-Protokoll Methoden zur Emulation von IEEE 802.3-Ethernet- oder 802.5-Token Ring-LANs.

Das LANE-Protokoll definiert eine Dienstschnittstelle für Protokolle übergeordneter Schichten (genauer: der Vermittlungsschicht), die mit der vorhandener LANs identisch ist. Daten, die über das ATM-Netzwerk gesendet werden, werden im passenden LAN-MAC-Format gekapselt, d. h., das LANE-Protokoll sorgt dafür, dass sich ein ATM-Netzwerk so darstellt und auch verhält wie ein Ethernet- oder Token Ring-LAN. Abbildung 15 zeigt ein Beispiel für ein LANE-Netzwerk.

Die Tabelle fasst die Methoden für Frame-Tagging und Kapselung zusammen.

Frame-Tagging- und Kapselungsmethoden

Erkennungsmethode	Kapselung	Tagging	Medium
802.1Q	Nein	Ja	Ethernet
ISL	Ja	Nein	Ethernet
802.10	Nein	Nein	FDDI
LANE	Nein	Nein	ATM

VLAN-Konfiguration

Ursprünglich glaubten die Netzwerkadministratoren, dass VLANs ihre Arbeit erleichtern und Router in Zukunft nicht mehr benötigt würden. Zu ihrem Leidwesen aber war dies eine falsche Annahme: VLANs beseitigen nämlich keine Probleme in Schicht 3. Möglicherweise erleichtern sie den Administratoren die Lösung des einen oder anderen Schicht-3-Problems – z. B. die leichtere Erstellung von ACLs –, aber ohne Schicht-3-Routing geht es nach wie vor nicht.

Statische VLANs konfigurieren

Statische VLANs sind Ports an einem Switch, die einem VLAN durch eine VLAN-Managementanwendung oder durch direkte Konfiguration der Ports statisch zugewiesen sind. Diese Ports behalten ihre VLAN-Konfiguration so lange bei, bis Sie sie selbst ändern. Zwar müssen Änderungen bei statischen VLANs explizit vom Administrator vorgenommen werden, aber dafür sind sie sicher, leicht zu konfigurieren und ohne Aufwand zu überwachen. Statische VLANs sind die richtige Wahl für Netzwerke, für welche die folgenden Bedingungen zutreffen:

• Änderungen müssen verfolgt und administriert werden.

• Es ist eine robuste VLAN-Managementsoftware vorhanden, um die Ports zu konfigurieren.

• Es ist nicht wünschenswert, zusätzlichen Aufwand zur Administration der MAC-Adressen von Endstationen und angepassten Filtertabellen zu betreiben.

Dynamische VLANs hingegen haben keine Ports, die einem bestimmten VLAN zugewiesen sind. Hier basiert die VLAN-Zuweisung vielmehr auf der MAC-Adressierung, der logischen Adressierung oder dem Protokolltyp.

Wichtige Regeln

Beachten Sie die folgenden Grundsätze, wenn Sie statische VLANs an Cisco 29xx-Switches konfigurieren:

• Die maximale Anzahl der VLANs ist Switch-spezifisch und durch die Anzahl der Ports am Switch beschränkt.

• VLAN1 ist das werksseitig für alle Ports vorkonfigurierte VLAN.

• VLAN1 ist das native VLAN.

• CDP- und VTP-Advertisements (Cisco Discovery Protocol, VLAN Trunking Protocol) werden über VLAN1 gesendet.

• An allen Switch-Trunks, die am VLAN teilnehmen, muss das gleiche Trunk-Protokoll (z. B. 802.1Q oder ISL) konfiguriert sein.

• Die Befehle zur Konfiguration von VLANs variieren je nach Switch-Modell.

• Die Management-IP-Adresse eines Catalyst 29xx-Switchs befindet sich standardmäßig in der VLAN1-Broadcast-Domäne.

• Der Switch muss im VTP-Servermodus betrieben werden, damit man VLANs erstellen, hinzufügen oder löschen kann.

