Access vlan: Недопустимое название — Xgu.ru — ПКРЕГИОН компьютерный магазин в Екатеринбурге недорогой техники каталог и цены с доставкой

Содержание

Порты доступа (access) — Сети Для Самых Маленьких

Поэтому начнём с простого: настроим два порта на msk-arbat-asw3 как access для влана 101 (ПТО):

`msk-arbat-asw3(config)#interface FastEthernet0/1 msk-arbat-asw3(config-if)#description PTO msk-arbat-asw3(config-if)#switchport mode access msk-arbat-asw3(config-if)#switchport access vlan 101% Access VLAN does not exist. Creating vlan 101

msk-arbat-asw3(config)#interface FastEthernet0/2 msk-arbat-asw3(config-if)#description PTO msk-arbat-asw3(config-if)#switchport access vlan 101 msk-arbat-asw3(config-if)switchport mode access`

Все настройки делаем сразу в соответствии с планом.

Заметили, что коммутатор ругается на отсутствие влана? Тут надо быть аккуратным. Некоторые версии ПО работают несколько нелогично.

Даже если вы его не создадите, то настройки применятся и при отладке на первый взгляд всё будет нормально, но связи не будет. Причём коварство заключается в том, что фраза Creating vlan 101 вовсе не означает, что этот самый влан будет создан. Поэтому отправляемся в режим глобальной конфигурации и создаём его (а заодно и все другие вланы, нужные на этом коммутаторе):

msk-arbat-asw3>enable msk-arbat-asw3#configure terminal msk-arbat-asw3(config)#vlan 2 msk-arbat-asw3(config-vlan)#name Management msk-arbat-asw3(config-vlan)#vlan 101 msk-arbat-asw3(config-vlan)#name PTO msk-arbat-asw3(config-vlan)#vlan 102 msk-arbat-asw3(config-vlan)#name FEO msk-arbat-asw3(config-vlan)#vlan 103 msk-arbat-asw3(config-vlan)#name Accounting msk-arbat-asw3(config-vlan)#vlan 104 msk-arbat-asw3(config-vlan)#name Other

Теперь подключите компьютеры к портам FE0/1 и FE0/2, настройте на них адреса 172.16.3.2 и 172.16.3.3 с маской подсети 255.255.255.0 и шлюзом 172.16.3.1 и проверьте связь:

После того, как это получилось, настроим порт FE0/16, как access, для 104-го влана (сеть других пользователей):

msk-arbat-asw3(config)#interface FastEthernet0/16 msk-arbat-asw3(config-if)#description Other msk-arbat-asw3(config-if)#switchport access vlan 104 msk-arbat-asw3(config-if)switchport mode access

Подключите к нему компьютер и настройте адрес из той же подсети, что ПТО, например, 172.16.3.5 с маской 255.255.255.0. Если вы попытаетесь теперь пропинговать этот адрес, то у вас не должно этого получиться — компьютеры находятся в разных вланах и изолированы друг от друга:

То есть ещё раз, что происходит? От вашего компьютера приходит на 1-й порт широковещательный запрос: “Кто такой 172.16.3.5”, потому что сам компьютер пока не знает MAC-адреса получателя. Кадр, который несёт в себе этот запрос помечается, как принадлежащий 101-му VLAN’у в соответствии с портом, на который он поступил. И далее, чтобы узнать где-же находится компьютер 172.16.3.5, кадр рассылается на все порты-члены 101-го VLAN’а. А в их числе нет порта FE0/16, поэтому, естественно, этот адрес считается недостижимым, что приводит к ответу “Request timed out”.

Внимание! Если в этом VLAN’е все-таки окажется устройство с таким IP, то это не будет тем же самым ноутбуком Other и при этом они не буду конфликтовать друг с другом, поскольку логически находятся в разных широковещательных доменах.

Создание сетей VLAN на коммутаторах Catalyst

Настройка сети VLAN на коммутаторах Catalyst 2900XL, 3500XL, 2950, 2970 и 2940

Создание портов и сетей VLAN

Примечание. Выходные данные команды, которые вы увидите, могут отличаться от выходных данных, которые содержатся в данном разделе. Эти различия зависят от модели используемого коммутатора.

Чтобы создать сеть VLAN, необходимо выполнить следующие действия:
1. Сначала необходимо решить, будет ли использоваться протокол VTP в вашей сети.
С помощью VTP можно централизованно изменять конфигурацию на одном коммутаторе, а затем автоматически применить внесенные изменения ко всем коммутаторам сети. По умолчанию на коммутаторах Catalyst 2900XL, 3500XL, 2950, 2970 и 2940 установлен серверный режим протокола VTP. Более подробно о протоколе VTP см. Общие сведения и настройка магистрального протокола VLAN (VTP).
Примечание: чтобы проверить статус протокола VTP на коммутаторах серии XL, воспользуйтесь командой show vtp status.

          3524XL#show vtp status
          VTP Version                     : 2
          Configuration Revision          : 0
          Maximum VLANs supported locally : 254
          Number of existing VLANs        : 5
          VTP Operating Mode              : Server
          !— Этот режим используется по умолчанию.
          VTP Domain Name                 :
          VTP Pruning Mode                : Disabled
          VTP V2 Mode                     : Disabled
          VTP Traps Generation            : Disabled
          MD5 digest                      : 0xBF 0x86 0x94 0x45 0xFC 0xDF 0xB5 0x70
          Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

2. После того как домен VTP был установлен и проверен, можно начать создание сетей VLAN на коммутаторе.

По умолчанию для всех портов существует только одна сеть VLAN. Такая сеть VLAN называется сетью по умолчанию. Сеть VLAN 1 не может быть переименована или удалена.
Чтобы получить информацию о сети VLAN, воспользуйтесь командой show vlan.

          3524XL#show vlan

          VLAN Name                             Status    Ports
          —- ——————————— ——— ——————————-
          1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4,
                                                          Fa0/5, Fa0/6, Fa0/7, Fa0/8,
                                                          Fa0/9, Fa0/10, Fa0/11, Fa0/12,
                                                          Fa0/13, Fa0/14, Fa0/15, Fa0/16,
                                                          Fa0/17, Fa0/18, Fa0/19, Fa0/20,

                                                          Fa0/21, Fa0/22, Fa0/23, Fa0/24,
                                                          Gi0/1, Gi0/2
          1002 fddi-default                     active
          1003 token-ring-default               active
          1004 fddinet-default                  active
          1005 trnet-default                    active
          VLAN Type SAID       MTU   Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
          —- —— ———- —— —— —— ——— —- ——— —— ——
          1    enet 100001     1500 —      —      —        —    —        1002   1003
          1002 fddi 101002     1500 —      —      —        —    —        1      1003
          1003 tr    101003     1500 1005   0      —        —    srb      1      1002
          1004 fdnet 101004     1500 —      —      1        IBM —        0      0
          1005 trnet 101005     1500 —      —      1        IBM —        0      0

Чтобы создать другую сеть VLAN, в привилегированном режиме используйте набор команд:

          3524XL#vlan database
          !— Чтобы настроить виртуальную локальную сеть, необходимо войти в ее базу данных.
          3524XL(vlan)#vtp server
          Device mode already VTP SERVER.
          !— Эту команду можно пропустить, если серверный режим коммутатора уже
          !— включен, и требуется именно это.

Примечание. Сеть VLAN может быть создана на коммутаторе только в том случае, если этот коммутатор работает в режиме сервера VTP или прозрачном режиме VTP. Более подробно о протоколе VTP см. Общие сведения и настройка магистрального протокола VLAN (VTP).

          524XL(vlan)#vlan ?
            <1-1005> ISL VLAN index
          3524XL(vlan)#vlan 2 ?
            are        Maximum number of All Route Explorer hops for this VLAN
            backupcrf Backup CRF mode of the VLAN
            bridge     Bridging characteristics of the VLAN
            media      Media type of the VLAN
            mtu        VLAN Maximum Transmission Unit
            name       Ascii name of the VLAN
            parent     ID number of the Parent VLAN of FDDI or Token Ring type VLANs
            ring       Ring number of FDDI or Token Ring type VLANs
            said       IEEE 802.10 SAID
            state      Operational state of the VLAN
            ste        Maximum number of Spanning Tree Explorer hops for this VLAN
            stp        Spanning tree characteristics of the VLAN
            tb-vlan1   ID number of the first translational VLAN for this VLAN (or zero
                       if none)
            tb-vlan2   ID number of the second translational VLAN for this VLAN (or zero
                       if none)
          3524XL(vlan)#vlan 2 name ?
            WORD The ASCII name for the VLAN
          3524XL(vlan)#vlan 2 name cisco_vlan_2
          VLAN 2 added:
              Name: cisco_vlan_2
          3524XL(vlan)#exit
          !— Необходимо выйти из базы данных виртуальной локальной сети,
          !— чтобы изменения были применены.
          APPLY completed.
          Exiting….
          3524XL#

Примечание. Режим VTP может измениться с клиентского на прозрачный в том случае, когда коммутатор попытается запомнить или передать количество сетей VLAN, превышающее количество, поддерживаемое данным коммутатором. Необходимо всегда проверять, чтобы коммутаторы, работающие в клиентском режиме, поддерживали то же количество сетей, которое передается коммутаторами в серверном режиме.

3. Чтобы убедиться в том, что сеть VLAN была создана, воспользуйтесь командой show vlan.

          3524XL#show vlan
          VLAN Name                             Status    Ports
          —- ——————————— ——— ——————————-
          1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4,
                                                          Fa0/5, Fa0/6, Fa0/7, Fa0/8,
                                                          Fa0/9, Fa0/10, Fa0/11, Fa0/12,
                                                          Fa0/13, Fa0/14, Fa0/15, Fa0/16,
                                                          Fa0/17, Fa0/18, Fa0/19, Fa0/20,
                                                          Fa0/21, Fa0/22, Fa0/23, Fa0/24,
                                                          Gi0/1, Gi0/2
          2    cisco_vlan_2                     active
          1002 fddi-default                     active
          1003 token-ring-default               active
          1004 fddinet-default                  active
          1005 trnet-default                    active
          VLAN Type SAID       MTU   Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
          —- —— ———- —— —— —— ——— —- ——— —— ——
          1    enet 100001     1500 —      —      —        —    —        1002   1003
          2    enet 100002     1500 —      —      —        —    —        0      0
          1002 fddi 101002     1500 —      —      —        —    —        1      1003
          1003 tr    101003     1500 1005   0      —        —    srb      1      1002
          1004 fdnet 101004     1500 —      —      1        IBM —        0      0
          1005 trnet 101005     1500 —      —      1

4. К вновь созданной сети VLAN можно добавить порты (интерфейсы).
Для каждого интерфейса, который нужно добавить в новую VLAN, необходимо перейти в режим настройки интерфейса. Эта услуга доступна в рамках ИТ-аутсорсинга от компании «Ветрикс»
Примечание. В случае коммутаторов Catalyst 2-го уровня серии XL порты могут быть назначены нескольким сетям VLAN, однако единовременно коммутаторы могут поддерживать только один интерфейс VLAN c активным управлением, в то время как другие коммутируемые виртуальные интерфейсы (SVI) остаются выключенными из-за функциональных особенностей уровня 2. Таким образом, коммутаторы поддерживают только один адрес 3-го уровня с активным управлением. Для того чтобы автоматически выключить сеть VLAN 1 и перевести IP-адрес на новую сеть VLAN, на коммутаторах Catalyst серии XL при работе под новым интерфейсом SVI можно воспользоваться дополнительной командой management.

          Switch#configure terminal
          Switch(config)#interface vlan 2
          Switch(config-subif)#management
          Switch(config-subif)#^Z
          Switch#show ip interface brief
          Interface                  IP-Address      OK? Method Status   Protocol
          VLAN1                      10.0.0.2        YES manual up       down
          VLAN2                      20.0.0.2        YES manual up       up
          FastEthernet0/1            unassigned      YES unset up       up
          FastEthernet0/2            unassigned      YES unset up       up
          !— Выходные данные отключены.

Чтобы добавить соответствующий интерфейс к сети VLAN, в привилегированном режиме используйте набор команд:

          3524XL#configure terminal
          Enter configuration commands, one per line. End with CNTL/Z.
          3524XL(config)#interface fastethernet 0/2
          3524XL(config-if)#switchport access ?
            vlan Set VLAN when interface is in access mode
          3524XL(config-if)#switchport access vlan ?
            <1-1001> VLAN ID of the VLAN when this port is in access mode
            dynamic   When in access mode, this interfaces VLAN is controlled by VMPS
          3524XL(config-if)#switchport access vlan 2
          !— Эти команды назначают интерфейс Fast Ethernet 0/2
          !— на виртуальную локальную сеть 2.
          3524XL(config-if)#exit
          3524XL(config)#interface fastethernet 0/3
          3524XL(config-if)#switchport access vlan 2
          !— Эти команды назначают интерфейс Fast Ethernet 0/3
          !— на виртуальную локальную сеть 2.
          3524XL(config-if)#end
          3524XL#
          00:55:26: %SYS-5-CONFIG_I: Configured from console by console
          3524XL#write memory
          !— Эта команда сохраняет конфигурацию.
          Building configuration…

5. Чтобы проверить конфигурацию сети VLAN, воспользуйтесь командой show vlan.

          3524XL#show vlan
          VLAN Name                             Status    Ports
          —- ——————————— ——— ——————————-
          1    default                          active    Fa0/1, Fa0/4, Fa0/5, Fa0/6,
                                                          Fa0/7, Fa0/8, Fa0/9, Fa0/10,
                                                          Fa0/11, Fa0/12, Fa0/13, Fa0/14,
                                                          Fa0/15, Fa0/16, Fa0/17, Fa0/18,
                                                          Fa0/19, Fa0/20, Fa0/21, Fa0/22,
                                                          Fa0/23, Fa0/24, Gi0/1, Gi0/2
          2    cisco_vlan_2                     active    Fa0/2, Fa0/3
          1002 fddi-default                     active
          1003 token-ring-default               active
          1004 fddinet-default                  active
          1005 trnet-default                    active
          VLAN Type SAID       MTU   Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
          —- —— ———- —— —— —— ——— —- ——— —— ——
          1    enet 100001     1500 —      —      —        —    —        1002   1003
          2    enet 100002     1500 —      —      —        —    —        0      0
          1002 fddi 101002     1500 —      —      —        —    —        1      1003
          1003 tr    101003     1500 1005   0      —        —    srb      1      1002
          1004 fdnet 101004     1500 —      —      1        IBM —        0      0
          1005 trnet 101005     1500 —      —      1        IBM —        0      0

Удаление портов или сетей VLAN

Чтобы удалить порты из сети VLAN, в режиме настройки интерфейса используйте команду no switchport access vlan vlan_number. После удаления из сети VLAN (отличной от сети VLAN 1, которая является сетью заданной по умолчанию) этот порт будет автоматически добавлен в сеть VLAN, заданную по умолчанию.

Например, если требуется удалить интерфейс Fast Ethernet 0/2 из cisco_vlan_2 (VLAN 2), то в привилегированном режиме необходимо использовать такую последовательность команд:

    3524XL#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    3524XL(config)#interface fastethernet 0/2
    3524XL(config-if)#no switchport access vlan 2
    !— Эти две команды снимают интерфейс Fast Ethernet 0/2 с
    !— виртуальной локальной сети 2.
    3524XL(config-if)#end
    3524XL#show vlan
    VLAN Name                             Status    Ports
    —- ——————————— ——— ——————————-
    1    default                          active    Fa0/1, Fa0/2, Fa0/4, Fa0/5,
    !— Примечание. Интерфейс Fast Ethernet 0/2 назначается обратно
    !— на виртуальную локальную сеть по умолчанию.
                                                    Fa0/6, Fa0/7, Fa0/8, Fa0/9,
                                                    Fa0/10, Fa0/11, Fa0/12, Fa0/13,
                                                    Fa0/14, Fa0/15, Fa0/16, Fa0/17,
                                                    Fa0/18, Fa0/19, Fa0/20, Fa0/21,
                                                    Fa0/22, Fa0/23, Fa0/24, Gi0/1,
                                                    Gi0/2
    2    cisco_vlan_2                     active    Fa0/3
    1002 fddi-default                     active
    1003 token-ring-default               active
    1004 fddinet-default                  active
    1005 trnet-default                    active
    VLAN Type SAID       MTU   Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
    —- —— ———- —— —— —— ——— —- ——— —— ——
    1    enet 100001     1500 —      —      —        —    —        1002   1003
    2    enet 100002     1500 —      —      —        —    —        0      0
    1002 fddi 101002     1500 —      —      —        —    —        1      1003
    1003 tr    101003     1500 1005   0      —        —    srb      1      1002
    1004 fdnet 101004     1500 —      —      1        IBM —        0      0
    1005 trnet 101005     1500 —      —      1        IBM —        0      0

Чтобы удалить сеть VLAN, в режиме базы данных используйте команду no vlan vlan_number. Интерфейсы, относящиеся к удаляемой сети VLAN, остаются частью этой сети. Эти интерфейсы будут деактивированы, поскольку уже не принадлежат ни к одной сети VLAN. Если вы пользуетесь абонентским обслуживанем компьютеров от Ветрикса, то все указанные выше действия выполнят наши инженеры.

Например, если на коммутаторе необходимо удалить сеть cisco_vlan_2, в привилегированном режиме используйте следующий набор команд:

    3524XL#vlan database
    !— Эта команда позволяет перейти в режим базы данных
    !— виртуальной локальной сети.
    3524XL(vlan)#no vlan 2
    !— Эта команда удаляет виртуальную локальную сеть из базы данных.
    Deleting VLAN 2…
    3524XL(vlan)#exit
    APPLY completed.
    Exiting….
    3524XL#show vlan
    VLAN Name                             Status    Ports
    —- ——————————— ——— ——————————-
    1    default                          active    Fa0/1, Fa0/2, Fa0/4, Fa0/5,
                                                    Fa0/6, Fa0/7, Fa0/8, Fa0/9,
                                                    Fa0/10, Fa0/11, Fa0/12, Fa0/13,
                                                    Fa0/14, Fa0/15, Fa0/16, Fa0/17,
                                                    Fa0/18, Fa0/19, Fa0/20, Fa0/21,
                                                    Fa0/22, Fa0/23, Fa0/24, Gi0/1,
                                                    Gi0/2
    1002 fddi-default                     active
    1003 token-ring-default               active
    1004 fddinet-default                  active
    1005 trnet-default                    active
    !— Выходные данные отключены.

Обратите внимание на то, что порт Fast Ethernet 0/3 не отображен в выходных данных команды show vlan. При удалении сети VLAN 2 этот порт деактивируется. До тех пор, пока этот порт не будет добавлен в одну из имеющихся сетей VLAN, он не будет отображаться и его нельзя будет использовать.

    3524XL#show interfaces fastethernet 0/3
    FastEthernet0/3 is down, line protocol is down
    !— Выходные данные отключены.

Для того чтобы интерфейсом можно было пользоваться, необходимо, чтобы он принадлежал к какой-нибудь сети VLAN. В примере, приводимом в настоящем разделе, показано, что для того чтобы можно было использовать интерфейс Fast Ethernet 0/3, его необходимо добавить в сеть VLAN по умолчанию (VLAN 1).

Если выходные данные команды show-tech support получен с устройства Cisco, то в этом случае для интерпретации результатов можно воспользоваться утилитой Output Interpreter (только для зарегистрированных пользователей). Данная утилита отображает потенциальные проблемы и предлагает способы их решения.

Примечание. В случае коммутаторов Catalyst 3550 интерфейс можно использовать, не добавляя его при этом в какую-либо сеть VLAN. Однако для этого его необходимо настроить как интерфейс 3-го уровня. Более подробно об интерфейсах 3-го уровня на коммутаторах Catalyst 3550 см. Настройка интерфейсов 3-го уровня в разделе Настройка параметров интерфейса.

ACL:Списки контроля доступа в коммутаторах Extreme

Идеология списков контроля доступа в коммутаторах Extreme Networks несколько отличается от идеологии, принятой в коммутаторах производства Компании Cisco Systems. В данной статье речь пойдет о настройке ACL в коммутаторах Extreme и чем ACL в коммутаторах Extreme отличаются от ACL в Cisco.

В коммутаторах Extreme можно создать два типа списков контроля доступа:

Статические
Динамические

Динамические ACL

Динамические списки контроля доступа создаются используя CLI, их можно просмотреть в конфигурации, выполнив команду show configuration «acl».

Для создания динамического aclнужно выполнить команду:

create access-list < dynamic-rule > < conditions > < actions > {non-permanent}

Если в команде используется ключ non-permanent, список контроля доступа сотрется из конфигурации после перезагрузки коммутатора.

Динамические ACL могут применяться как к физическим портам так и к VLAN:

configure access-list add < dynamic_rule > [ [[first | last] {priority < p_number >} {zone < zone >} ] | [[before | after] < rule >] | [ priority < p_number > {zone < zone >} ]] [ any | vlan < vlanname > | ports < portlist > ] {ingress | egress}

Для удаления acl с порта или VLAN необходимо выполнить команду:

configure access-list delete < ruleName > [ any | vlan < vlanname > | ports < portlist > |
all] {ingress | egress}

Пример создания списка контроля доступа, фильтрующего пакеты BPDU Cisco PVST+ и применения этого acl на порты 11-21:

create access-list bpdu1 «ethernet-destination-address 01:00:0c:cc:cc:cd ;» «deny»
create access-list bpdu2 «ethernet-destination-address 01:80:C2:00:00:00 ;» «deny»
conf access-list add «bpdu1» first ports 11-21 ingress
conf access-list add «bpdu2» first ports 11-21 ingress

Статические ACL

Статические acl представляют собой файлы, редактируемые VI-подобным редактором или загружаемые с внешнего TFTP сервера.

Для создания или редактирования ACL необходимо выполнить команду:

edit policy < policy-name >

Для начала редактирования нужно нажать клавишу «i».

Команды, используемы для редактирования ACL:
dd — To delete the current line
yy — To copy the current line
p — To paste the line copied
:w — To write (save) the file
:q — To quit the file if no changes were made
:q! — To forcefully quit the file without saving changes
:wq — To write and quit the file

Правильность ACL можно и нужно проверить, используя команду:

check policy < policy-name >

Если уже примененный на порту, VLAN или в протоколе маршрутизации ACL изменился, необходимо выполнить команду:

refresh policy < policy-name >

Иначе, не смотря на то, что ACL уже изменен, будет использоваться его старая версия.

Просмотр ACL:

show policy {< policy-name > | detail}

Использование ACL

Списки контроля доступа можно использовать как для фильтрации сетевого трафика так и для контроля за распространением маршрутов в сетевых протоколах (BGP, OSPF итд).

Применение ACL на порту коммутатора или на VLAN:

configure access-list [any | ports < portlist > | vlan < vlanname >] {ingress |
egress}

Отмена ACL с порта коммутатора или с VLAN:

unconfigure access-list < policy-name > {any | ports < portlist > | vlan < vlanname >}
{ingress | egress}

Использование ACLв протоколах маршрутизации:

configure bgp import-policy [< policy-name > | none]
configure rip import-policy [< policy-name > | none]

Настройка списков контроля доступа

Каждое правило имеет следующий синтаксис:

entry < ACLrulename >{
if {
match-conditions;
} then {
action;
action-modifiers;
}
}

То есть каждое правило имеет условие совпадения (match-conditions) и действие (action и action-modifiers).

Например, правило, разрешающее трафик из IP подсети 10.203.134.0/24, с UDP порта 190 на UDP порты 1200 – 1250 IP адреса 140.158.18.16:

entry udpacl {
if {
source-address 10.203.134.0/24;
destination-address 140.158.18.16/32;
protocol udp;
source-port 190;
destination-port 1200 — 1250;
} then {
permit;
}
}

В ACL можно делать description и comment:

# this line is a comment
@description «This line is a description»

Match Conditions
Основные match-conditions представлены ниже:

ethernet-source-address < mac-address >—Ethernet source address
ethernet-destination-address < mac-address > < mask >—Ethernet destination address and mask
source-address < prefix >—IP source address and mask
destination-address < prefix >—IP destination address and mask
source-port [< port > | < range]—TCP or UDP source port range
destination-port [< port > | < range >]—TCP or UDP destination port range

Actions
Основные действия:

permit—The packet is forwarded.
deny—The packet is dropped.

Action Modifiers
Наиболее часто применяемые Action Modifiers описаны ниже:

count < countername >—Increments the counter named in the action modifier
byte-count < byte counter name >—Increments the byte counter named in the action modifier
packet-count < packet counter name >—Increments the packet counter named in the action modifier
log—Logs the packet header
log-raw—Logs the packet header in hex format
meter < metername >—Takes action depending on the traffic rate
mirror—Sends a copy of the packet to the monitor (mirror) port (ingress only)
mirror-cpu—Mirrors a copy of the packet to the CPU in order to log it (ingress only)
qosprofile < qosprofilename >—Forwards the packet to the specified QoS profile
redirect < ipv4 addr >—Forwards the packet to the specified IPv4 address
redirect-port < port >—Overrides the forwarding decision and changes the egress port used. If the specified port is part of a load share group then this action will apply the load sharing algorithm.

Гораздо более подробно Match Conditions, Action и Action Modifiers описаны в главе 18 Concept Guide.

Wide Key ACLs

В коммутаторах Extreme Networksсуществует понятие Wide Key ACLs. Данная функция позволяет использовать 362 битные Match Conditions вместо стандартных 181 битных. Соответственно можно делать большие Match Conditions а так же использовать полные destination-source IPv6 Match Conditions.

Для включения или выключения Wide Key ACLs нужно выполнить команду:

configure access-list width [double | single] [slot < slotNo | all >]

Примеры списков контроля доступа

ACL, ограничивающий трафик в VLAN 100, накладывая на него meter voiceServiceMeter:
entry voiceService {
if {
vlan-id 100;
} then {
meter voiceServiceMeter;
}
}

ACL, зеркалирующий весь трафик VLAN 300:
entry voiceService {
if {
vlan-id 300;
} then {
mirror;
}
}

ACL, разрешеющий трафик на IP адрес 10.200.250.2 и запрещающий весь остальной трафик:

entry test_policy_4 {
if {
source-address 0.0.0.0/0;
destination-address 10.200.250.2/32;
} then {
permit;
count test_policy_permit;
}
}
# deny everyone else
entry test_policy_99 {
if {
} then {
deny;
count test_policy_deny;
}
}

Основные отличия от ACL в коммутаторах Cisco

Как известно, ACL в оборудовании Cisco имеют следующий вид:
access-list 2 permit 1.1.1.0 0.0.0.255
access-list 100 permit tcp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0 eq 23

ACL, использующиеся в коммутаторах Extreme отличаются от ACL в Cisco двумя моментами:
1. Синтаксис. ACL в Extreme иерархические, что с одной стороны более сложно в написании, с другой существенно расширяет возможности списков контроля доступа. Так, например, внутри ACLможно указать ключ mirror, и трафик будет зеркалироваться, или redirect, тогда трафик будет перенаправляться мехаизмами PBR (policy based routing). Внутри ACL Extreme можно применять политики QoS (ограничение полосы, перемаркировка итд.)

2. ACL в Extreme не имеют завершающего deny в конце правила. То есть, если пакет не совпал ни с одним правилом в ACL, пакет будет разрешен.
Каждый ACL, цель которого в итоге что-то запретить, должен завершаться правилом:

entry denyall {
if {
} then {
deny;
}
}

3. Списки контроля доступа в Extreme работают на аппаратном уровне, и даже такие действия как PBR и mirroring не загружают CPU коммутатора.

Настройка портов (access, trunk, hybrid)…

Итак, наша задача сегодня — научиться конфигурировать порты на коммутаторах Cisco в режимах:

Access (untagged пакеты )
Trunk (tagged пакеты)
Hybrid (untagged + tagged пакеты)

Логинимся на нужную Cisco и переходим в режим конфигурирования:

> enable
# config t
(config)#

Настраиваем порт на Access

(config)# interface fa 0/1
(config-if)# switchport mode access
(config-if)# switchport access vlan 20
(config-if)# end

В данном примере мы указали, что порт FastEthernet 0/1 будет работать в режиме Access и пролетающие через него пакеты будут приписаны VLAN 20.

Настраиваем порт на Trunk

(config)# interface fa 0/1
(config)# switchport trunk encapsulation dot1q
(config)# switchport mode trunk
(config)# switchport trunk allowed vlan 1,2,3,4

(Команды «switchport trunk encapsulation dot1q» может не быть на некоторых моделях коммутаторов, например, на 2950).

В данном примере мы указали, что порт FastEthernet 0/1 будет работать в режиме Trunk и принимать VLANы с номерами 1, 2, 3 и 4.

Настраиваем порт на Hybrid

Как такового режима Hybrid (как, например, на 3Com) в Cisco нет. Идет коверкание режима Trunk.

(config)#interface fa 0/1
(config-if)#switchport mode trunk
(config-if)#switchport trunk native vlan 99
(config-if)#switchport trunk allowed vlan 1, 2, 3, 4, 99
(config-if)#end

В этом примере порт FastEthernet 0/1 будет работать в Trunk режиме с возможностью принимать Access пакеты и запихивать их в 99й VLAN. Кроме того, будут приниматься и отсылаться tagged-пакеты из VLAN 1, 2, 3 и 4.

ЗЫ. Следует заметить, что у Cisco нет режима Hybrid — он все равно будет принимать untagged пакеты и присваивать их VLAN, который указан как Native. Запретить это можно только не указывая Native VLAN в списке разрешенных Allowed (срока switchport trunk allowed).

Основы компьютерных сетей. Тема №6. Понятие VLAN, Trunk и протоколы VTP и DTP — asp24.ru

Продолжаем разговор о сетях и сегодня затронем такую важную тему в мире коммутации, как VLAN. Посмотрим, что он из себя представляет и как с ним работать. А также разберем работающие с ним протоколы VTP и DTP.

В предыдущих статьях мы уже работали с многими сетевыми устройствами, поняли, чем они друг от друга отличаются и рассмотрели из чего состоят кадры, пакеты и прочие PDU. В принципе с этими знаниями можно организовать простейшую локальную сеть и работать в ней. Но мир не стоит на месте. Появляется все больше устройств, которые нагружают сеть или что еще хуже — создают угрозу в безопасности. А, как правило, «опасность» появляется раньше «безопасности». Сейчас я на самом простом примере покажу это.

Мы пока не будем затрагивать маршрутизаторы и разные подсети. Допустим все узлы находятся в одной подсети.

