Doel
Een Virtual Local Area Network (VLAN) wordt voornamelijk gebruikt om groepen te vormen tussen de hosts, ongeacht waar de hosts fysiek zijn gevestigd. Aldus, verbetert VLAN veiligheid met behulp van groepsvorming onder de gastheren. Een van de meest voorkomende redenen om een VLAN in te stellen is de configuratie van een VLAN voor spraak en een afzonderlijk VLAN voor gegevens. Dit leidt de pakketten voor beide types van gegevens ondanks het gebruiken van het zelfde netwerk.
Dit artikel definieert verschillende protocolgroepen en helpt ook om een nieuwe protocolgebaseerde groep toe te voegen. Met deze instellingen kunnen op protocollen gebaseerde groepen worden gedefinieerd en aan een poort worden gekoppeld; daarom wordt elk pakket dat afkomstig is uit de protocolgroepen toegewezen aan het geconfigureerde VLAN op de pagina.
Toepasselijke apparaten | Softwareversie
Een VLAN maken
Stap 1
Meld u aan bij het webgebaseerde hulpprogramma van de switch en kies Geavanceerd in het vervolgkeuzemenu Weergavemodus rechtsboven.
Stap 2
Klik op VLAN-beheer.
Stap 3
Blader naar beneden en selecteer VLAN-groepen > Protocol-gebaseerde groepen.
Stap 4
Klik op het pictogram Add in de Protocol-Based Group Table om een protocolgebaseerde groep te maken.
Stap 5
Kies een radioknop in het insluitingsgebied voor het protocoltype dat u wilt gebruiken.
- Ethernet V2 — Deze parameter verwijst naar het gegevenspakket op een Ethernet-link.
- LLC-SNAP (rfc1042) — Deze parameter verwijst naar Logical Link Control met Sub-Network Access Protocol (LLC-SNAP). Deze protocollen werken in combinatie om ervoor te zorgen dat gegevens effectief binnen het netwerk worden verzonden.
- LLC — Deze parameter verwijst naar Logical Link Control (LLC). Het is de sublaag van de datalink-laag, die fungeert als een interface tussen de media-toegangscontrole sublaag en de netwerklaag.
Als u voor Ethernet V2 hebt gekozen, gaat u verder met deze stap. Als dit niet het geval is, gaat u verder naar Stap 6. Kies in de vervolgkeuzelijst Ethernet-type een Ethernet-type om aan te geven welk protocol in de payload van een Ethernet-frame zal worden ingesloten. De opties zijn:
- IP (0x0800) — Een Ethernet V2-frame met een IPv4-pakket.
- IPX (0x8137-0x8138) — Een Ethernet V2-frame met Internetwork Packet Exchange (IPX).
- IPv6 (0x86DD) — Een Ethernet V2-frame met een IPv6-pakket.
- ARP (0x0806) — Een Ethernet V2-frame met ARP-pakket (Address Resolution Protocol).
- Gedefinieerd door gebruiker — Een beheerder kan een protocolwaarde en een groep-id in de betreffende velden invoeren.
Stap 6
Als u LLC-SNAP (rfc1042) of LLC hebt gekozen, ga dan verder met deze stap. Voer in het veld Protocolwaarde de protocolwaarde in. Het bereik is 0x0600-0xFFFF.
Voer in het veld Groep-ID de groep-ID van het protocol in. U kunt een nummer tussen 1 en 2147483647 toewijzen.
Stap 7
Klik op Apply (Toepassen).
Stap 8
Klik op het pictogram Opslaan in de rechterbovenhoek van het scherm. De instellingen worden nu opgeslagen in het opstartconfiguratiebestand.
U hebt nu met succes een op protocollen gebaseerde groep VLAN geconfigureerd.
Bent u op zoek naar meer informatie over VLAN’s voor uw Cisco Business Switches? Bekijk de volgende links voor meer informatie.
Artikel Skeleton w/ Content
Doel
Dit artikel bevat informatie over het definiëren van protocolgroepen en het configureren van protocolgebaseerde groepen naar VLAN op een Cisco Business 350 Series switch met behulp van de Command Line Interface.
Inleiding
Met een Virtual Local Area Network (VLAN) kunt u een Local Area Network (LAN) logisch segmenteren in verschillende broadcastdomeinen. In scenario’s waarbij gevoelige gegevens via een netwerk kunnen worden doorgegeven, kunnen VLAN’s worden opgezet om data beter te beveiligen door een broadcast aan een specifiek VLAN toe te wijzen. Alleen gebruikers die tot een VLAN behoren kunnen de data op dat VLAN benaderen en bewerken. VLAN’s kunnen ook worden gebruikt om prestaties te verbeteren door de behoefte te verminderen om broadcast en multicast pakketten naar onnodige bestemmingen te verzenden.
Klik hier voor meer informatie over de manier waarop u de VLAN-instellingen op de switch kunt configureren met het webgebaseerde hulpprogramma. Klik hier voor instructies met de opdrachtregel.
Netwerkapparaten waarop meerdere protocollen worden uitgevoerd, kunnen niet worden gegroepeerd naar een gemeenschappelijk VLAN. Niet-standaardapparaten worden gebruikt om verkeer tussen verschillende VLAN’s door te geven om de apparaten te omvatten die aan een specifiek protocol deelnemen. Om deze reden, kunt u niet uit de vele eigenschappen van VLAN voordeel halen.
VLAN-groepen worden gebruikt om het verkeer op een Layer 2-netwerk in balans te brengen. De pakketten worden verdeeld met betrekking tot verschillende classificaties en toegewezen aan VLAN’s. Er bestaan veel verschillende classificaties en als er meer dan één classificatieschema is gedefinieerd, worden de pakketten in deze volgorde aan het VLAN toegewezen:
- Label - Het VLAN-nummer wordt herkend op basis van de tag.
- Op MAC gebaseerde VLAN - Het VLAN wordt herkend vanuit de MAC-toewijzing (Source Media Access Control)-naar-VLAN van de toegangsinterface.
- Subnet-gebaseerd VLAN - VLAN wordt herkend vanuit de bronsubnet-to-VLAN-toewijzing van de toegangsinterface.
- Op protocol gebaseerde VLAN - Het VLAN wordt herkend vanuit de Ethernet-type Protocol-to-VLAN-toewijzing van de toegangsinterface.
- PVID - VLAN wordt herkend vanuit de poortstandaard-VLAN-id.
Om op protocol gebaseerde VLAN-groepen op uw switch te configureren volgt u de volgende richtlijnen:
1. Maak de VLAN’s. Klik hier voor meer informatie over de manier waarop u de VLAN-instellingen op de switch kunt configureren met het webgebaseerde hulpprogramma. Klik hier voor instructies met de opdrachtregel.
2. Configureer interfaces naar VLAN’s. Klik hier voor instructies voor het toewijzen van interfaces aan VLAN’s met het webgebaseerde hulpprogramma van de switch. Klik hier voor instructies met de opdrachtregel.
Als de interface niet tot VLAN behoort, worden de op subnetgebaseerde groepen voor de VLAN-configuratie niet van kracht.
3. Configureer op protocol gebaseerde VLAN-groepen. Voor instructies hoe u op protocollen gebaseerde VLAN-groepen kunt configureren met behulp van het webgebaseerde hulpprogramma van uw switch, klikt u hier.
4. (Optioneel) U kunt ook het volgende configureren:
- MAC-gebaseerde VLAN-groepen - Klik hier voor instructies over het configureren van op MAC gebaseerde VLAN-groepen via het webgebaseerde hulpprogramma van uw switch . Klik hier voor instructies met de opdrachtregel.
- Subnetgebaseerde VLAN-groepen - Overzicht — Klik hier voor instructies over het configureren van op subnetgebaseerde VLAN-groepen via het webgebaseerde hulpprogramma van uw switch . Klik hier voor instructies met de opdrachtregel.
Er kunnen groepen protocollen worden gedefinieerd en vervolgens aan een poort worden gebonden. Nadat de protocolgroep aan een poort is gebonden, wordt elk pakket dat voortkomt uit een protocol in de groep toegewezen aan een VLAN dat in de op protocol gebaseerde groepen is geconfigureerd.
Het doorsturen van pakketten die op hun protocol zijn gebaseerd, vereist het instellen van groepen protocollen en het vervolgens in kaart brengen van deze groepen naar VLAN’s.
Toepasselijke apparaten | Softwareversie
Op protocol gebaseerde VLAN-groepen op de Switch configureren via de CLI
Op protocollen gebaseerde VLAN-groep maken
Stap 1. Meld u aan bij de switch-console. De standaardwaarden voor gebruikersnaam en wachtwoord zijn cisco/cisco. Als u een nieuwe gebruikersnaam of wachtwoord heeft geconfigureerd, moet u deze inloggegevens gebruiken.
Afhankelijk van het exacte model van de switch kunnen de opdrachten variëren.
Stap 2. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:
CBS350#configure
Stap 3. In de globale configuratiemodus kunt u een op protocollen gebaseerde classificatieregel configureren door het volgende in te voeren:
CBS350(config)#vlan database
Stap 4. Voer het volgende in om een protocol aan een groep protocollen toe te wijzen:
CBS350(config-vlan)#map protocol [protocol[ [encapsulation-value] protocols-group [group-id]
De opties zijn:
- protocol - Specificeert een 16-bits protocolnummer of een van de gereserveerde namen. Het bereik loopt van 0x0600 tot 0xFF. De waarde 0x8100 is niet geldig als protocolnummer voor Ethernet-insluiting. De volgende protocolnamen zijn gereserveerd voor Ethernet-insluiting:
- IP - Een Ethernet V2-frame dat een IPv4-pakket bevat. Het protocolnummer is 0x080.
- IPX - Een Ethernet V2-frame met Internetwork Packet Exchange (IPX). De protocolnummers variëren van 0x8137 tot 0x8138.
- IPv6 - Een Ethernet V2-frame met een IPv6-pakket. Het protocolnummer is 0x86DD.
- ARP - Een Ethernet V2-frame met ARP-pakket (Address Resolution Protocol). Het protocolnummer is 0x0806.
- Door gebruiker gedefinieerd - U kunt een protocolwaarde in hexuitdraai met een lengte van vier cijfers invoeren.
- inkapseling-waarde - (optioneel) Specificeert een van de volgende waarden:
- Ethernet - Deze parameter verwijst naar het gegevenspakket op een Ethernet-link. Dit is de standaardinkapseling. Als de inkapselingswaarde niet is gedefinieerd, wordt Ethernet gebruikt als het inkapselingstype.
- rfc1042 - Deze parameter verwijst naar Logical Link Control met Sub-Network Access Protocol (LLC-SNAP). Deze protocollen werken in combinatie om ervoor te zorgen dat gegevens effectief binnen het netwerk worden verzonden.
- Locther — Deze parameter verwijst naar Logical Link Control (LLC). Het is de sublaag van de datalink-laag, die fungeert als een interface tussen de media-toegangscontrole sublaag en de netwerklaag.
- groep-id - Specificeert het groepsnummer dat moet worden gemaakt. U kunt een groep-ID opgeven van één tot 2147483647.
Stap 5. Voer het volgende in om de context van de interfaceconfiguratie te verlaten:
CBS350(config-vlan)#exit
U hebt nu de op protocollen gebaseerde VLAN-groepen op uw switch geconfigureerd via de CLI.
Toewijzing van op protocol gebaseerde VLAN-groep aan VLAN
Stap 1. Voer in de modus Globale configuratie de context van de interfaceconfiguratie in door het volgende in te voeren:
CBS350#interface [interface-id | range interface-range]
De opties zijn:
- interface-id – geeft de te configureren interface-id aan.
- bereik van interfacebereik - Specificeert een lijst met VLAN’s. Scheid niet-opeenvolgende VLAN’s met een komma (zonder spaties). Gebruik een koppelteken om een bereik van VLAN’s aan te geven.
Stap 2. Gebruik in de context van de interfaceconfiguratie de opdracht switchport mode om de VLAN-lidmaatschapsmodus te configureren:
CBS350(config-if)#switchport mode general
- algemeen - De interface kan alle functies ondersteunen die zijn gedefinieerd in de IEEE 802.1q-specificatie. De interface kan een gelabeld of niet-gelabeld lid van een of meer VLAN’s zijn.
Stap 3. (Optioneel) Voer de volgende opdracht in om de poort terug te zetten naar het standaard-VLAN:
CBS350(config-if)#no switchport mode general
Stap 4. Om een op protocol gebaseerde classificatieregel te configureren, voert u het volgende in:
CBS350(config-if)#switchport general map protocols-group [group-id] vlan [vlan-id]
De opties zijn:
- groep-id - Specificeert de op protocol gebaseerde groep-ID om het verkeer door de poort te filteren. Het bereik loopt van één tot 2147483647.
- VLAN-id - Specificeert de VLAN-id waarnaar het verkeer vanuit de VLAN-groep wordt doorgestuurd. Het bereik loopt van 1 tot 4094.
Stap 5. Voer het volgende in om de context van de interfaceconfiguratie te verlaten:
CBS350(config-if)#exit
Stap 6. (Optioneel) Om de classificatieregel uit de poort of het bereik van poorten te verwijderen, voert u het volgende in:
CBS350(config-if)#no switchport general map protocols-groups group
Stap 7. (Optioneel) Herhaal stap 1 tot en met 6 om meer algemene poorten te configureren en aan de corresponderende op protocollen gebaseerde VLAN-groepen toe te wijzen.
Stap 8. Voer de opdracht end in om terug te gaan naar de modus Privileged EXEC:
CBS350(config-if-range)#end
U hebt nu op protocollen gebaseerde VLAN-groepen via de CLI aan de VLAN’s op uw switch toegewezen.
Op protocol gebaseerde VLAN-groepen tonen
Stap 1. Om de protocollen weer te geven die tot de gedefinieerde op protocol gebaseerde classificatieregels behoren, voert u het volgende in de geprivilegieerde EXEC-modus in:
CBS350#show vlan protocols-groups
Stap 2. (Optioneel) Voer de volgende regels in om de classificatieregels van een specifieke poort op het VLAN weer te geven:
CBS350#show interfaces switchport [interface-id]
- interface-id - Specificeert een interface-ID.
Elke poortmodus heeft zijn eigen private configuratie. Het bevel van de show interfaces switchport toont al deze configuraties, maar slechts is de configuratie van de poortmodus die aan de huidige poortmodus beantwoordt die op Administratief gebied van de Wijze wordt getoond actief.
Stap 3. (Optioneel) Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:
CBS350#copy running-config startup-config
Stap 4. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.
U hebt nu de configuratie-instellingen voor de VLAN-groep en poortconfiguratie op basis van protocollen op uw switch weergegeven.
Bent u op zoek naar meer informatie over VLAN’s voor uw Cisco Business Switches? Bekijk de volgende links voor meer informatie.
Feedback