Die Erstellung eines statischen VLAN an einem Switch ist eine einfache und unkomplizierte Angelegenheit. Wenn es sich um einen Switch mit nativer IOS-Kommandozeile handelt, wechseln Sie mit Hilfe des Befehls vlan database aus dem privilegierten in den VLAN-Konfigurationsmodus. Die zur Konfiguration notwendigen Schritte sind die folgenden:

Switch#vlan database
Switch(vlan)vlan vlan_nummer [vlan_name]
Switch(vlan)exit

Bei Bedarf kann auch ein Name für das VLAN konfiguriert werden. Nach Bestätigen des Befehls exit ist das VLAN auf dem Switch vorhanden.

Weitere Konfigurationsschritte

Der nächste Schritt besteht nun darin, das VLAN einer oder mehreren Schnittstellen zuzuweisen:

Switch(config)#interface fastethernet 0/3

Beim Catalyst 2900-Switch sieht das für VLAN2 so aus:

Switch(config-if)#switchport access vlan 2

Und beim Catalyst 1900-Switch so:

(config-if)#vlan-membership static 2

Sie können die Konfiguration mit Hilfe des Befehls show running-configuration wie in folgendem Listing gezeigt überprüfen.

Switch#show running-config

Hostname Switch
!
ip subnet-zero
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3

switchport access vlan 2
--- ausgabe weggelassen ---

VLAN-Konfiguration überprüfen

Eine empfehlenswerte Vorgehensweise besteht darin, die Konfiguration des VLAN mit Hilfe der Befehle show vlan (siehe Listing), show vlan brief oder show vlan id kennung zu überprüfen.

Switch#show vlan
Virtual LAN ID: 300 (IEEE 802.10 Encapsulation)
vLAN Trunk Interface: FDDI 1/1.10
Protocols Configured: Address: Received: Transmitted:
IP 31.108.1.1 642 645
Virtual LAN ID: 400 (ISL Encapsulation)
vLAN Trunk Interface: FastEthernet 2/1.20
Protocols Configured: Address: Received:Transmitted:
IP 171.69.2.2 123456 654321
Bridge Group 50 5190 8234
Virtual LAN ID:500 (ISL Encapsulation)
vLAN Trunk Interface: FastEthernet 2/1.30
Protocols Configured: Address: Received:Transmitted:
IPX 1000 987654 456789
Virtual LAN ID:600 (ISL Encapsulation)
vLAN Trunk Interface: FastEthernet 2/1.30
Protocols Configured: Address: Received:Transmitted:
IP 198.92.3.3 8114 4508
IPX 1001 2 3
Bridge Group 50 8234 5190

Für alle VLANs treffen die folgenden Aussagen zu:

• Ein erstelltes VLAN bleibt so lange unbenutzt, bis es einem Switch-Port zugewiesen wird.

• Standardmäßig befinden sich alle Ethernet-Ports in VLAN1.

• Geben Sie zwischen den Portnummern keine Leerzeichen ein. Andernfalls gibt der Switch eine Fehlermeldung aus, weil das Leerzeichen zur Abtrennung eines anderen Argumentes vorgesehen ist, das nicht Bestandteil dieses Befehls ist.

VLAN-Konfiguration speichern

Sie können die VLAN-Konfigurationsdatei auf einer Diskette speichern und sie dann auf andere Computer übertragen. Außerdem ist es immer nützlich, eine Kopie der VLAN-Konfiguration als Textdatei zu Sicherungs- und Überwachungszwecken aufzuheben. Enthält die Konfigurationsdatei unnötige Zeichen, dann löschen Sie diese vor dem Speichern.

