Veröffentlicht am von Michael Schroeder

IP subnet-based VLAN

Automatische VLAN Zuweisung auf Basis der IP Adresse

Ethernet ist ein gemeinsam genutztes Medium, das auf Basis des Carrier Sense Multiple Access/Collision Detection (CSMA/CD) Verfahrens funktioniert. Kollisionen und Broadcasts sind im Medium Ethernet allgegenwärtig. Mit Hilfe von virtuellen LANs (VLAN) kann ein Layer2 Switch das LAN in kleinere Broadcast-Domänen unterteilen. Durch VLANs wird das physische LAN somit in logische Einheiten unterteilt. Teilnehmer des selben VLAN können miteinander kommunizieren. Damit Teilnehmer unterschiedlicher VLAN miteinander in Kontakt treten können, bedarf es eines Layer3 Switches oder Routers. Broadcasts werden dabei nicht übertragen.
Typischerweise werden Ports an einem Switch einem VLAN zugeordnet. Standard ist das VLAN1. Die manuelle Zuweisung erfordert jedoch viel Disziplin und Dokumentation, um nicht Geräte versehentlich dem falschen VLAN zuzuordnen.
Ein fortschrittlicherer Ansatz ist die dynamische Zuordnung zum VLANs anhand der Subnetz-Zugehörigkeit. Hier hilft das Subnet based VLAN.
Im Beispiel unten sollen Teilnehmer aus dem Subnetz 10.1.6.0 dem VLAN 6 zugeordnet werden. Die Geräte selbst sind nicht VLAN fähig. Sie müssen also im ‘untagged’ Modus arbeiten. Exemplarisch wird der Port 1/0/48 in einen Hybridport verwandelt und darauf die IP basierte VLAN Zuordnung aktiviert. Zweckmäßigerweise würde man diese Einstellung auf mehreren Ports oder ganzen Ranges aktivieren.

Konfiguration

<SW>sys
[SW]vlan 6
[SW-vlan6]ip-subnet-vlan ip 10.1.6.0 255.255.255.0
[SW-vlan6]quit
[SW]interface GigabitEthernet 1/0/48
[SW-GigabitEthernet1/0/48]port link-type hybrid
[SW-GigabitEthernet1/0/48]port hybrid vlan 6 untagged
[SW-GigabitEthernet1/0/48]port hybrid ip-subnet-vlan vlan 6
[SW-GigabitEthernet1/0/48]quit
[SW]quit

Kontrolle

In der Testumgebung existiert noch keine Route zwischen VLAN 1 und VLAN 6. Beide VLAN sind also logisch isoliert. Zwei Geräte (A und B) aus dem Subnetz 10.1.6.0 werden zunächst mit einem Port im VLAN 1 verbunden (alle ausser 1/0/48) und der Kontakt mittels PING geprüft. Es werden Antworten zurück gegeben.

Im zweiten Versuch wird eines der Geräte (B) mit Port 1/0/48 verbunden, wodurch es aufgrund seiner IP Adresse dem VLAN 6 zugeordnet wird. Ein erneuter PING von A nach B scheitert, da Gerät A sich in VLAN1 und Gerät B in VLAN 6 befindet.

In einem Dritten Versuch wird ein beliebiger Port fest (untagged) dem VLAN 6 zugeordnet und Gerät A mit diesem Port verbunden. Ein PING von A nach B ist nun wieder möglich

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert