Verwalten von virtuellen lokalen Netzwerken
Hinweis –
Wenn Sie Solaris 10 3/05 verwenden, lesen Sie Konfiguration von VLANs (nur Solaris 10 3/05).
Ein virtuelles lokales Netzwerk (VLAN) ist eine Unterteilung eines lokalen Netzwerks auf der Sicherungsschicht des TCP/IP-Protokollstapels. Sie können VLANs für lokale Netzwerke erstellen, in denen die Switch-Technologie verwendet wird. Durch Zuweisen von Benutzergruppen zu VLANs können Sie die Netzwerkverwaltung verbessern und die Sicherheit für das gesamte lokale Netzwerk erhöhen. Außerdem können Sie Schnittstellen auf dem gleichen System verschiedenen VLANs zuordnen.
Eine Unterteilung Ihres lokalen Netzwerks in VLANs bietet sich an, wenn Sie folgende Bedingungen erfüllen müssen:
-
Erstellen einer logischen Arbeitsgruppeneinteilung.
Angenommen, alle Hosts auf einem Stockwerk eines Gebäudes sind mit einem Switch-basierten lokalen Netzwerk verbunden. In diesem Fall können Sie separate VLAN für jede Arbeitsgruppe auf diesem Stockwerk erstellen.
-
Erzwingen unterschiedlicher Sicherheitsrichtlinien für die Arbeitsgruppen.
Beispielsweise sind die Sicherheitsanforderungen der Finanzabteilung und der IT-Abteilung vollkommen unterschiedlich. Wenn beide Abteilungen das gleiche lokale Netzwerk nutzen, können Sie ein separates VLAN für jede Abteilung erstellen. Dann können Sie die erforderlichen Sicherheitsrichtlinien für jedes VLAN durchsetzen.
-
Aufteilen der Arbeitsgruppen in überschaubare Broadcast-Domänen.
Durch Verwenden von VLANs wird die Größe der Broadcast-Domänen verringert und die Netzwerkeffizienz erhöht.
Einführung in die VLAN-Topologie
Die LAN-Technologie mit Switches ermöglicht es Ihnen, Systeme in einem lokalen Netzwerk in VLANs zu strukturieren. Bevor Sie ein lokales Netzwerk in VLANs unterteilen, müssen Sie Switches einsetzen, die die VLAN-Technologie unterstützen. Sie können alle Ports auf einem Switch so konfigurieren, dass sie abhängig von der VLAN-Topologie nur ein VLAN oder mehrere VLANs versorgen. Jeder Switch-Hersteller unterstützt verschiedene Verfahren zur Konfiguration der Ports eines Switches.
Die folgende Abbildung zeigt ein lokales Netzwerk mit der Teilnetzadresse 192.168.84.0. Dieses LAN ist in die drei VLANs Red, Yellow und Blue unterteilt.
Abbildung 6–1 Lokales Netzwerk mit drei VLANs
Die Konnektivität von LAN 192.168.84.0 ist Aufgabe der Switches 1 und 2. Das VLAN Red enthält die Systeme der Arbeitsgruppe „Accounting“. Die Systeme der Arbeitsgruppe „Human Resources“ sind dem VLAN Yellow zugewiesen. Die Systeme der Arbeitsgruppe „Information Technologies“ sind dem VLAN Blue zugewiesen.
VLAN-Tags und physikalischer Anschlusspunkt
Jedes VLAN in einem lokalen Netzwerk ist durch ein VLAN-Tag, oder eine VLAN ID (VID) gekennzeichnet. Die VID wird während der VLAN-Konfiguration zugewiesen. Die VID ist ein 12-Bit-Bezeichner zwischen 1 und 4094, der ein VLAN eindeutig kennzeichnet. In Abbildung 6–1 hat das VLAN Red die VID 789, das VLAN Yellow die VID 456 und das VLAN Blau die VID 123.
Wenn Sie Switches zur Unterstützung von VLANs konfigurieren, müssen Sie jedem Port eine VID zuweisen. Die VID des Ports muss der VID entsprechen, die der Schnittstelle zugewiesen wurde, die mit diesem Port verbunden ist. Dies wird in der folgenden Abbildung verdeutlicht.
Abbildung 6–2 Switch-Konfiguration eines Netzwerks mit VLANs
In Abbildung 6–2 sind mehrere an unterschiedliche VLANs angeschlossene Hosts dargestellt. Zwei Hosts gehören dem gleichen VLAN an. In dieser Abbildung sind die primären Netzwerkschnittstellen der drei Hosts mit Switch 1 verbunden. Host A gehört zum VLAN Blue. Deswegen ist die Schnittstelle von Host A mit der·VID 123 konfiguriert. Diese Schnittstelle ist an Port 1 von Switch 1 angeschlossen, der dann mit der VID 123 konfiguriert wird. Host B gehört zum VLAN Yellow mit der VID 456. Die Schnittstelle von Host B ist an Port 5 von Switch 1 angeschlossen, der dann mit der VID 456 konfiguriert wird. Die Schnittstelle von Host C ist an Port 9 von Switch 1 angeschlossen. Das VLAN Blue ist mit der VID 123 konfiguriert.
Aus der Abbildung geht auch hervor, dass ein Host auch mehreren VLANs angehören kann. Host A hat beispielsweise zwei VLANs, die über die Host-Schnittstelle konfiguriert sind. Die zweite Schnittstelle ist mit VID 456 konfiguriert und an Port 3 mit der gleichen VID angeschlossen. Daher gehört Host A zum VLAN Blue und zum VLAN Yellow.
Während der VLAN-Konfiguration haben Sie den physikalischen Anschlusspunkt oder PPA (Physical Point Of Attachment) des VLAN angegeben. Zur Berechnung des PPA-Wertes verwenden Sie die folgende Formel:
driver-name + VID * 1000 + device-instance |
Beachten Sie, dass die Zahl für Geräteinstanz kleiner als 1000 sein muss.
Beispielsweise würden Sie den folgenden PPA für eine Schnittstelle ce1 erstellen, die als Teil des VLAN 456 konfiguriert wurde:
ce + 456 * 1000 + 1= ce456001 |
Planen von VLANs in einem Netzwerk
Verwenden Sie das folgende Verfahren, um VLANs für Ihr Netzwerk zu planen.
So planen Sie eine VLAN-Konfiguration
-
Untersuchen Sie die Topologie des lokalen Netzwerks und prüfen Sie, ob eine Unterteilung in VLANs sinnvoll ist.
Ein allgemeines Beispiel einer solchen Topologie finden Sie in Abbildung 6–1.
-
Erstellen Sie ein Nummerierungsschema für die VIDs und weisen Sie jedem VLAN eine VID zu.
Hinweis –Eventuell ist bereits ein VLAN-Nummerierungsschema im Netzwerk vorhanden. In diesem Fall müssen Sie die VIDs innerhalb des bestehenden VLAN-Nummerierungsschemas erstellen.
-
Stellen Sie für jedes System fest, welche Schnittstellen Mitglieder eines bestimmten VLAN sein sollen.
-
Stellen Sie fest, welche Schnittstellen derzeit auf dem System konfiguriert sind.
# dladm show-link
-
Legen Sie fest, welche VID jedem Datenlink des Systems zugewiesen werden soll.
-
Erstellen Sie PPAs für jede Schnittstelle, die mit einem VLAN konfiguriert werden soll.
Nicht alle Schnittstellen eines Systems müssen unbedingt für das gleiche VLAN konfiguriert werden.
-
-
Prüfen Sie die Verbindungen der Schnittstellen mit den Netzwerk-Switches.
Notieren Sie die VID jeder Schnittstelle und den Switch-Port, mit dem die Schnittstelle verbunden ist.
-
Konfigurieren Sie jeden Port des Switches mit der gleichen VID wie die Schnittstelle, mit der der Port verbunden ist.
Konfigurationshinweise entnehmen Sie bitte der Dokumentation des Switch-Herstellers.
Konfiguration von VLANs
Hinweis –
Wenn Sie Solaris 10 3/05 verwenden, lesen Sie Konfiguration von VLANs (nur Solaris 10 3/05).
Oracle Solaris unterstützt jetzt VLANs auf den folgenden Schnittstellentypen:
-
ce
-
bge
-
xge
-
e1000g
Von den Legacy-Schnittstellentypen kann nur die Schnittstelle ce ein Mitglied eines VLAN werden. Sie können Schnittstellen unterschiedlicher Typen im gleichen VLAN konfigurieren.
Hinweis –
Sie können mehrere VLANs in einer IPMP-Gruppe zusammenfassen. Weitere Informationen zu IPMP-Gruppen finden Sie unter IPMP-Schnittstellenkonfigurationen.
So konfigurieren Sie ein VLAN
Wenn Sie Solaris 10 3/05 verwenden, führen Sie das Verfahren So werden statische VLANs konfiguriert (nur Solaris 10 3/05) aus.
-
Nehmen Sie die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.
Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
-
Ermitteln Sie die auf Ihrem System verwendeten Schnittstellentypen.
# dladm show-link
Die Ausgabe zeigt die verfügbaren Schnittstellentypen an:
ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2
-
Konfigurieren Sie eine Schnittstelle als Teil eines VLAN.
# ifconfig interface-PPA plumb IP-address up
Sie können z. B den folgenden Befehl verwenden, um die Schnittstelle ce1 mit einer neuen IP-Adresse 10.0.0.2 in einem VLAN mit der VID 123 konfigurieren:
# ifconfig ce123001 plumb 10.0.0.2 up
Hinweis –Sie können den VLANs genau wie anderen Schnittstellen auch IPv4- und IPv6-Adressen zuweisen.
-
(Optional) Damit die VLAN-Einstellungen auch nach einem Neustart beibehalten werden, erstellen Sie eine hostname.Schnittstellen-PPA-Datei für jede Schnittstelle, die als Teil eines VLAN konfiguriert wurde.
# cat hostname.interface-PPA IPv4-address
-
Richten Sie das VLAN-Tagging und die VLAN-Ports auf dem Switch so ein, dass sie sich mit den VLANs übereinstimmen, die Sie auf dem System eingerichtet haben.
Beispiel 6–3 Konfiguration eines VLAN
In diesem Beispiel wird gezeigt, wie Sie die Geräte bge1 und bge2 in einem VLAN mit der VID 123 konfigurieren.
# dladm show-link
ce0 type: legacy mtu: 1500 device: ce0
ce1 type: legacy mtu: 1500 device: ce1
bge0 type: non-vlan mtu: 1500 device: bge0
bge1 type: non-vlan mtu: 1500 device: bge1
bge2 type: non-vlan mtu: 1500 device: bge2
# ifconfig bge123001 plumb 10.0.0.1 up
# ifconfig bge123002 plumb 10.0.0.2 up
# cat hostname.bge123001 10.0.0.1
# cat hostname.bge123002 10.0.0.2
# ifconfig -a
lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
bge123001: flags=201000803<UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 2
inet 10.0.0.1 netmask ff000000 broadcast 10.255.255.255
ether 0:3:ba:7:84:5e
bge123002:flags=201000803 <UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 3
inet 10.0.0.2 netmask ff000000 broadcast 10.255.255.255
ether 0:3:ba:7:84:5e
ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4
inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255
ether 0:3:ba:7:84:5e
# dladm show-link
ce0 type: legacy mtu: 1500 device: ce0
ce1 type: legacy mtu: 1500 device: ce1
bge0 type: non-vlan mtu: 1500 device: bge0
bge1 type: non-vlan mtu: 1500 device: bge1
bge2 type: non-vlan mtu: 1500 device: bge2
bge123001 type: vlan 123 mtu: 1500 device: bge1
bge123002 type: vlan 123 mtu: 1500 device: bge2
|
- © 2010, Oracle Corporation and/or its affiliates