Gehen Sie wie folgt vor, um die VLAN-Konfiguration zu kopieren:

1. Wechseln Sie an der Switch-Konsole in den privilegierten Modus.

2. Wählen Sie im Menü ÜBERTRAGUNG von HyperTerminal den Eintrag TEXT AUF-ZEICHNEN.

3. Wählen Sie, wo die Konfiguration gespeichert werden soll (z. B. auf dem Desktop).

4. Geben Sie als Dateiname VLANconfig.txt ein.

5. Klicken Sie auf STARTEN.

6. Geben Sie am Switch erst den Befehl terminal length 0 und dann den Befehl show run ein.

7. Wenn die Anzeige der Konfigurationsdatei endet, kehren Sie zurück zu HyperTermi-nal. Wählen Sie erneut TEXT AUFZEICHNEN und dann BEENDEN, um die Datei zu spei-chern und zu schließen.

8. Geben Sie am Switch den Befehl terminal length 24, und löschen Sie ggf. überflüssige Zeichen und Zeilen in der Datei VLANconfig.txt auf dem PC.

VLAN-Konfiguration löschen

Um ein VLAN von einem Switch mit set-Kommandos (CatOS) zu entfernen, geben Sie den Befehl clear vlan vlan_nummer ein (siehe Listing). In diesem Listing wird VLAN 2 durch Eingabe des Befehls clear vlan 2 aus der Domäne entfernt. Es ist wichtig festzuhalten, dass Sie diesen Befehl an einem Switch im VTP-Servermodus absetzen müssen; VLANs können nicht von einen Switch im VTP-Clientmodus gelöscht werden. Im VTP-Transparentmodus können Sie zwar ein VLAN löschen, aber das VLAN wird dann nur am betreffenden Catalyst-Switch gelöscht, nicht jedoch in der gesamten VTP-Domäne. Alle Konfigurations- und Löschvorgänge von VLANs haben an einem transparenten Switch nur lokale Bedeutung.

Console>(enable) clear vlan 2
This command will deactivate all ports on vlan2
In the entire management domain
Do you want to continue (y/n) [n]?y
Vlan 2 deleted

Das Entfernen eines VLAN von einem Switch unter der nativen Cisco IOS Software verläuft genau so wie das Entfernen eines Befehls von einem Router. Weiter oben haben Sie das VLAN2 an der Schnittstelle FastEthernet0/3 mit Hilfe des folgenden Befehls erstellt:

Switch(config-if)#switchport access vlan 2

Um dieses VLAN wieder von der Schnittstelle zu entfernen, verwenden Sie die no-Form des Befehls bei aktiver Schnittstelle Fa 0/3:

Switch(config-if)#no switchport access vlan 2

Wenn Sie ein VLAN löschen, werden alle Ports dieses VLANs inaktiv. Diese Ports bleiben dem gelöschten VLAN zugeordnet und inaktiv, bis sie einem neuen VLAN zugewiesen werden.

Fehlersuche und -behebung bei VLANs

Die Fehlkonfiguration eines VLAN ist einer der häufigsten Fehler in geswitchten Netzwerken. In diesem Abschnitt wollen wir die häufigsten Konfigurationsfehler beschreiben und Lösungen für die Problembehebung in Ihrem geswitchten Netzwerk vorschlagen.

Die Tabelle zeigt VLAN-Probleme der oberen Ebene, die bei einem Router oder Switch auftreten können. Die Angaben zu den Symptomen und zu den möglichen Ursachen und Abhilfemaßnahmen können bei der Ermittlung und Lösung von Problemen sehr hilfreich sein.

VLAN-Probleme

Symptome	Mögliche Ursachen und Abhilfemaßnahmen
Geringer oder unzuverlässiger Durchsatz des VLAN	Die angeschlossene Hardware funktioniert nicht einwandfrei. Prüfen Sie die Hardware. - Die Vollduplex- oder Halbduplexeinstellungen sind fehlerhaft. - Es liegt ein Verkabelungsproblem vor. Überprüfen Sie die Anschluss-LEDs, und stellen Sie sicher, dass das Anschlusskabel einwandfrei angeschlossen ist und die maximal zulässige Kabellänge nicht überschreitet.
Die angeschlossene Terminal- oder Modemverbindung kann mit dem Router bzw. Switch nicht kommunizieren.	Der Terminal- bzw. Konsolenanschluss ist falsch konfiguriert. Stellen Sie sicher, dass Baudrate und Zeichenformat korrekt eingestellt sind. - Prüfen Sie, ob am Router eine Default-Route benötigt wird, um den Switch in einem anderen IP-Subnetz erreichen zu können.
Lokale VLAN-Geräte können nicht mit Remote -Geräten im VLAN kommunizieren, die sich jenseits des Routers befinden.	Die IP-Adressierung oder Subnetzmaske ist falsch konfiguriert. Prüfen Sie dies mit den cdp-Befehlen bzw. show interface. - Das Default-Gateway ist nicht oder falsch angegeben. Überprüfen Sie Router, Switch, Server und Clients. - Das VLAN ist fehlerhaft konfiguriert. Überprüfen Sie die Portzuweisungen. Beseitigen Sie nicht benötigte Verbindungen zwischen VLANs, wenn ein Port zu mehreren VLANs gehört. - Es liegt ein Konsistenzproblem im VLAN vor. Vergewissern Sie sich, dass die VLANs auf beiden Seiten eines Trunks zueinander passen. - Es liegt ein ISL-Problem vor. Stellen Sie sicher, dass das Trunking korrekt konfiguriert ist, verwenden Sie VLAN 1, und vergewissern Sie sich, dass eine gültige Aktualisierung der VTP-Serverinformationen stattgefunden hat.

Wenn Sie vor einem Datendurchsatzproblem stehen, überprüfen Sie, welche Art von Fehler vorliegt. Ursache könnte etwa eine fehlerhafte Netzwerkkarte sein. Kombinationen aus FCS-Fehlern (Frame Check Sequence, Rahmenprüfsequenz), Alignment-Fehlern und Runts weisen in der Regel auf eine fehlende Duplexübereinstimmung hin. Hier ist der Schuldige meist die Autonegotiation (automatische Aushandlung) zwischen den Geräten oder nicht zueinander passende Einstellungen der Geräte an den beiden Enden der Verbindung. Beachten Sie die folgenden Fragen:

• Liegt das Problem auf der lokalen oder der entfernten Seite der Verbindung vor? Bedenken Sie: An einer Verbindung ist immer eine Anzahl von Switch-Ports beteiligt.

• Welchen Pfad nimmt das Paket? Wird es über Trunks oder Nicht-Trunks an andere Switches übertragen?

Wenn Sie feststellen, dass die Anzahl der Kollisionen in der Ausgabe des Befehls show interface rapide zunimmt, kann die Problemursache eine überlastete Leitung sein. Der Legende nach beseitigt geswitchtes Ethernet Kollisionen; die Wahrheit aber ist, dass Switches zwar die Anzahl der Kollisionen minimiert, dass aber im Halbduplexmodus immer noch Kollisionen auftreten können, da zwei Geräte durchaus zur gleichen Zeit einen Kommunikationsversuch starten können.

Beispiel zur Fehlersuche

Ein Beispiel hierfür ist ein Newsserver, auf den gleichzeitig mehrere Clients zuzugreifen versuchen. Der Datenverkehr passiert Router und Switch und landet beim direkt angeschlossenen Server. Gleichzeitig versucht der Server, seinerseits mit den Clients zu kommunizieren. Während also der Server die Anfrage eines Clients beantwortet, schickt ein anderer Client eine Anfrage – eine Kollision ist also durchaus möglich. Die einzige Möglichkeit, Kollisionen definitiv zu vermeiden, besteht in der Aktivierung des Vollduplexmodus. Abbildung 16 zeigt den Vorgang der Fehlersuche und -beseitigung in VLANs.

Wir wollen hier ein Beispiel zur Fehlersuche behandeln. Gehen wir also davon aus, dass ein bestimmtes Gerät nicht mit einem anderen kommunizieren kann. Hier einige Lösungsvorschläge zur Fehlersuche:

• Stellen Sie mit Hilfe des Befehls show interface sicher, dass IP-Adresse, Subnetzmaske und VLAN-Zugehörigkeit der Switch-Ports korrekt sind. Um Konflikte zu vermeiden, müssen Sie gewährleisten, dass die Ports verschiedener VLANs mit IP-Adressen und Subnetzmasken in unterschiedlichen Subnetzen konfiguriert sind.

• Befindet sich der Host im gleichen Subnetz wie der Zielhost, dann vergewissern Sie sich mit Hilfe der Befehle show interface und show port, dass die lokale Switch-Schnittstelle und der Switch-Port, an den der Zielhost angeschlossen ist, dem gleichen VLAN zugewiesen sind.

• Befindet sich der Zielhost in einem anderen Subnetz, dann stellen Sie mit Hilfe des Befehls ipconfig /all an den PCs sicher, dass das Gateway mit der Adresse des jeweiligen Routers im gleichen Subnetz konfiguriert ist.

• Prüfen Sie den Spanning-Tree-Status des Ports mit Hilfe des Befehls show spantree (Catalyst 1900) bzw. show spanning-tree vlan (Catalyst 2950). Befindet sich der Port in den Zuständen Listening oder Learning, dann warten Sie, bis er in den Status Forwarding wechselt, und versuchen Sie dann erneut, eine Verbindung mit dem Host herzustellen.

• Vergewissern Sie sich mit Hilfe des Befehls show port, dass die Geschwindigkeits- und Duplexeinstellungen des Hosts und der entsprechenden Switch-Ports korrekt sind.

Fehlersuche bei Endstationen

Wenn das angeschlossene Gerät eine Endstation ist:

• Aktivieren Sie mit Hilfe des Befehls set spantree portfast enable die portfast-Option am Port (nicht bei Switches der 2900-Reihe). Diese Methode ver-setzt den Port direkt in den Status Forwarding, d. h., die Modi Listening und Learning werden umgangen .

• Deaktivieren Sie mit dem Befehl set trunk 2/1 off die Möglichkeit, an diesem Port Trunking ohne Ihre Erlaubnis zu nutzen (Sicherheitsrisiko).

• Deaktivieren Sie mit dem Befehl set port channel 2/1-2 off die Kanalbündelung (engl. Etherchannel) mit diesem Port. Sie müssen zu diesem Befehl einen gültigen Portbereich angeben, er kann nicht nur für einen einzigen Port abgesetzt werden.

• Vergewissern Sie sich mit Hilfe des Befehls show cam dynamic, dass der Switch die MAC-Adresse vom Host erlernt.

Zusammenfassung

In diesem Beitrag haben Sie gelernt, dass die VLAN-Implementierung die folgenden Vorteile bietet:

• einfacher Neuanschluss, Umzug und Änderung von Endgeräten

• mehr administrative Kontrolle durch Verwendung eines Schicht-3-Routers zwischen VLANs

• verringerter LAN-Bandbreitenbedarf im Vergleich zu einer einzigen Broadcast-Domäne

• Verringerung der Prozessorbelastung der Endgeräte durch geringere Broadcast-Weiterleitung

Zur Fehlersuche und -behebung bei VLANs haben Sie Folgendes kennen gelernt:

• einen spezifischen Ansatz zur Fehlersuche in VLAN-basierten Netzwerken

• einige der häufigsten Probleme bei der Konfiguration von VLANs und deren Behebung

• Wege zur Vermeidung von Broadcast-Stürmen und von Schleifen im Netzwerk

• Befehle zur Fehlersuche und deren Verwendung

Miniserie VLANs

Einführung in VLANs, Teil 1	Grundlagen
Einführung in VLANs, Teil 2	VLAN-Frames und Konfiguration eines VLANs

Dieser Beitrag stammt aus dem Buch „Cisco Networking Academy Program“ aus dem Markt+Technik-Verlag. Das Buch in gedruckter Form können Sie hier in unserem Buchshop zum Preis von 69,95 Euro bestellen. (ala)