Сразу приведу список IP-адресов:

PC1 – 192.168.1.2/24
PC2 – 192.168.1.3/24
PC3 – 192.168.1.4/24
PC4 – 192.168.1.5/24
PC5 – 192.168.1.6/24
PC6 – 192.168.1.7/24

У нас 3 отдела: дирекция, бухгалтерия, отдел кадров. У каждого отдела свой коммутатор и соединены они через центральный верхний. И вот PC1 отправляет ping на компьютер PC2.

Работа сети в одном широковещательном домене

Красиво да? Мы в прошлых статьях уже не раз говорили о работе протокола ARP, но это было еще в прошлом году, поэтому вкратце объясню. Так как PC1 не знает MAC-адрес (или адрес канального уровня) PC2, то он отправляет в разведку ARP, чтобы тот ему сообщил. Он приходит на коммутатор, откуда ретранслируется на все активные порты, то есть к PC2 и на центральный коммутатор. Из центрального коммутатора вылетит на соседние коммутаторы и так далее, пока не дойдет до всех. Вот такой не маленький трафик вызвало одно ARP-сообщение. Его получили все участники сети. Большой и не нужный трафик — это первая проблема. Вторая проблема — это безопасность. Думаю, заметили, что сообщение дошло даже до бухгалтерии, компьютеры которой вообще не участвовали в этом. Любой злоумышленник, подключившись к любому из коммутаторов, будет иметь доступ ко всей сети. В принципе сети раньше так и работали. Компьютеры находились в одной канальной среде и разделялись только при помощи маршрутизаторов. Но время шло и нужно было решать эту проблему на канальном уровне. Cisco, как пионер, придумала свой протокол, который тегировал кадры и определял принадлежность к определенной канальной среде. Назывался он ISL (Inter-Switch Link). Идея эта понравилась всем и IEEE решили разработать аналогичный открытый стандарт. Стандарт получил название 802.1q. Получил он огромное распространение и Cisco решила тоже перейти на него. И вот как раз технология VLAN основывается на работе протокола 802.1q. Давайте уже начнем говорить про нее.

В 3-ей части я показал, как выглядит ethernet-кадр. Посмотрите на него и освежите в памяти. Вот так выглядит не тегированный кадр.

Теперь взглянем на тегированный.

Как видим, отличие в том, что появляется некий Тег. Это то, что нам и интересно. Копнем глубже. Состоит он из 4-х частей.

1) TPID (англ. Tag Protocol ID) или Идентификатор тегированного протокола — состоит из 2-х байт и для VLAN всегда равен 0x8100. 2) PCP (англ. Priority Code Point) или значение приоритета — состоит из 3-х бит. Используется для приоритезации трафика. Крутые и бородатые сисадмины знают, как правильно им управлять и оперирует им, когда в сети гуляет разный трафик (голос, видео, данные и т.д.) 3) CFI (англ. Canonical Format Indicator) или индикатор каноничного формата — простое поле, состоящее из одного бита. Если стоит 0, то это стандартный формат MAC-адреса. 4) VID (англ. VLAN ID) или идентификатор VLAN — состоит из 12 бит и показывает, в каком VLAN находится кадр.

Хочу заострить внимание на том, что тегирование кадров осуществляется между сетевыми устройствами (коммутаторы, маршрутизаторы и т.д.), а между конечным узлом (компьютер, ноутбук) и сетевым устройством кадры не тегируются. Поэтому порт сетевого устройства может находиться в 2-х состояниях: access или trunk.

Access port или порт доступа — порт, находящийся в определенном VLAN и передающий не тегированные кадры. Как правило, это порт, смотрящий на пользовательское устройство.
Trunk port или магистральный порт — порт, передающий тегированный трафик. Как правило, этот порт поднимается между сетевыми устройствами.

Сейчас я покажу это на практике. Открываю ту же лабу. Картинку повторять не буду, а сразу открою коммутатор и посмотрю, что у него с VLAN. Набираю команду show vlan.

Выстраиваются несколько таблиц. Нам по сути важна только самая первая. Теперь покажу как ее читать.

1 столбец — это номер VLAN. Здесь изначально присутствует номер 1 — это стандартный VLAN, который изначально есть на каждом коммутаторе. Он выполняет еще одну функцию, о которой чуть ниже напишу. Также присутствуют зарезервированные с 1002-1005. Это для других канальных сред, которые вряд ли сейчас используются. Удалить их тоже нельзя.

Switch(config)#no vlan 1005
Default VLAN 1005 may not be deleted.

При удалении Cisco выводит сообщение, что этот VLAN удалить нельзя. Поэтому живем и эти 4 VLANа не трогаем.

2 столбец — это имя VLAN. При создании VLAN, вы можете на свое усмотрение придумывать им осмысленные имена, чтобы потом их идентифицировать. Тут уже есть default, fddi-default, token-ring-default, fddinet-default, trnet-default.

3 столбец — статус. Здесь показывается в каком состоянии находится VLAN. На данный момент VLAN 1 или default в состоянии active, а 4 следующих act/unsup (хоть и активные, но не поддерживаются).

4 столбец — порты. Здесь показано к каким VLAN-ам принадлежат порты. Сейчас, когда мы еще ничего не трогали, они находятся в default.

Приступаем к настройке коммутаторов. Правилом хорошего тона будет дать коммутаторам осмысленные имена. Чем и займемся. Привожу команду.

	
		Switch(config) #hostname CentrSW
		CentrSW(config) #

Остальные настраиваются аналогично, поэтому покажу обновленную схему топологии.

Начнем настройку с коммутатора SW1. Для начала создадим VLAN на коммутаторе.

SW1(config)#vlan 2 -  создаем VLAN 2 (VLAN 1 по умолчанию зарезервирован, поэтому берем следующий).
SW1(config-vlan)#name Dir-ya - попадаем в настройки VLAN и задаем ему имя.

VLAN создан. Теперь переходим к портам. Интерфейс FastEthernet0/1 смотрит на PC1, а FastEthernet0/2 на PC2. Как говорилось ранее, кадры между ними должны передаваться не тегированными, поэтому переведем их в состояние Access.

SW1(config)#interface fastEthernet 0/1 - переходим к настройке 1-ого порта.
SW1(config-if)#switchport mode access - переводим порт в режим access.
SW1(config-if)#switchport access vlan 2 - закрепляем за портом 2-ой VLAN.
SW1(config)#interface fastEthernet 0/2 - переходим к настройке 2-ого порта.
SW1(config-if)#switchport mode access - переводим порт в режим access.
SW1(config-if)#switchport access vlan 2 - закрепляем за портом 2-ой VLAN.

Так как оба порта закрепляются под одинаковым VLAN-ом, то их еще можно было настроить группой.

SW1(config)#interface range fastEthernet 0/1-2 - то есть выбираем пул и далее настройка аналогичная.
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 2

Настроили access порты. Теперь настроим trunk между SW1 и CentrSW.

SW1(config)
SW1(config-if)
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up

Сразу видим, что порт перенастроился. В принципе для работы этого достаточно. Но с точки зрения безопасности разрешать для передачи

SW1(config-if)#switchport trunk allowed vlan 2 - разрешаем передавать только 2-ой VLAN.

Без этой команды передаваться будут все имеющиеся VLAN. Посмотрим, как изменилась таблица командой show vlan.

Появился 2-ой VLAN с именем Dir-ya и видим принадлежащие ему порты fa0/1 и fa0/2.

Чтобы вывести только верхнюю таблицу, можно воспользоваться командой show vlan brief.

Можно еще укоротить вывод, если указать определенный ID VLANа.

Или его имя.

Вся информациях о VLAN хранится в flash памяти в файле vlan.dat.

Как вы заметили, ни в одной из команд, нет информации о trunk. Ее можно посмотреть другой командой show interfaces trunk.

Здесь есть информация и о trunk портах, и о том какие VLAN они передают. Еще тут есть столбец Native vlan. Это как раз тот трафик, который не должен тегироваться. Если на коммутатор приходит не тегированный кадр, то он автоматически причисляется к Native Vlan (по умолчанию и в нашем случае это VLAN 1). Native VLAN можно, а многие говорят, что нужно менять в целях безопасности. Для этого в режиме настройки транкового порта нужно применить команду — switchport trunk native vlan X, где X — номер присваиваемого VLAN. В этой топологии мы менять не будем, но знать, как это делать полезно.

Осталось настроить остальные устройства.

CentrSW: Центральный коммутатор является связующим звеном, а значит он должен знать обо всех VLAN-ах. Поэтому сначала создаем их, а потом переводим все интерфейсы в транковый режим.

CentrSW(config)#vlan 2
CentrSW(config-vlan)# name Dir-ya
CentrSW(config)#vlan 3
CentrSW(config-vlan)# name buhgalter
CentrSW(config)#vlan 4
CentrSW(config-vlan)# name otdel-kadrov
CentrSW(config)#interface range fastEthernet 0/1-3
CentrSW(config-if-range)#switchport mode trunk

Не забываем сохранять конфиг. Команда copy running-config startup-config.

SW2:

SW2(config)#vlan 3
SW2(config-vlan)#name buhgalter
SW2(config)#interface range fastEthernet 0/1-2 
SW2(config-if-range)#switchport mode access
SW2(config-if-range)#switchport access vlan 3
SW2(config)#interface fastEthernet 0/24
SW2(config-if)#switchport mode trunk
SW2(config-if)#switchport trunk allowed vlan 3

SW3:

SW3(config)#vlan 4
SW3(config-vlan)#name otdel kadrov
SW3(config)#interface range fastEthernet 0/1-2 
SW3(config-if-range)#switchport mode access
SW3(config-if-range)#switchport access vlan 4
SW3(config)#interface fastEthernet 0/24
SW3(config-if)#switchport mode trunk
SW3(config-if)#switchport trunk allowed vlan 4

Обратите внимание на то, что мы подняли и настроили VLAN, но адресацию узлов оставили такой же. То есть, фактически все узлы в одной подсети, но разделены VLAN-ами. Так делать нельзя. Каждому VLAN надо выделять отдельную подсеть. Я это сделал исключительно в учебных целях. Если бы каждый отдел сидел в своей подсети, то они бы априори были ограничены, так как коммутатор не умеет маршрутизировать трафик из одной подсети в другую (плюс это уже ограничение на сетевом уровне). А нам нужно ограничить отделы на канальном уровне. Снова отправляю ping с PC1 к PC3.

Идет в ход ARP, который нам и нужен сейчас. Откроем его.

Пока что ничего нового. ARP инкапсулирован в ethernet.

Кадр прилетает на коммутатор и тегируется. Теперь там не обычный ethernet, а 802.1q. Добавились поля, о которых я писал ранее. Это TPID, который равен 8100 и показывающий, что это 802.1q. И TCI, которое объединяет 3 поля PCP, CFI и VID. Число, которое в этом поле — это номер VLAN. Двигаемся дальше.

После тега он отправляет кадр на PC2 (т.к. он в том же VLAN) и на центральный коммутатор по транковому порту.

Так как жестко не было прописано какие типы VLAN пропускать по каким портам, то он отправит на оба коммутатора. И вот здесь коммутаторы, увидев номер VLAN, понимают, что устройств с таким VLAN-ом у них нет и смело его отбрасывают.

PC1 ожидает ответ, который так и не приходит. Можно под спойлером посмотреть в виде анимации.

Теперь следующая ситуация. В состав дирекции нанимают еще одного человека, но в кабинете дирекции нет места и на время просят разместить человека в отделе бухгалтерии. Решаем эту проблему.

Подключили компьютер к порту FastEthernet 0/3 коммутатора и присвою IP-адрес 192.168.1.8/24. Теперь настрою коммутатор SW2. Так как компьютер должен находиться во 2-ом VLAN, о котором коммутатор не знает, то создам его на коммутаторе.

SW2(config)#vlan 2
SW2(config-vlan)#name Dir-ya

Дальше настраиваем порт FastEthernet 0/3, который смотрит на PC7.

SW2(config)#interface fastEthernet 0/3
SW2(config-if)#switchport mode access 
SW2(config-if)#switchport access vlan 2

И последнее — настроить транковый порт.

SW2(config)#interface fastEthernet 0/24
SW2(config-if)#switchport trunk allowed vlan add 2 - обратите внимание на эту команду. 
А именно на ключевое слово "add". Если не дописать это слово, то вы сотрете все остальные разрешенные к передаче VLAN на этом порту. 
Поэтому если у вас уже был поднят транк на порту и передавались другие VLAN, то добавлять надо именно так.

Чтобы кадры ходили красиво, подкорректирую центральный коммутатор CentrSW.

CentrSW(config)#interface fastEthernet 0/1
CentrSW(config-if)#switchport trunk allowed vlan 2
CentrSW(config)#interface fastEthernet 0/2
CentrSW(config-if)#switchport trunk allowed vlan 2,3
CentrSW(config)#interface fastEthernet 0/3
CentrSW(config-if)#switchport trunk allowed vlan 4

Время проверки. Отправляю ping с PC1 на PC7.

Пока что весь путь аналогичен предыдущему. Но вот с этого момента (с картинки ниже) центральный коммутатор примет другое решение. Он получает кадр и видит, что тот протегирован 2-ым VLAN-ом. Значит отправлять его надо только туда, где это разрешено, то есть на порт fa0/2.

И вот он приходит на SW2. Открываем и видим, что он еще тегированный. Но следующим узлом стоит компьютер и тег надо снимать. Нажимаем на «Outbound PDU Details», чтобы посмотреть в каком виде кадр вылетит из коммутатора.

И действительно. Коммутатор отправит кадр в «чистом» виде, то есть без тегов.

Доходит ARP до PC7. Открываем его и убеждаемся, что кадр не тегированный PC7 узнал себя и отправляет ответ.

Открываем кадр на коммутаторе и видим, что на отправку он уйдет тегированным. Дальше кадр будет путешествовать тем же путем, что и пришел.

ARP доходит до PC1, о чем свидетельствует галочка на конверте. Теперь ему известен MAC-адрес и он пускает в ход ICMP.

Открываем пакет на коммутаторе и наблюдаем такую же картину. На канальном уровне кадр тегируется коммутатором. Так будет с каждым сообщением.

Видим, что пакет успешно доходит до PC7. Обратный путь я показывать не буду, так как он аналогичен. Если кому интересно, можно весь путь увидеть на анимации под спойлером ниже. А если охота самому поковырять эту топологию, прикладываю ссылку на лабораторку.

Вот в принципе самое популярное применение VLAN-ов. Независимо от физического расположения, можно логически объединять узлы в группы, там самым изолируя их от других. Очень удобно, когда сотрудники физически работают в разных местах, но должны быть объединены. И конечно с точки зрения безопасности VLAN не заменимы. Главное, чтобы к сетевым устройствам имели доступ ограниченный круг лиц, но это уже отдельная тема. Добились ограничения на канальном уровне. Трафик теперь не гуляет где попало, а ходит строго по назначению. Но теперь встает вопрос в том, что отделам между собой нужно общаться. А так как они в разных канальных средах, то в дело вступает маршрутизация. Но перед началом, приведем топологию в порядок. Самое первое к чему приложим руку — это адресация узлов. Повторюсь, что каждый отдел должен находиться в своей подсети. Итого получаем:

Дирекция — 192.168.1.0/24

Бухгалтерия — 192.168.2.0/24
Отдел кадров — 192.168.3.0/24

Раз подсети определены, то сразу адресуем узлы.

PC1: IP: 192.168.1.2 Маска: 255.255.255.0 или /24 Шлюз: 192.168.1.1

PC2:
IP: 192.168.1.3
Маска: 255.255.255.0 или /24
Шлюз: 192.168.1.1
PC3:
IP: 192.168.2.2
Маска: 255.255.255.0 или /24
Шлюз: 192.168.2.1
PC4:
IP: 192.168.2.3
Маска: 255.255.255.0 или /24
Шлюз: 192.168.2.1
PC5:
IP: 192.168.3.2
Маска: 255.255.255.0 или /24
Шлюз: 192.168.3.1
PC6:
IP: 192.168.3.3
Маска: 255.255.255.0 или /24
Шлюз: 192.168.3.1
PC7:
IP: 192.168.1.4
Маска: 255.255.255.0 или /24
Шлюз: 192.168.1.1

Теперь про изменения в топологии. Видим, что добавился маршрутизатор. Он как раз и будет перекидывать трафик с одного VLAN на другой (иными словами маршрутизировать). Изначально соединения между ним и коммутатором нет, так как интерфейсы выключены. У узлов добавился такой параметр, как адрес шлюза. Этот адрес они используют, когда надо отправить сообщение узлу, находящемуся в другой подсети. Соответственно у каждой подсети свой шлюз.

Осталось настроить маршрутизатор, и я открываю его CLI. По традиции дам осмысленное имя.

Router(config)#hostname Gateway
Gateway(config)#

Далее переходим к настройке интерфейсов.

Gateway(config)
Gateway(config-if)
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Теперь внимание! Мы включили интерфейс, но не повесили на него IP-адрес. Дело в том, что от физического интерфейса (fastethernet 0/0) нужен только линк или канал. Роль шлюзов будут выполнять виртуальные интерфейсы или сабинтерфейсы (англ. subinterface). На данный момент 3 типа VLAN. Значит и сабинтерфейсов будет 3. Приступаем к настройке.

Gateway(config)#interface fastEthernet 0/0.2
Gateway(config-if)#encapsulation dot1Q 2
Gateway(config-if)#ip address 192.168.1.1 255.255.255.0
Gateway(config)#interface fastEthernet 0/0.3
Gateway(config-if)#encapsulation dot1Q 3
Gateway(config-if)#ip address 192.168.2.1 255.255.255.0
Gateway(config)#interface fastEthernet 0/0.4
Gateway(config-if)#encapsulation dot1Q 4
Gateway(config-if)#ip address 192.168.3.1 255.255.255.0

Маршрутизатор настроен. Переходим к центральному коммутатору и настроим на нем транковый порт, чтобы он пропускал тегированные кадры на маршрутизатор.

CentrSW(config)#interface fastEthernet 0/24
CentrSW(config-if)#switchport mode trunk
CentrSW(config-if)#switchport trunk allowed vlan 2,3,4

Конфигурация закончена и переходим к практике. Отправляю ping с PC1 на PC6 (то есть на 192.168.3.3).

PC1 понятия не имеет, кто такой PC6 или 192.168.3.3, но знает, что они находятся в разных подсетях (как он это понимает описано в предыдущей статье). Поэтому он отправит сообщение через основной шлюз, адрес которого указан в его настройках. И хоть PC1 знает IP-адрес основного шлюза, для полного счастья не хватает MAC-адреса. И он пускает в ход ARP.

Обратите внимание. Как только кадр прибывает на CentrSW, коммутатор не рассылает его кому попало. Он рассылает только на те порты, где разрешен пропуск 2-го VLAN. То есть на маршрутизатор и на SW2 (там есть пользователь, сидящий во 2-ом VLAN).

Маршрутизатор узнает себя и отправляет ответ (показан стрелочкой). И обратите внимание на нижний кадр. Когда SW2 получил ARP от центрального коммутатора, он аналогично не стал рассылать его на все компьютеры, а отправил только PC7, который сидит во 2-ом VLAN. Но PC7 его отбрасывает, так как он не для него. Смотрим дальше.

ARP дошел до PC1. Теперь ему все известно и можно отправлять ICMP. Еще раз обращу внимание на то, что в качестве MAC-адреса назначения (канальный уровень), будет адрес маршрутизатора, а в качестве IP-адреса назначения (сетевой уровень), адрес PC6.

Доходит ICMP до маршрутизатора. Он смотрит в свою таблицу и понимает, что не знает никого под адресом 192.168.3.3. Отбрасывает прибывший ICMP и пускает разведать ARP.

PC6 узнает себя и отправляет ответ.

Доходит до маршрутизатора ответ и он добавляет запись в своей таблице. Посмотреть таблицу ARP можно командой show arp.

Двигаемся дальше. PC1 недоволен, что ему никто не отвечает и отправляет следующее ICMP-сообщение.

На этот раз ICMP доходит без проблем. Обратно он проследует тем же маршрутом. Я лишь покажу конечный результат.

Первый пакет затерялся (в результате работы ARP), а второй дошел без проблем. Кому интересно увидеть в анимации, добро пожаловать под спойлер

Итак. Мы добились того, что если узлы находятся в одной подсети и в одном VLAN, то ходить они будут напрямую через коммутаторы. В случае, когда нужно передать сообщение в другую подсеть и VLAN, то передавать будут через роутер Gateway, который осуществляет «межвлановую» маршрутизацию. Данная топология получила название «router on a stick» или «роутер на палочке». Как вы поняли она очень удобна. Мы создали 3 виртуальных интерфейса и по одному проводу гоняли разные тегированные кадры. Без использования сабинтерфейсов и VLAN-ов, пришлось бы для каждой подсети задействовать отдельный физический интерфейс, что совсем не выгодно.

Кстати очень хорошо этот вопрос разобран в этом видео (видео идет около 3-х часов, поэтому ссылка с привязкой именно к тому моменту времени). Если после прочтения и просмотра видео захочется добить все собственными руками, прикладываю ссылку на скачивание.

Разобрались с VLAN-ами и переходим к одному из протоколов, работающего с ним. DTP (англ. Dynamic Trunking Protocol) или на русском динамический транковый протокол — проприетарный протокол компании Cisco, служащий для реализации trunk режима между коммутаторами. Хотя в зависимости от состояния, они могут согласоваться и в режим access.

В DTP есть 4 режима: Dynamic auto, Dynamic desirable, Trunk, Access. Рассмотрим как они согласуются.

Режимы	Dynamic auto	Dynamic desirable	Trunk	Access
Dynamic auto	Access	Trunk	Trunk	Access
Dynamic desirable	Trunk	Trunk	Trunk	Access
Trunk	Trunk	Trunk	Trunk	Отсутствие соединения
Access	Access	Access	Отсутствие соединения	Access

То есть левая колонка это 1-ое устройство, а верхняя строка 2-ое устройство. По-умолчанию коммутаторы находятся в режиме «dynamic auto». Если посмотреть таблицу сопоставления, то два коммутатора в режиме «dynamic auto» согласуются в режим «access». Давайте это и проверим. Создаю я новую лабораторную работу и добавлю 2 коммутатора.

Соединять их пока не буду. Мне надо убедиться, что оба коммутатора в режиме «dynamic auto». Проверять буду командой show interfaces switchport.

Результат этой команды очень большой, поэтому я его обрезал и выделил интересующие пункты. Начнем с Administrative Mode. Эта строка показывает, в каком из 4-режимов работает данный порт на коммутаторе. Убеждаемся, что на обоих коммутаторах порты в режиме «Dynamic auto». А строка Operational Mode показывает, в каком режиме работы они согласовали работу. Мы пока их не соединяли, поэтому они в состоянии «down».

Сразу дам вам хороший совет. При тестировании какого либо протокола, пользуйтесь фильтрами. Отключайте показ работы всех ненужных вам протоколов.

Перевожу CPT в режим simulation и отфильтрую все протоколы, кроме DTP.

Думаю здесь все понятно. Соединяю коммутаторы кабелем и, при поднятии линков, один из коммутаторов генерирует DTP-сообщение.

Открываю и вижу, что это DTP инкапсулированный в Ethernet-кадр. Отправляет он его на мультикастовый адрес «0100.0ccc.cccc», который относится к протоколам DTP, VTP, CDP. И обращу внимание на 2 поля в заголовке DTP.

1) DTP Type — сюда отправляющий вставляет предложение. То есть в какой режим он хочет согласоваться. В нашем случае он предлагает согласовать «access». 2) Neighbor MAC-address — в это поле он записывает MAC-адрес своего порта.

Отправляет он и ждет реакции от соседа.

Доходит до SW1 сообщение и он генерирует ответный. Где также согласует режим «access», вставляет свой MAC-адрес и отправляет в путь до SW2.

Успешно доходит DTP. По идее они должны были согласоваться в режиме «access». Проверю.

Как и предполагалось, согласовались они в режим «access». Кто то говорит, что технология удобная и пользуется ею. Но я крайне не рекомендую использовать этот протокол в своей сети. Рекомендую это не только я, и сейчас объясню почему. Смысл в том, что этот протокол открывает большую дыру в безопасности. Я открою лабораторку, в которой разбиралась работа «Router on a stick» и добавлю туда еще один коммутатор.

Теперь зайду в настройки нового коммутатора и жестко пропишу на порту работу в режиме trunk.

New_SW(config)#interface fastEthernet 0/1
New_SW(config-if)#switchport mode trunk

Соединяю их и смотрю, как они согласовались.

Все верно. Режимы «dynamic auto» и «trunk» согласуются в режим trunk. Теперь ждем, когда кто- то начнет проявлять активность. Допустим PC1 решил кому то отправить сообщение. Формирует ARP и выпускает в сеть.

Пропустим его путь до того момента, когда он попадет на SW2.

И вот самое интересное.

Он отправляет его на вновь подключенный коммутатор. Объясняю, что произошло. Как только мы согласовали с ним trunk, он начинает отправлять ему все пришедшие кадры. Хоть на схеме и показано, что коммутатор отбрасывает кадры, это ничего не значит. К коммутатору или вместо коммутатора можно подключить любое перехватывающее устройство (sniffer) и спокойно просматривать, что творится в сети. Вроде перехватил он безобидный ARP. Но если взглянуть глубже, то можно увидеть, что уже известен MAC-адрес «0000.0C1C.05DD» и IP-адрес «192.168.1.2». То есть PC1 не думая выдал себя. Теперь злоумышленник знает о таком компьютере. Вдобавок он знает, что он сидит во 2-ом VLAN. Дальше он может натворить многого. Самое банальное — это подменить свой MAC-адрес, IP-адрес, согласоваться быстро в Access и и выдавать себя за PC1. Но самое интересное. Ведь сразу можно этого не понять. Обычно, когда мы прописываем режим работы порта, он сразу отображается в конфигурации. Ввожу show running-config .

Но здесь настройки порта пустые. Ввожу show interfaces switchport и проматываю до fa0/4.

А вот здесь видим, что согласован trunk. Не всегда show running-config дает исчерпывающую информацию. Поэтому запоминайте и другие команды.

Думаю понятно почему нельзя доверять этому протоколу. Он вроде облегчает жизнь, но в то же время может создать огромную проблему. Поэтому полагайтесь на ручной метод. При настройке сразу же обозначьте себе какие порты будут работать в режиме trunk, а какие в access. И самое главное — всегда отключайте согласование. Чтобы коммутаторы не пытались ни с кем согласоваться. Делается это командой «switchport nonegotiate».

Переходим к следующему протоколу.

VTP (англ. VLAN Trunking Protocol) — проприетарный протокол компании Cisco, служащий для обмена информацией о VLAN-ах.

Представьте ситуацию, что у вас 40 коммутаторов и 70 VLAN-ов. По хорошему нужно вручную на каждом коммутаторе их создать и прописать на каких trunk-ых портах разрешать передачу. Дело это муторное и долгое. Поэтому эту задачу может взвалить на себя VTP. Вы создаете VLAN на одном коммутаторе, а все остальные синхронизируются с его базой. Взгляните на следующую топологию.

Здесь присутствуют 4 коммутатора. Один из них является VTP-сервером, а 3 остальных клиентами. Те VLAN, которые будут созданы на сервере, автоматически синхронизируются на клиентах. Объясню как работает VTP и что он умеет.

Итак. VTP может создавать, изменять и удалять VLAN. Каждое такое действие влечет к тому, что увеличивается номер ревизии (каждое действие увеличивает номер на +1). После он рассылает объявления, где указан номер ревизии. Клиенты, получившие это объявление, сравнивают свой номер ревизии с пришедшим. И если пришедший номер выше, они синхронизируют свою базу с ней. В противном случае объявление игнорируется.

Но это еще не все. У VTP есть роли. По-умолчанию все коммутаторы работают в роли сервера. Расскажу про них.

VTP Server. Умеет все. То есть создает, изменяет, удаляет VLAN. Если получает объявление, в которых ревизия старше его, то синхронизируется. Постоянно рассылает объявления и ретранслирует от соседей.

VTP Client — Эта роль уже ограничена. Создавать, изменять и удалять VLAN нельзя. Все VLAN получает и синхронизирует от сервера. Периодически сообщает соседям о своей базе VLAN-ов.
VTP Transparent — эта такая независимая роль. Может создавать, изменять и удалять VLAN только в своей базе. Никому ничего не навязывает и ни от кого не принимает. Если получает какое то объявление, передает дальше, но со своей базой не синхронизирует. Если в предыдущих ролях, при каждом изменении увеличивался номер ревизии, то в этом режиме номер ревизии всегда равен 0.

Это все, что касается VTP версии 2. В VTP 3-ей версии добавилась еще одна роль — VTP Off. Он не передает никакие объявления. В остальном работа аналогична режиму Transparent.

Начитались теории и переходим к практике. Проверим, что центральный коммутатор в режиме Server. Вводим команду show vtp status.

Видим, что VTP Operating Mode: Server. Также можно заметить, что версия VTP 2-ая. К сожалению, в CPT 3-ья версия не поддерживается. Версия ревизии нулевая. Теперь настроим нижние коммутаторы.

SW1(config)#vtp mode client 
Setting device to VTP CLIENT mode.

Видим сообщение, что устройство перешло в клиентский режим. Остальные настраиваются точно также.

Чтобы устройства смогли обмениваться объявлениями, они должны находиться в одном домене. Причем тут есть особенность. Если устройство (в режиме Server или Client) не состоит ни в одном домене, то при первом полученном объявлении, перейдет в объявленный домен. Если же клиент состоит в каком то домене, то принимать объявления от других доменов не будет. Откроем SW1 и убедимся, что он не состоит ни в одном домене.

Убеждаемся, что тут пусто.

Теперь переходим центральному коммутатору и переведем его в домен.

CentrSW(config)#vtp domain cisadmin.ru
Changing VTP domain name from NULL to cisadmin.ru

Видим сообщение, что он перевелся в домен cisadmin.ru. Проверим статус.

И действительно. Имя домена изменилось. Обратите внимание, что номер ревизии пока что нулевой. Он изменится, как только мы создадим на нем VLAN. Но перед созданием надо перевести симулятор в режим simulation, чтобы посмотреть как он сгенерирует объявления. Создаем 20-ый VLAN и видим следующую картинку.

Как только создан VLAN и увеличился номер ревизии, сервер генерирует объявления. У него их два. Сначала откроем тот, что левее. Это объявление называется «Summary Advertisement» или на русском «сводное объявление». Это объявление генерируется коммутатором раз в 5 минут, где он рассказывает о имени домена и текущей ревизии. Смотрим как выглядит.

В Ethernet-кадре обратите внимание на Destination MAC-адрес. Он такой же, как и выше, когда генерировался DTP. То есть, в нашем случае на него отреагируют только те, у кого запущен VTP. Теперь посмотрим на следующее поле.

Здесь как раз вся информация. Пройдусь по самым важным полям.

Management Domain Name — имя самого домена (в данном случае cisadmin.ru).

Updater Identity — идентификатор того, кто обновляет. Здесь, как правило, записывается IP-адрес. Но так как адрес коммутатору не присваивали, то поле пустое
Update Timestamp — время обновления. Время на коммутаторе не менялось, поэтому там стоит заводское.
MD5 Digest — хеш MD5. Оно используется для проверки полномочий. То есть, если на VTP стоит пароль. Мы пароль не меняли, поэтому хэш по-умолчанию.

Теперь посмотрим на следующее генерируемое сообщение (то, что справа). Оно называется «Subset Advertisement» или «подробное объявление». Это такая подробная информация о каждом передаваемом VLAN.

Думаю здесь понятно. Отдельный заголовок для каждого типа VLAN. Список настолько длинный, что не поместился в экран. Но они точно такие, за исключением названий. Заморачивать голову, что означает каждый код не буду. Да и в CPT они тут больше условность. Смотрим, что происходит дальше.

Получают клиенты объявления. Видят, что номер ревизии выше, чем у них и синхронизируют базу. И отправляют сообщение серверу о том, что база VLAN-ов изменилась.

Вот так в принципе работает протокол VTP. Но у него есть очень большие минусы. И минусы эти в плане безопасности. Объясню на примере этой же лабораторки. У нас есть центральный коммутатор, на котором создаются VLAN, а потом по мультикасту он их синхронизирует со всеми коммутаторами. В нашем случае он рассказывает про VLAN 20. Предлагаю еще раз глянуть на его конфигурацию.

И тут в сеть мы добавляем новый коммутатор. У него нет новых VLAN-ов, кроме стандартных и он не состоит ни в одном VTP-домене, но подкручен номер ревизии.

И перед тем как его воткнуть в сеть, переводим порт в режим trunk.

Теперь переключаю CPT в «Simulation Mode» и отфильтровываю все, кроме VTP. Подключаюсь и смотрю, что происходит.

Через какое то время до NewSW доходит VTP сообщение, откуда он узнает, что в сети есть VTP-домен «cisadmin.ru». Так как он не состоял до этого в другом домене, он автоматически в него переходит. Проверим.

Теперь он в том же домене, но с номером ревизии выше. Он формирует VTP-сообщение, где рассказывает об этом.

Первым под раздачу попадет SW1.

Заметьте, что на SW1 приходят сразу 2 VTP-сообщения (от NewSW и от CentrSW). В сообщении от NewSW он видит, что номер ревизии выше, чем его и синхронизирует свою базу. А вот сообщение от CentrSW для него уже устарело, и он отбрасывает его. Проверим, что изменилось на SW1.

Обновился номер ревизии и, что самое интересное, база VLAN. Теперь она пустая. Смотрим дальше.

Обратите внимание. До сервера доходит VTP-сообщение, где номер ревизии выше, чем у него. Он понимает, что сеть изменилась и надо под нее подстроиться. Проверим конфигурацию.

Конфигурация центрального сервера изменилась и теперь он будет вещать именно ее. А теперь представьте, что у нас не один VLAN, а сотни. Вот таким простым способом можно положить сеть. Конечно домен может быть запаролен и злоумышленнику будет тяжелее нанести вред. А представьте ситуацию, что у вас сломался коммутатор и срочно надо его заменить. Вы или ваш коллега бежите на склад за старым коммутатором и забываете проверить номер ревизии. Он оказывается выше чем у остальных. Что произойдет дальше, вы уже видели. Поэтому я рекомендую не использовать этот протокол. Особенно в больших корпоративных сетях. Если используете VTP 3-ей версии, то смело переводите коммутаторы в режим «Off». Если же используется 2-ая версия, то переводите в режим «Transparent».

Кому интересно посмотреть это в виде анимации, открывайте спойлер.

Для желающих поработать с этой лабораторкой, прикладываю ссылку.

Ну вот статья про VLAN подошла к концу. Если остались какие то вопросы, смело задавайте. Спасибо за прочтение.

Содержание

Автор

`addsharming — VLAN`

`Настройка VLAN на коммутаторах Cisco под управлением IOS`

Основная страница: VLAN в Cisco

Терминология Cisco:

access port — порт принадлежащий одному VLAN’у и передающий нетегированный трафик
trunk port — порт передающий тегированный трафик одного или нескольких VLAN’ов

Коммутаторы Cisco ранее поддерживали два протокола 802.1Q и ISL. ISL — проприетарный протокол использующийся в оборудовании Cisco. ISL полностью инкапсулирует фрейм для передачи информации о принадлежности к VLAN’у.

В современных моделях коммутаторов Cisco ISL не поддерживается.

Создание VLAN’а и задание имени:

sw1(config)# vlan 2 sw1(config-vlan)# name test

Назначение порта коммутатора в VLAN:

sw1(config)# interface fa0/1 sw1(config-if)# switchport mode access sw1(config-if)# switchport access vlan 2

Назначение диапазона портов c fa0/4 до fa0/5 в vlan 10:

sw1(config)# interface range fa0/4 — 5 sw1(config-if-range)# switchport mode access sw1(config-if-range)# switchport access vlan 10

Просмотр информации о VLAN’ах:

switch# show vlan brief VLAN Name Status Ports —- ——————————— ——— ——————————- 1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 2 test active Fa0/1, Fa0/2 10 VLAN0010 active Fa0/4, Fa0/5 15 VLAN0015 active Fa0/3

Создание статического транка:

sw1(config)# interface fa0/22 sw1(config-if)# switchport trunk encapsulation dot1q (нужна не во всех коммутаторах) sw1(config-if)# switchport mode trunk

В стандарте 802.1Q существует понятие native VLAN. Трафик этого VLAN передается нетегированным. по умолчанию это VLAN 1. Однако можно изменить это и указать другой VLAN как native.

Настройка VLAN 5 как native:

sw1(config-if)# switchport trunk native vlan 5

Теперь весь трафик принадлежащий VLAN’у 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN’у 5 (по умолчанию VLAN 1).

Просмотр информации о транке:

sw1# show interface fa0/22 trunk

или

sw1# show interface fa0/22 switchport

Конфигурация sw1:

! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk !

Динамическое создание транков (DTP)

Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.

Режимы DTP на интерфейсе:

auto — Режим по умолчанию. Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.
desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
on — Порт постоянно находится в состоянии trunk, даже если порт на другом конце не поддерживает этот режим.
off — Порт не поддерживает состояние trunk, даже если порт на другом конце его поддерживает.
nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.

Проверить текущий режим DTP:

sw# show dtp interface

Настройка маршрутизации между VLAN

Все настройки по назначению портов в VLAN, сделанные ранее для sw1, сохраняются. Дальнейшие настройки подразумевают использование коммутатора 3 уровня.

При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети.

Включение маршрутизации на коммутаторе:

sw1(config)#ip routing

Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в VLAN 2:

sw1(config)#interface Vlan2 sw1(config-if)#ip address 10.0.2.1 255.255.255.0 sw1(config-if)#no shutdown

Задание адреса в VLAN 10:

sw1(config)#interface Vlan10 sw1(config-if)#ip address 10.0.10.1 255.255.255.0 sw1(config-if)#no shutdown

Интерфейс fa0/10 соединен с маршрутизатором, который является маршрутизатором по умолчанию для сети. Трафик не предназначенный сетям VLAN’ов будет маршрутизироваться на R1.

Перевод fa0/10 в режим интерфейса 3 уровня и задание адреса:

sw1(config)#interface FastEthernet 0/10 sw1(config-if)#no switchport sw1(config-if)#ip address 192.168.1.2 255.255.255.0 sw1(config-if)#no shutdown

Конфигурация sw1:

! ip routing ! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! ! interface FastEthernet0/10 no switchport ip address 192.168.1.2 255.255.255.0 ! ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk ! ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip address 10.0.2.1 255.255.255.0 ! interface Vlan10 ip address 10.0.10.1 255.255.255.0 ! interface Vlan15 ip address 10.0.15.1 255.255.255.0 ! ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 !

тут надо уточнить, что сам маршрут прописывается как раз последней строкой

ip route 0.0.0.0 0.0.0.0 192.168.1.1

здесь — все запросы на все адреса направляются по адресу 192.168.1.1

Диапазоны VLAN

(написать подробнее про политику выделения внутренних VLANов)

Политика выделения VLANов (VLAN allocation policy) настраивается с помощью команды vlan internal allocation policy{ascending|descending}.

В режиме ascending используются номера, начиная с 1006 и выше. В режиме descending, начиная с 4094 и ниже.

Router# configure terminal Router(config)# vlan internal allocation policy descending

Подробнее:

`Настройка vlan и hybrid, trunk, access интерфейсов на коммутаторах Huawei S2300, S5300`

Рассмотрим основные команды для настройки vlan, особенности конфигурирования интерфейсов в разных режимах работы — access, trunk и hybrid на коммутаторах серии huawei quidway S2300 и S5300.

Создание и удаление vlan на коммутаторах huawei

`Создание vlan на коммутаторах huawei`

[huawei] vlan {vlan-id}

Пример:

system-view
[huawei] vlan 150
[huawei-vlan150] quit
[huawei]

`Удаление vlan на коммутаторах huawei`

[huawei] undo vlan {vlan-id}

`Настройка портов коммутаторов huawei в режиме access, trunk и hybrid`

`Настройка портов коммутаторов huawei в режиме acess port`

В режиме конфигурирования интерфейса задем тип — access.

[huawei-GigabitEthernet0/0/1] port link-type access

Задаем номер vlan, по умолчанию на порту используется vlan-id = 1.

[huawei-GigabitEthernet0/0/1] port default vlan {vlan-id}

Пример:

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type access
[huawei-GigabitEthernet0/0/1] port default vlan 150
[huawei-GigabitEthernet0/0/1] quit

Настройка портов коммутаторов huawei в режиме trunk port

В режиме конфигурирования интерфейса задем тип — trunk.

[huawei-GigabitEthernet0/0/1] port link-type trunk

Добавляем номера vlan в trunk через пробел или диапазон vlan используя to (Пример 100 to 200).

[huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan {vlan-id1 vlan-id2 ... vlan-idn}

При необходимости можно изменить и default vlan (нетегированную) на другую.

[huawei-GigabitEthernet0/0/1] port trunk pvid vlan {vlan-id}

Пример:

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type trunk
[huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan 150 200 to 220
[huawei-GigabitEthernet0/0/1] port trunk pvid vlan 150
[huawei-GigabitEthernet0/0/1] quit

`Настройка портов коммутаторов huawei в режиме hybrid port`

В режиме конфигурирования интерфейса задем тип — hybrid.

[huawei-GigabitEthernet0/0/1] port link-type hybrid

Добавляем номера тегированных vlan.

[huawei-GigabitEthernet0/0/1] port hybrid tagged vlan {vlan-id1 vlan-id2 ... vlan-idn}

Добавляем номера нетегированных vlan.

[huawei-GigabitEthernet0/0/1] port hybrid untagged vlan {vlan-id1 vlan-id2 ... vlan-idn}

Добавляем pvid для нетегированной vlan, по умолчанию используется pvid = 1

[huawei-GigabitEthernet0/0/1] port hybrid pvid vlan {vlan-id}

Пример:

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type hubrid
[huawei-GigabitEthernet0/0/1] port hybrid tagged vlan 150 200 to 210
[huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20
[huawei-GigabitEthernet0/0/1] port hybrid pvid vlan 10 
[huawei-GigabitEthernet0/0/1] quit

P.S. По умолчанию на коммутаторах huawei S2300 и S5300 тип работы интерфейса стоит hybrid.

`Просмотр настроек портов и vlan на коммутаторах huawei`

`Просмотр всех созданных vlan`

[huawei] display vlan

`Просмотр детальной информации по конкретной vlan на коммутаторах huawei`

[huawei] display vlan vlan-id

Пример:

[huawei] display vlan 100

`Просмотр состояния интерфейса на коммутаторах huawei`

[huawei] display interface {type-interface-number}

Пример:

display interface GigabitEthernet0/0/1

`Просмотр настроек интерфейса на коммутаторах huawei`

[huawei] display current-configuration interface {type-interface-number}

Пример:

[huawei] display current-configuration interface GigabitEthernet 0/0/1/
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 150
#
return

Также настройки интерфейса можно посмотреть используя команду display this из режима конфигурирования интерфейса.

Пример:

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] display this
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 150
#
return

На этом все. Всем пока.

`Настроить VLAN на коммутаторе`

 Настроить VLAN на коммутаторе Цель 
 
 Создание виртуальной локальной сети (VLAN) позволяет создавать отдельные широковещательные домены на коммутаторе. В
широковещательные домены могут связываться друг с другом с помощью устройства уровня 3, например маршрутизатора. VLAN
является
в основном используется для формирования групп между хостами, независимо от того, где они физически расположены. Таким образом, VLAN
повышает безопасность за счет формирования групп среди хостов.Когда создается VLAN, это не действует
до тех пор, пока эта VLAN не будет подключена хотя бы к одному порту вручную или динамически. Одна из самых распространенных причин
Настройка VLAN — это настройка отдельной VLAN для голоса и отдельной VLAN для данных. Это направляет пакеты для
оба типа данных, несмотря на использование одной и той же сети.
 Цель этой статьи — показать, как создавать, редактировать или удалять VLAN.
 Применимые устройства | Версия прошивки 
 Настройки VLAN 
 Создание VLAN 
 Шаг 1.Войдите в веб-утилиту и выберите  Управление VLAN> Настройки VLAN .
 Шаг 2. В области VLAN Table нажмите Add, чтобы создать новую VLAN. Появится окно.
 Шаг 3. VLAN можно добавить двумя разными способами, как показано нижеприведенными параметрами. Выберите переключатель, который
соответствует желаемому методу:
 VLAN — используйте этот метод для создания определенной VLAN.
 Range — используйте этот метод для создания диапазона VLAN.
 Шаг 4. Если вы выбрали VLAN на шаге 3, введите идентификатор VLAN в поле VLAN ID. Диапазон должен быть от 2 до
4094. В этом примере идентификатор VLAN будет 4.
 Шаг 5. В поле  VLAN Name  введите имя для VLAN. В этом примере имя VLAN будет
Бухгалтерский учет. Можно использовать до 32 символов.
 Шаг 6. Установите флажок  VLAN Interface State , чтобы включить состояние интерфейса VLAN; уже
проверил
по умолчанию.В противном случае сеть VLAN будет отключена, и ничто не сможет быть передано или получено.
через VLAN.
 Шаг 7. Установите флажок Link Status SNMP Traps, если вы хотите разрешить создание ловушек SNMP. Этот
является
включен по умолчанию.
 Шаг 8. Если вы выбрали Range на шаге 3, введите диапазон VLAN в
поле Диапазон VLAN. Доступный диапазон: 2–4094. В этом примере диапазон VLAN составляет от 3 до
52.
  Примечание.  Одновременно можно создать до 100 VLAN.
 Шаг 9. Щелкните  Применить .
 Редактировать VLAN 
 Шаг 1. Войдите в веб-утилиту и выберите  Управление VLAN> Настройки VLAN .  VLAN
Откроется страница настроек .
 Шаг 2. Установите флажок рядом с VLAN, которую нужно изменить.
 Шаг 3. Щелкните  Edit , чтобы отредактировать выбранную VLAN.Откроется окно  Edit VLAN .
 Шаг 4. Текущую VLAN можно изменить с помощью раскрывающегося списка  VLAN ID . Это используется для быстрого переключения
между сетями VLAN, которые вы хотите настроить, не возвращаясь на страницу настроек VLAN.
 Шаг 5. Измените имя VLAN в поле  VLAN Name . Это имя не влияет на производительность
в
VLAN и используется для упрощения идентификации.
 Шаг 6.Установите флажок VLAN Interface State, чтобы включить состояние интерфейса VLAN; это уже проверено
дефолт. В противном случае сеть VLAN будет отключена, и ничто не сможет быть передано или получено.
через VLAN.
 Шаг 7. Установите флажок Enable Link Status SNMP Traps, чтобы включить генерацию SNMP-ловушек со ссылкой.
информация о статусе. Этот флажок установлен по умолчанию.
 Шаг 8. Щелкните  Применить .
 Удалить VLAN 
 Шаг 1. Войдите в веб-утилиту и выберите  Управление VLAN> Настройки VLAN .
 Шаг 2. Установите флажок рядом с VLAN, которую вы хотите удалить.
 Шаг 3. Нажмите  Удалить , чтобы удалить выбранную VLAN.
 Вы успешно удалили VLAN.
 
 Просмотрите видео, относящееся к этой статье… 
  Назначьте интерфейсную VLAN в качестве порта доступа или магистрального порта на коммутаторе </span></h2> ang = &#171;eng&#187;><h3><span class="ez-toc-section" id="i-4"> Цели </span></h3><p> Виртуальная локальная сеть (VLAN) &#8212; это группа портов, которая позволяет устройствам обмениваться данными друг с другом через MAC-уровень Ethernet, независимо от физической локальной сети (LAN). Порт является членом VLAN, если он может отправлять и получать данные из VLAN. Порт является нетегированным членом VLAN, если все пакеты, предназначенные для этого порта в VLAN, не имеют тега VLAN.Порт является тегированным членом VLAN, если все пакеты, предназначенные для этого порта в VLAN, имеют тег VLAN. VLAN обычно используются для изоляции конечных точек как рабочей группы. Базовым примером является настройка другой VLAN для голоса и отдельной VLAN для данных. Это гарантирует, что пакеты для обоих типов данных изолированы друг от друга, что позволяет максимально эффективно использовать коммутатор.</p><p> Вы можете назначить интерфейсную VLAN в определенный режим, такой как порт доступа или магистральный порт.</p><ul><li> Порт доступа &#8212; порт, который передает трафик только в определенную VLAN, назначенную ему, и из нее.</li><li> Магистральный порт &#8212; порт, который может передавать трафик для любой или всех сетей VLAN, доступных определенному коммутатору.</li></ul><p> Цель этой статьи &#8212; показать вам, как настроить интерфейсную VLAN на вашем коммутаторе в качестве порта доступа или магистрального порта.</p><h4><span class="ez-toc-section" id="i-5"> Применимые устройства | Версия прошивки </span></h4><h3><span class="ez-toc-section" id="i-6"> Настройки интерфейса </span></h3><p> Шаг 1. Войдите в веб-утилиту и выберите <b> VLAN Management> Interface Settings </b>.</p><p></p><p> Шаг 2.В таблице параметров интерфейса выберите интерфейс в раскрывающемся списке Тип интерфейса равно и нажмите <b> Перейти </b>. Возможные варианты:</p><ul><li> Порт &#8212; выберите порт, если нужно настроить только один порт.</li><li> Link Aggregation (LAG) &#8212; Выберите LAG, если вы собираетесь настроить группу портов, определенных в конфигурации LAG.</li></ul><p> <b> Примечание </b>: В приведенном ниже примере выбрана LAG.</p><p></p><p> Шаг 3. Щелкните переключатель для порта или группы LAG, которую вы хотите изменить, и щелкните <b> Изменить </b>.</p><p></p><p> Затем появится всплывающее окно, показывающее тип интерфейса, выбранный на предыдущей странице.</p><p></p><p> Шаг 4. Выберите переключатель, соответствующий желаемому режиму VLAN для интерфейса.</p><ul><li> Доступ &#8212; Интерфейс является неотмеченным членом одной VLAN.</li><li> Магистраль &#8212; Интерфейс является неотмеченным членом не более одной VLAN и тегированным членом одной или нескольких VLAN.</li></ul><p></p><p> <b> Примечание: </b> Для этого примера был выбран Транк.</p><p> Шаг 5. Щелкните <b> Применить </b>.</p><p></p><p> Шаг 6. После этого на странице появится отметка о том, что настройки выполнены успешно. Щелкните <b> Закрыть </b>.</p><p></p><p> Теперь вы вернетесь обратно в таблицу настроек интерфейса.</p><p> Шаг 7. Проверьте режим интерфейса, который вы настроили, чтобы проверить последние настройки.</p><p></p><p> Шаг 8. Чтобы навсегда сохранить текущую конфигурацию, щелкните значок.</p><p> Теперь вы успешно назначили интерфейсную VLAN на коммутаторе.</p><h2><span class="ez-toc-section" id="_GeeksforGeeks"> Порты доступа и магистрали &#8212; GeeksforGeeks </span></h2><p> Порты коммутатора &#8212; это интерфейсы уровня 2, которые используются для передачи трафика уровня 2. Одиночный порт коммутатора может передавать одиночный трафик VLAN, независимо от того, является ли он портом доступа или магистральным портом. Фреймы обрабатываются по-разному в зависимости от типа ссылки, по которой они пересекаются.</p><p> <strong> Примечание: </strong> Всем портам коммутатора по умолчанию назначена VLAN 1 (VLAN 1 нельзя изменить или удалить).</p><p> В коммутируемой среде есть 2 разных типа портов:</p><p> <b> Порты доступа &#8212; </b> <br/> Этот коммутатор предназначен для передачи трафика только одного vlan. По умолчанию он будет передавать трафик собственного vlan (VLAN 1). Если порты коммутатора назначены как порты доступа, это можно рассматривать как порты коммутатора, принадлежащие одному широковещательному домену. Любой трафик, поступающий на эти порты коммутатора, считается принадлежащим VLAN, назначенной этому порту. <br/> <strong> Пример: </strong></p><p></p> <br/><p> Вот простая топология, в которой подключены 2 коммутатора, и на обоих коммутаторах настроена только VLAN по умолчанию (VLAN 1) i.Все порты коммутаторов обоих коммутаторов принадлежат одному широковещательному домену.</p><p> Теперь обратите внимание, что канал между коммутаторами должен быть настроен как порт доступа, потому что необходимо обмениваться данными только одной VLAN (VLAN 1). Теперь, после назначения IP-адреса ПК1-192.168.1.1 / 24, ПК2-192.168.1.2 / 24, ПК3-192.168.1.3 / 24, ПК3-192.168.1.4 / 24, пользователь должен настроить соединение между двумя коммутаторами в качестве порта доступа.</p><pre> Switch2 (config) #interface fa0 / 0
Switch2 (config-if) #switchport mode access </pre><p> Здесь нет необходимости назначать портам VLAN, поскольку все порты коммутатора на обоих коммутаторах по умолчанию настроены как VLAN 1.</p><p> <b> Магистральные порты &#8212; </b> <br/> Эти порты коммутатора принадлежат и переносят трафик более чем одной VLAN. Это большое преимущество, так как для передачи трафика группы VLAN можно использовать один порт коммутатора. Они очень полезны, если пользователь хочет обмениваться трафиком между более чем одним коммутатором, имеющим более одного настроенного vlan. Чтобы определить, какой трафик принадлежит к какому vlan, используется метод идентификации VLAN (802.1q или ISL). Кроме того, для передачи трафика между более чем одним vlan требуется маршрутизация между vlan, при которой канал между маршрутизатором и коммутатором настроен как магистральный, поскольку канал должен передавать трафик более чем одной VLAN (в случае маршрутизатора на конфигурация флешки не в маршрутизации между vlan коммутаторами уровня 3).</p><p> <strong> Примечание. </strong> Магистральные каналы могут передавать по ним трафик различных VLAN, но по умолчанию, если каналы между коммутаторами не являются магистральными, будет осуществляться обмен только информацией из настроенной VLAN доступа.</p><p> <strong> Пример: </strong></p><p></p><p> Вот простая топология, в которой подключены 2 коммутатора, а сети VLAN 2 и 3 настроены на обоих коммутаторах, как показано.</p> <br/><p> <strong> Примечание &#8212; </strong> <br/> Поскольку пользователь не назначил какие-либо сети VLAN другим портам коммутаторов, другие порты по умолчанию будут находиться в сети VLAN 1.<br/> Теперь обратите внимание, что канал между коммутаторами должен быть настроен как магистральный порт, потому что здесь между коммутаторами необходимо обмениваться более чем одним кадром VLAN (VLAN 1, 2, 3). Теперь назначаем IP-адрес ПК1-12.168.1.1 / 24, ПК2-192.168.2.1 / 24, ПК3-192.168.1.2 / 24, ПК3-192.168.2.2 / 24.</p><p> Теперь первый пользователь должен создать VLAN на обоих коммутаторах.</p><pre> Switch2 (конфигурация) #vlan 2
Switch2 (конфигурация) #vlan 3

Switch3 (конфигурация) #vlan 2
Switch3 (config) #vlan 3 </pre><p> Теперь, поскольку у пользователя настроено более одного vlan на обоих коммутаторах.Следовательно, пользователь должен назначить сети VLAN на соответствующие порты на Switch2.</p><pre> Switch2 (config) #interface fa0 / 1
Switch2 (config-if) # доступ к коммутатору vlan 2
Switch2 (config) # интерфейс fa0 / 2
Switch2 (config-if) #switchport access vlan 3 </pre><p> Теперь настройте VLAN на соответствующих портах на Switch3.</p><pre> Switch3 (config-if) # интерфейс fa0 / 1
Switch3 (config-if) # доступ к коммутатору vlan 2
Switch3 (config) # интерфейс fa0 / 2
Switch3 (config-if) #switchport access vlan 3 </pre><p> Теперь настройте канал между двумя коммутаторами как магистральный порт.</p><pre> Switch2 # интерфейс fa0 / 0
Switch2 # инкапсуляция соединительной линии порта коммутатора dot1q
Switch2 # switchport mode trunk </pre><p> В результате теперь пользователь может передавать более одного трафика VLAN от одного коммутатора к другому коммутатору (здесь отображается только конфигурация портов коммутатора, а не конфигурация маршрутизатора. Для выполнения inter vlan маршрутизация, также необходима настройка роутера).</p><p> Вниманию читателя! Не прекращайте учиться сейчас. Ознакомьтесь со всеми важными концепциями теории CS для собеседований SDE с курсом <strong> CS Theory Course </strong> по доступной для студентов цене и будьте готовы к отрасли.</p><p></p><h2><span class="ez-toc-section" id="_Cisco_net"> Настройка виртуальных локальных сетей на коммутаторах Cisco &#8212; практическая работа в сети .net </span></h2><p> Мы уже писали о виртуальных локальных сетях и их возможностях в качестве концепции. В этой статье основное внимание будет уделено настройке <em> сетей VLAN </em> на коммутаторах Cisco.</p><p> Мы рассмотрим каждую команду, необходимую для настройки топологии ниже. Если эта топология кажется вам знакомой, это потому, что вы видели ее в статье, в которой описывается, как VLAN работают на концептуальном уровне.</p><p></p><p> Сначала мы рассмотрим, что входит в настройку портов доступа в топологии выше, а затем посмотрим, что входит в настройку портов магистрали.Затем мы рассмотрим некоторую проверку, и <code> покажет команды </code> для проверки того, что настроено. Наконец, мы рассмотрим конфигурацию по умолчанию для порта коммутатора, чтобы мы знали нашу отправную точку, когда применяем обсуждаемые команды.</p><h5><span class="ez-toc-section" id="_VLAN_Cisco"> Содержание: Настройка VLAN на коммутаторах Cisco </span></h5><h4><span class="ez-toc-section" id="i-7"> Порты доступа </span></h4><p> Порт доступа &#8212; это порт коммутатора, который является членом только одной VLAN. Настройка порта доступа состоит из двух частей: создание VLAN в базе данных VLAN коммутатора и назначение порта коммутатора VLAN.</p><h5><span class="ez-toc-section" id="_VLAN_VLAN"> Создание VLAN в базе данных VLAN </span></h5><p> Прежде чем коммутатор будет принимать или пересылать трафик для VLAN, эта VLAN должна существовать в базе данных VLAN коммутатора. Для добавления VLAN в базу данных VLAN требуется всего одна команда:</p><p> С этого момента вы также можете указать имя VLAN. Хотя это не является явной необходимостью для прохождения трафика, рекомендуется указать имя для каждой VLAN. Это упростит идентификацию VLAN.</p><p> Чтобы назвать VLAN, просто используйте имя <code> </code>; команда сразу после ее создания.</p><pre> SwitchX (config-vlan) # <strong> имя КРАСНЫЙ </strong>
 </pre><p> Для VLAN 20 мы создадим и назовем VLAN на SwitchX:</p><pre> SwitchX (конфигурация) # <strong> vlan 20 </strong>
SwitchX (config-vlan) # <strong> имя ОРАНЖЕВЫЙ </strong>
 </pre><br/><p> Обратите внимание, что VLAN нужно добавить в базу данных только один раз. Если VLAN уже существует в базе данных VLAN, нет необходимости создавать ее заново &#8212; вы можете сразу перейти к следующему шагу. Позже в этой статье мы рассмотрим некоторые команды <code> show </code>, используемые для определения того, была ли уже создана VLAN.</p><h5><span class="ez-toc-section" id="_VLAN-9"> Назначение порта коммутатора VLAN </span></h5><p> Теперь, когда VLAN находится в базе данных VLAN, мы можем настроить порт коммутатора как порт доступа для конкретной VLAN. В режиме настройки интерфейса для этого шага есть две команды:</p><pre> SwitchX (config) # interface Ethernet 0/0
SwitchX (config-if) # <strong> доступ в режим switchport </strong>
SwitchX (config-if) # <strong> доступ к порту коммутатора vlan 10 </strong>
 </pre><p> Команда <code> switchport mode access </code> устанавливает порт как порт доступа, а команда <code> switchport access vlan <em> <#> </em> </code> назначает порт как член VLAN 10.</p><p> Некоторые версии коммутаторов Cisco автоматически создают VLAN в базе данных VLAN, когда вы назначаете порт доступа для VLAN:</p><pre> SwitchX (config) # interface Ethernet 0/1
SwitchX (config-if) # <strong> доступ в режим switchport </strong>
SwitchX (config-if) # <strong> доступ к порту коммутатора vlan 30 </strong>
 <strong>% Доступ VLAN не существует. Создание vlan 30 </strong>
 </pre><p> Однако не рекомендуется полагаться на это. Некоторые переключатели это сделают, некоторые &#8212; нет. Некоторые коммутаторы не создают VLAN, а также не сообщают об ошибках, в результате чего вы не понимаете, почему трафик может не течь.Более того, это создает VLAN с общим именем &#8212; имя для VLAN 30 выше по умолчанию <code> VLAN0030 </code>, что не очень помогает.</p><p> Таким образом, мы всегда рекомендуем создать VLAN и присвоить ей имя, прежде чем назначать ее где-либо. Если вы случайно забыли назвать его первым, вы всегда можете обновить имя VLAN в этой базе данных постфактум:</p><pre> SwitchX (конфигурация) # <strong> vlan 30 </strong>
SwitchX (config-vlan) # <strong> имя СИНИЙ </strong>
 </pre><p> Итак, два шага для настройки порта доступа:</p><ul><li> Создайте и при желании (но в идеале) назовите VLAN</li><li> Установите порт коммутатора как порт доступа и назначьте его членом VLAN</li></ul><p> Оба шага также необходимо будет выполнить для каждой VLAN и порта коммутатора на SwitchY.Сначала мы создадим и назовем каждую VLAN:</p>.<pre> SwitchY (конфигурация) # <strong> vlan 10 </strong>
SwitchY (config-vlan) # <strong> имя RED </strong>
SwitchY (config-vlan) # выход
SwitchY (конфиг) # <strong> vlan 20 </strong>
SwitchY (config-vlan) # <strong> имя ОРАНЖЕВЫЙ </strong>
SwitchY (config-vlan) # выход
SwitchY (конфиг) # <strong> vlan 30 </strong>
SwitchY (config-vlan) # <strong> имя СИНИЙ </strong>
SwitchY (config-vlan) # выход
 </pre><p> Затем мы установим Eth0 / 2 и Eth0 / 3 в качестве портов доступа в VLAN 10 и 30 соответственно:</p><pre> SwitchY (config) # <strong> интерфейс Ethernet 0/2 </strong>
SwitchY (config-if) # <strong> доступ в режим switchport </strong>
SwitchY (config-if) # <strong> доступ к порту коммутатора vlan 10 </strong>
SwitchY (config-if) # выход
SwitchY (config) # <strong> интерфейс Ethernet 0/3 </strong>
SwitchY (config-if) # <strong> доступ в режим switchport </strong>
SwitchY (config-if) # <strong> доступ к порту коммутатора vlan 30 </strong>
SwitchY (config-if) # выход
 </pre><p> Приведенные выше команды создали следующую конфигурацию в рабочей конфигурации <code> </code> для каждого коммутатора:</p><p> SwitchXSwitchY</p> <br/><pre> SwitchX # показать текущую конфигурацию
...
vlan 10
 имя КРАСНЫЙ
!
vlan 20
 имя ОРАНЖЕВЫЙ
!
vlan 30
 имя СИНИЙ
...
интерфейс Ethernet0 / 0
 коммутатор доступа vlan 10
 доступ в режиме Switchport
!
интерфейс Ethernet0 / 1
 коммутатор доступа vlan 30
 доступ в режиме Switchport
...

 </pre><br/><pre> SwitchY # показать текущую конфигурацию
...
vlan 10
 имя КРАСНЫЙ
!
vlan 20
 имя ОРАНЖЕВЫЙ
!
vlan 30
 имя СИНИЙ
...
интерфейс Ethernet0 / 2
 коммутатор доступа vlan 10
 доступ в режиме Switchport
!
интерфейс Ethernet0 / 3
 коммутатор доступа vlan 30
 доступ в режиме Switchport
...

 </pre><p> Обратите внимание: если вы следуете этому руководству по настройке в своей лаборатории, вы можете не увидеть создание и присвоение имен виртуальным локальным сетям в текущей конфигурации.Это связано с тем, что в режиме VTP по умолчанию информация о базе данных VLAN отображается в другом файле (<code> vlan.dat </code>). Чтобы заставить конфигурацию отображаться в вашей рабочей конфигурации <code> </code>, используйте команду <code> <strong> vtp mode transparent </strong> </code>. Кроме того, работа VTP выходит за рамки данной статьи.</p><h4><span class="ez-toc-section" id="i-8"> Магистральные порты </span></h4><p> Как обсуждалось ранее, магистральный порт &#8212; это порт коммутатора, по которому передается более одной VLAN.</p><p> Трафик, проходящий через магистральный порт, по-прежнему имеет форму <code> 1 </code> с и <code> 0 </code> с.Чтобы указать, какие <code> 1 </code> s и <code> 0 </code> s принадлежат к каким VLAN, тег VLAN добавляется ко всему трафику, выходящему из магистрального порта. Стандарт 802.1q определяет повсеместный формат тега VLAN.</p><p> Создание магистрального порта включает только одну команду:</p><pre> SwitchY (config) # interface Ethernet1 / 1
SwitchY (config-if) # <strong> соединительная линия режима switchport
 </strong> </pre><p> Точно так же, как <code> switchport mode <em> access </em> </code> устанавливает порт как порт доступа, <code> <strong> switchport mode <em> trunk </em> </strong> </code> установит порт как магистральный порт.</p><p> Некоторые коммутаторы поддерживают более одного метода добавления тега VLAN. А именно, некоторые коммутаторы поддерживают устаревший метод ISL тегирования VLAN. Прежде чем эти переключатели позволят вам установить порт в качестве порта магистрали, они заставят вас установить метод тегирования, также называемый методом инкапсуляции:</p><pre> SwitchX (config) # interface Ethernet1 / 1
SwitchX (config-if) # <strong> switchport mode trunk </strong>
 <strong> Команда отклонена </strong>: Интерфейс с инкапсуляцией магистрали "Авто" не может быть настроен в режим "магистрали".</pre><p> Для этих коммутаторов вы просто используете <code> <strong> switchport trunk encapsulation dot1q </strong> </code> команду <em> перед установкой </em> порта коммутатора как магистрального порта:</p><pre> SwitchX (config) # interface Ethernet1 / 1
SwitchX (config-if) # <strong> инкапсуляция соединительной линии порта коммутатора dot1q </strong>
SwitchX (config-if) # <strong> соединительная линия режима switchport
 </strong> </pre><p> Мы также настроим Eth3 / 1 и Eth3 / 2 на SwitchX в качестве магистральных портов:</p><pre> SwitchX (config) # <strong> интерфейс Ethernet 2/1 </strong>
SwitchX (config-if) # <strong> инкапсуляция соединительной линии порта коммутатора dot1q </strong>
SwitchX (config-if) # <strong> switchport mode trunk </strong>
SwitchX (config-if) # выход
SwitchX (config) # <strong> интерфейс Ethernet 2/2 </strong>
SwitchX (config-if) # <strong> инкапсуляция соединительной линии порта коммутатора dot1q </strong>
SwitchX (config-if) # <strong> switchport mode trunk </strong>
SwitchX (config-if) # выход
 </pre><p> Это все, что вам нужно для создания магистрального порта.С приведенной выше конфигурацией коммутатор будет перенаправлять трафик из <em> всех сетей VLAN в базе данных </em> VLAN на настроенный магистральный порт.</p><p> При этом есть некоторые дополнительные полезные настройки, которые вы можете применить к магистральному порту, чтобы изменить поведение по умолчанию. Мы обсудим два из них в следующих разделах.</p><h5><span class="ez-toc-section" id="_VLAN-10"> Собственная VLAN </span></h5><p> Собственная VLAN &#8212; это одна VLAN на магистральном порте, которой разрешено оставаться нетегированной. По умолчанию это VLAN 1, но это может быть изменено администратором.</p><p> Чтобы установить собственный VLAN, используйте эту команду:</p><pre> Коммутатор <strong> X </strong> (конфигурация) # интерфейс Ethernet 1/1
Switch <strong> X </strong> (config-if) # <strong> switchport trunk native vlan 2
 </strong> </pre><p> После установки этой команды каждый раз, когда SwitchX отправляет трафик в VLAN 2 через магистральный порт Eth2 / 1, он будет делать это без добавления тега VLAN. Более того, каждый раз, когда SwitchX получает нетегированный трафик на магистральный порт Eth2 / 1, SwitchX назначит этот трафик для VLAN 2.</p><p> Важный момент, о котором следует помнить: оба коммутатора на обоих концах одной магистрали должны иметь одну и ту же Native VLAN.В противном случае вы легко рискуете, что хост в одной VLAN сможет взаимодействовать с хостом в другой VLAN.</p><p> Следовательно, мы установим такую же Native VLAN на SwitchY:</p><pre> Switch <strong> Y </strong> (config) # interface Ethernet 1/1
Switch <strong> Y </strong> (config-if) # <strong> switchport trunk native vlan 2
 </strong> </pre><p> Мы также установим другую VLAN в качестве собственной VLAN для портов Eth3 / 1 и Eth3 / 2, обращенных к Router1 и Router2 соответственно. Это сделано для того, чтобы показать, что конфигурация собственной VLAN является конфигурацией </em> интерфейса <em>, а не конфигурацией <em> устройства <em>.Но имейте в виду, что в большинстве развертываний собственная VLAN обычно согласована на всех портах.</p><pre> SwitchX (config) # <strong> интерфейс Ethernet 2/1 </strong>
SwitchX (config-if) # <strong> switchport trunk native vlan 3 </strong>
SwitchX (config-if) # выход
SwitchX (config) # <strong> интерфейс Ethernet 2/2 </strong>
SwitchX (config-if) # <strong> switchport trunk native vlan 3 </strong>
SwitchX (config-if) # выход
 </pre><br/><h5><span class="ez-toc-section" id="_VLAN-11"> Список разрешенных VLAN </span></h5><p> По умолчанию, когда интерфейс установлен как магистральный порт, трафик от <em> до </em> VLAN в базе данных VLAN пересылается на этот порт коммутатора.</p><p> Однако бывают случаи, когда целесообразно ограничить трафик VLAN, проходящий через конкретную магистраль. Это можно сделать, применив так называемый список разрешенных VLAN <strong> </strong>. <strong> Список разрешенных VLAN позволяет администратору вручную выбирать, какие сети VLAN проходят через магистральный порт </strong>.</p><p> Взгляните на иллюстрацию. Обратите внимание, что магистральный порт к Router1 обрабатывает трафик только для VLAN 10 и 20, но если для магистрального порта оставить поведение по умолчанию, SwitchX будет перенаправлять трафик на Router1 из VLAN 10, 20, <em> и </em> 30.Трафик VLAN 30 будет просто отброшен маршрутизатором Router1, но он без нужды добавляет перегрузку в канал.</p><p> Чтобы решить эту проблему, мы добавим список разрешенных VLAN в Eth3 / 1 на SwitchX, чтобы ограничить, какие VLAN проходят через магистральный порт:</p><pre> SwitchX (config) # interface Ethernet 2/1
SwitchX (config-if) # <strong> транк switchport разрешен vlan 10,20 </strong>
 </pre><p> Это ограничит VLAN, которые проходят через магистральный порт до Router1, только теми VLAN, которые действительно должны быть на этом канале.</p><p> Магистральный порт маршрутизатора 2 также может быть ограничен для передачи трафика только для VLAN 20 и 30. Ниже приведен еще один способ применения списка разрешенных VLAN, который показывает, как добавить VLAN в список после его первоначального создания:</p><pre> SwitchX (config) # interface Ethernet 2/2
SwitchX (config-if) # <strong> транк switchport разрешен vlan 20 </strong>
SwitchX (config-if) # <strong> транк switchport разрешен vlan <em> добавить </em> 30 </strong>
 </pre><p> Обратите внимание на важное ключевое слово <strong> <code> add </code> </strong> во второй команде выше.Это указывает коммутатору на <em> добавить трафик </em> VLAN 30 к тем VLAN, которые уже разрешены на канале.</p><p> Если ключевое слово <strong> <code> добавить </code> </strong> было опущено, коммутатор заменит текущий список разрешенных VLAN (который разрешал только VLAN 20) новым (который разрешал только VLAN 30). Если бы Router1 был шлюзом для трафика в VLAN 20, весь этот трафик теперь был бы отброшен, создавая явно плохой опыт для пользователей в этой VLAN.</p><p> Таким образом, очень важно либо применить полный список VLAN в одной команде (как в первом примере), либо использовать команду <strong> <code> add </code> </strong> к <em> добавить </em> VLAN к текущему разрешенному списку VLAN.</p><p> У вас также есть возможность использовать ключевое слово <strong> <code> remove </code> </strong>, чтобы <em> удалить </em> отдельную сеть VLAN из списка разрешенных VLAN.</p><p> Фактически, ключевое слово <strong> <code> remove </code> </strong> предоставляет еще один способ применения списка разрешенных VLAN к магистральному порту. Взгляните на ссылку между SwitchX и SwitchY. Обратите внимание, что VLAN 20 не обязательно должна проходить по этой ссылке.</p><p> Вместо того, чтобы просто добавлять список разрешенных VLAN с VLAN 10 и 30, вы также можете просто <em> удалить </em> VLAN 20 из конфигурации по умолчанию.Мы покажем вам, как это работает с магистральным портом между коммутаторами (Eth2 / 1):</p><pre> SwitchX (config) # interface Ethernet1 / 1
SwitchX (config-if) # <strong> транк switchport разрешен vlan <em> удалить </em> 20 </strong>
 </pre><p> Это автоматически применяет список разрешенных VLAN для каждой VLAN, кроме VLAN. 20:</p><pre> SwitchX # <strong> показать интерфейс рабочей конфигурации Ethernet 1/1 </strong>
интерфейс Ethernet1 / 1
 инкапсуляция магистрали коммутатора dot1q
 коммутатор магистраль родной vlan 2
  <strong> switchport транк разрешен vlan 1-19,21-4094 </strong>
 соединительная линия в режиме коммутационного порта
конец
 </pre><p> Поскольку поведение магистрального порта по умолчанию заключалось в разрешении <em> всех </em> VLAN, удаление VLAN 20 привело к тому, что коммутатор применил список разрешенных VLAN, который включал все VLAN (1-4094), кроме VLAN 20.</p><p> Тем не менее, обычно это не тот способ, которым вы применяете новый список разрешенных VLAN к интерфейсу &#8212; ключевое слово <code> remove </code> чаще используется для <em> удаления </em> отдельных VLAN из уже добавленного списка разрешенных VLAN. Мы удалим список разрешенных VLAN на Eth2 / 1 и оставим этот порт настроенным как магистральный порт по умолчанию, что позволит трафику для всех VLAN проходить через магистраль:</p><pre> SwitchX (config) # interface Ethernet1 / 1
SwitchX (config-if) # <strong> магистраль порта коммутатора не разрешена vlan </strong>
 </pre><p> Приведенные выше команды создали следующую конфигурацию в рабочей конфигурации <code> </code> для каждого коммутатора:</p><p> SwitchXSwitchY</p> <br/><pre> SwitchX # показать текущую конфигурацию
...
интерфейс Ethernet1 / 1
 инкапсуляция магистрали коммутатора dot1q
 коммутатор магистраль родной vlan 2
 соединительная линия в режиме коммутационного порта
!
интерфейс Ethernet2 / 1
 инкапсуляция магистрали коммутатора dot1q
 коммутатор магистраль родной vlan 3
 транк коммутатора разрешен vlan 10,20
 соединительная линия в режиме коммутационного порта
!
интерфейс Ethernet2 / 2
 инкапсуляция магистрали коммутатора dot1q
 коммутатор магистраль родной vlan 3
 транк коммутатора разрешен vlan 20,30
 соединительная линия в режиме коммутационного порта
!
...
 </pre><br/><pre> SwitchY # показать текущую конфигурацию
...
интерфейс Ethernet1 / 1
 инкапсуляция магистрали коммутатора dot1q
 коммутатор магистраль родной vlan 2
 соединительная линия в режиме коммутационного порта
!
...
 </pre><h4><span class="ez-toc-section" id="i-9"> Показать команды </span></h4><p> Приведенные выше команды объясняют шаги по настройке VLAN на коммутаторах Cisco. Выходные данные в конце каждого раздела отображают способ отображения конфигураций в рабочей конфигурации <code> </code>. Однако рабочая конфигурация <code> </code> покажет только то, как устройство <em> сконфигурировано </em> &#8212; она не покажет, как устройство <em> работает </em>.</p><p> Это важное различие &#8212; талантливый сетевой инженер должен не только знать, как настраивать сети VLAN, но и проверять их работу.С этой целью мы обсудим пять команд <code> <strong> show </strong> </code>, которые можно использовать для проверки работы устройства &#8212; как оно на самом деле обрабатывает трафик.</p><h5><span class="ez-toc-section" id="_vlan-2"> показать трусы vlan </span></h5><p> Команда <code> <strong> show vlan Short </strong> </code> предоставляет две основные части информации:</p><ul><li> Сети VLAN, которые существуют в базе данных VLAN коммутатора</li><li> Порты доступа, настроенные в каждой VLAN</li></ul><p> Вот что выводят оба наших переключателя:</p><p> SwitchXSwitchY</p> <br/><pre> SwitchX # <strong> показать брифы vlan </strong>

Имя VLAN Статус Порты
---- -------------------------------- --------- ----- --------------------------
1 активен по умолчанию Et0 / 2, Et0 / 3, Et1 / 0, Et1 / 2
                                                Et1 / 3, Et2 / 0, Et2 / 3, Et3 / 0
                                                Et3 / 1, Et3 / 2, Et3 / 3
10 КРАСНЫЙ активен Et0 / 0
20 ОРАНЖЕВЫХ активных
30 СИНИЙ активный Et0 / 1
 </pre><br/><pre> SwitchY # <strong> показать бриф </strong>

Имя VLAN Статус Порты
---- -------------------------------- --------- ----- --------------------------
1 активен по умолчанию Et0 / 0, Et0 / 1, Et1 / 0, Et1 / 2
                                                Et1 / 3, Et2 / 0, Et2 / 1, Et2 / 2
                                                Et2 / 3, Et3 / 0, Et3 / 1, Et3 / 2
                                                Et3 / 3
10 КРАСНЫЙ активен Et0 / 2
20 ОРАНЖЕВЫХ активных
30 СИНИЙ активный Et0 / 3
 </pre><p> Для обоих коммутаторов команда отображает VLAN 1, 10, 20 и 30.Это единственные сети VLAN, которые были созданы в базе данных VLAN. Если коммутатор получает трафик, помеченный для другой VLAN, этот трафик будет отброшен.</p><p> Для каждой VLAN также указывается имя VLAN. Обратите внимание, что VLAN 10, 20 и 30 называются <code> RED </code>, <code> ORANGE </code> и <code> BLUE </code> соответственно.</p><p> Также обратите внимание, что VLAN 1 существует и называется <em> <code> по умолчанию </code> </em>, несмотря на то, что мы не создали ее явно. Это связано с тем, что VLAN 1 является конфигурацией по умолчанию, с которой начинается каждый порт коммутатора.Коммутатор не позволит вам удалить VLAN 1 или изменить его имя.</p><p> Столбец <code> Status </code> показывает, активна ли VLAN на коммутаторе. VLAN может стать неактивной по двум причинам. Первый явно использует команду <code> <strong> shutdown </strong> </code> в режиме конфигурации VLAN. Второй &#8212; это VLAN, существующая в базе данных, но не имеющая портов доступа или магистральных портов, использующих эту VLAN.</p><p> В крайнем правом углу вывода, в столбце <code> Порты </code>, вы получаете список каждого порта доступа <em> </em> в каждой VLAN.Мы настроили интерфейс Eth0 / 0 SwitchX в VLAN 10, и выходные данные отражают это. Также обратите внимание, что нигде нет порта Eth2 / 1. Это связано с тем, что Eth2 / 1 был настроен как магистральный порт и не будет отображаться в выходных данных команды <strong> <code> show vlan Short </code> </strong>.</p><h5><span class="ez-toc-section" id="i-10"> показать соединительную линию интерфейсов </span></h5><p> Если <code> show vlan Short </code> &#8212; это команда перехода для отображения информации о <em> портах доступа </em> на коммутаторе, то <code> <strong> show interfaces trunk </strong> </code> &#8212; это команда перехода, которая покажет вам информацию о портах <em> trunk </em> на коммутаторе. переключатель.</p><p> Вывод этой команды состоит из четырех частей. Неопытному глазу может показаться, что часть информации дублируется, но это не так.</p><p> SwitchXSwitchY</p> <br/><pre> SwitchX # <strong> показать соединительную линию интерфейсов </strong>

Состояние инкапсуляции режима порта Собственный vlan
Et1 / 1 на магистральном канале 802.1q 2
Et2 / 1 на магистральном канале 802.1q 3
Et2 / 2 на магистральном канале 802.1q 3

Порт Vlan разрешен на магистрали
Et1 / 1 1-4094
Et2 / 1 10,20
Et2 / 2 20,30

Порт Vlan разрешен и активен в домене управления
Et1 / 1 1,10,20,30
Et2 / 1 10,20
Et2 / 2 20,30

Порт Vlan в состоянии пересылки связующего дерева и не обрезан
Et1 / 1 1,10,20,30
Et2 / 1 10,20
Et2 / 2 20,30

 </pre><br/><pre> SwitchY # <strong> показать магистраль интерфейсов </strong>

Состояние инкапсуляции режима порта Собственный vlan
Et1 / 1 на 802.1q транкинг 2

Порт Vlan разрешен на магистрали
Et1 / 1 1-4094

Порт Vlan разрешен и активен в домене управления
Et1 / 1 1,10,20,30

Порт Vlan в состоянии пересылки связующего дерева и не обрезан
Et1 / 1 1,10,20,30

 </pre><p> В первом разделе вывода перечислены все интерфейсы, которые в рабочем состоянии ведут себя как магистральный порт. Это станет более понятным немного позже в статье, когда мы обсудим механизм, который позволяет порту коммутатора автоматически определять, должен ли он быть магистральным портом.В приведенном выше случае мы явно настроили порты Eth2 / 1, Eth3 / 1 и Eth3 / 2 на SwitchX и порт Eth2 / 1 на SwitchY в качестве магистральных портов.</p><p> В первом разделе также указывается, какой метод инкапсуляции используется (т. Е. Какой метод тегирования VLAN), а также VLAN, настроенная как собственная VLAN для каждой магистрали.</p><p> Второй раздел, обозначенный как <code> <strong> Vlan, разрешенных на магистрали </strong> </code>, отражает то, какие сети VLAN прошли через любые настроенные списки разрешенных VLAN на каждом магистральном порту.На SwitchX мы создали два списка разрешенных VLAN: один разрешает VLAN 10 и 20 на Eth3 / 1, а другой разрешает VLAN 20 и 30 на Eth3 / 2. Интерфейс Eth2 / 1 не имеет ограниченных VLAN, поэтому все возможные VLAN перечислены как разрешенные на магистральном порте &#8212; идентификаторы VLAN могут быть только от 1 до 4094.</p><p> Третий раздел, помеченный как <code> <strong> <strong> Vlan, разрешенных и активных в домене управления </strong> </strong> </code>, представляет собой комбинацию раздела перед ним (<code> Vlan разрешено на магистрали </code>) и виртуальных локальных сетей, которые создаются в базе данных VLAN (т.е., видно в <code> (показать влан бриф </code>). Несмотря на то, что все VLAN разрешены на Eth2 / 1 (как указано 1-4094 во втором разделе), в базе данных VLAN существуют только VLAN 1, 10, 20 и 30.</p><p> Четвертая секция, обозначенная как <code> Vlan в состоянии пересылки связующего дерева и не обрезанная </code>, представляет собой комбинацию двух последних секций <em> и </em> портов, которые протокол связующего дерева считает безопасными для пересылки трафика.</p><p> Протокол связующего дерева (STP) обеспечивает отсутствие петель в домене L2.Если они обнаружены, эти порты отключены. В нашей топологии нет петель, поэтому выходные данные четвертого раздела выглядят идентично выходным данным третьего раздела, потому что STP не отключил какие-либо порты. STP &#8212; интересный протокол, но его работа выходит за рамки этой статьи &#8212; он будет предметом следующей статьи.</p><h5><span class="ez-toc-section" id="_switchport"> показать интерфейсы switchport </span></h5><p> Команда <strong> <code> show interfaces switchport </code> </strong> может предоставить вам огромное количество информации.Использование самой команды показывает 26 единиц информации для <em> для каждого интерфейса </em> на вашем коммутаторе (или больше, в зависимости от версии кода, которую вы используете).</p><p> Вместо того, чтобы пытаться просеивать все это, вы можете указать конкретный интерфейс для получения тех же 26 частей информации только для желаемого интерфейса, используя команду <strong> <code> show interfaces <em> <intf> </em> switchport </code> </strong>.</p><p> Для краткости и актуальности вывод ниже был обрезан, чтобы просто показать строки, которые относятся к чему-то, обсуждаемому в этой статье.Ниже в этой статье приведен пример полного вывода этой команды.</p><p> SwitchX Eth0 / 1 Коммутатор Eth3 / 2</p> <br/><pre> SwitchX # <strong> показать интерфейсы Ethernet 0/1 switchport </strong>
Switchport: Включено
Административный режим: статический доступ
Рабочий режим: статический доступ
Административная инкапсуляция транкинга: согласование
Оперативная инкапсуляция транкинга: родная
Согласование транкинга: выключено
Режим доступа VLAN: 30 (СИНИЙ)
Транкинг VLAN в собственном режиме: 1 (по умолчанию)
Магистральные сети VLAN включены: ВСЕ
 </pre><br/><pre> SwitchX # <strong> показать интерфейсы Ethernet 2/2 switchport </strong>
Switchport: Включено
Административный режим: ствол
Режим работы: ствол
Инкапсуляция административного транкинга: dot1q
Оперативная инкапсуляция транкинга: dot1q
Согласование транкинга: Вкл.
Режим доступа VLAN: 1 (по умолчанию)
Магистральная сеть VLAN в собственном режиме: 3 (неактивно)
Включено транкинг VLAN: 20,30 </pre><p> Описание каждой строки в выходных данных выше находится в следующей таблице.</p><table><tbody><tr><td> <code> <strong> Switchport </strong> </code></td><td> Включено, если порт работает как порт L2. Отключено, если порт работает как порт L3.</td></tr><tr><td> <code> <strong> Административный режим </strong> </code> и <code> <strong> Рабочий режим </strong> </code></td><td> Эти два сообщают вам, как настроен порт коммутатора и как он работает. В нашем случае мы настроили порты как порты доступа и порты магистрали, и они отражены выше.Но, как упоминалось ранее, существует протокол под названием DTP, который позволяет портам коммутатора автоматически согласовывать статус магистрального порта. В случае DTP у вас может быть установлен определенный административный режим, и рабочий режим будет отражать, действительно ли порт коммутатора действует как магистральный порт или порт доступа. Это станет более понятным, когда мы рассмотрим особенности DTP ниже.</td></tr><tr><td> <code> <strong> Административная инкапсуляция транкинга </strong> </code> и <code> <strong> Оперативная инкапсуляция транкинга </strong> </code></td><td> DTP не только согласовывает статус магистрали, но также согласовывает метод инкапсуляции.Эти две команды показывают, какой метод инкапсуляции настроен (административный) и какой метод инкапсуляции согласован (рабочий).</td></tr><tr><td> <code> <strong> Согласование транкинга </strong> </code></td><td> Указывает на участие коммутатора в DTP. Опять же, это снова будет иметь больше смысла ниже, когда мы подробно остановимся на DTP.</td></tr><tr><td> <code> <strong> Режим доступа VLAN </strong> </code></td><td> Отображает членство в VLAN, если порт настроен или согласован как порт доступа.Обратите внимание, что даже в нашем магистральном порту (Eth 2/2 SwitchY) есть запись для этого атрибута, но она не действует, пока интерфейс не станет портом доступа.</td></tr><tr><td> <code> <strong> Магистральная собственная VLAN </strong> </code></td><td> Отображает настройку собственной VLAN для порта. Опять же, даже порт доступа будет иметь запись для этого параметра (см. Eth0 / 1 SwitchX), но это будет иметь эффект только в том случае, если интерфейс настроен или согласован как магистральный порт.</td></tr><tr><td> <code> <strong> Транкинговые сети VLAN включены </strong> </code></td><td> Это отражение VLAN, разрешенных в списке разрешенных VLAN.Обратите внимание, что магистральный порт SwitchX был ограничен только VLAN 20 и 30, и это отражено в выходных данных выше.</td></tr></tbody></table><h5><span class="ez-toc-section" id="i-11"> показать статус интерфейсов </span></h5><p> Как правило, команда <strong> <code> show interfaces status </code> </strong> связана с проверкой того, подключены ли устройства к порту коммутатора (<code> подключен, </code> и <code> не подключен, </code> в столбце <code> Status </code>). Однако эта команда также может показать некоторую информацию о конфигурации VLAN порта коммутатора.</p><p> А именно, если вы видите число в столбце VLAN, то коммутатор является портом доступа в предоставленной VLAN. И если вы видите слово <code> trunk </code>, значит, порт коммутатора настроен как порт транка.</p><p> SwitchXSwitchY</p> <br/><pre> SwitchX # <strong> показать статус интерфейсов </strong>

Имя порта Статус Vlan Duplex Speed Type
Et0 / 0 подключен 10 авто авто неизвестно
Et0 / 1 подключен 30 авто авто неизвестно
Et1 / 1 подключенная магистраль авто авто неизвестно
Et2 / 1 подключен магистраль авто авто неизвестно
Et2 / 2 подключен магистраль авто авто неизвестно
 </pre><br/><pre> SwitchY # <strong> показать статус интерфейсов </strong>

Имя порта Статус Vlan Duplex Speed Type
Et0 / 2 подключен 10 авто авто неизвестно
Et0 / 3 подключен 30 авто авто неизвестно
Et1 / 1 подключенная магистраль авто авто неизвестно
 </pre><p> Обратите внимание, что вывод команды <code> <strong> show interfaces status </strong> </code> выше был обрезан, чтобы сосредоточиться только на интерфейсах, которые были настроены в этой статье.</p><h5><span class="ez-toc-section" id="i-12"> показать остовное дерево </span></h5><p> Команда <code> <strong> show spanning-tree </strong> </code>, очевидно, в основном связана с проверкой протокола связующего дерева, но она также может предоставить полезную информацию о конфигурации VLAN.</p><p> Ранее мы говорили о <code> show vlan short </code>, который предоставляет информацию об интерфейсах, настроенных как порты доступа. Мы также говорили о <code> show interfaces trunk </code>, который предоставляет информацию об интерфейсах, настроенных как транковые порты.Команда <code> <strong> show spanning-tree vlan <em> <VLAN-ID #> </em> </strong> </code> предоставляет информацию о <em> как портах доступа </em>, так и портах магистрали.</p><p> В частности, эту команду можно использовать для просмотра каждого порта коммутатора, из которого VLAN выходит.</p><p> SwitchXSwitchY</p> <br/><pre> SwitchX # <strong> показать Spanning-Tree vlan 10 </strong>

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et0 / 0 Desg FWD 100128.1 Shr
Et1 / 1 Desg FWD 100 128,6 Shr
Et2 / 1 Desg FWD 100 128.10 Shr

SwitchX # <strong> показать spanning-tree vlan 20 </strong>

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et1 / 1 Desg FWD 100 128,6 Shr
Et2 / 1 Desg FWD 100 128.10 Shr
Et2 / 2 Desg FWD 100 128.11 Shr

SwitchX # <strong> показать Spanning-Tree vlan 30 </strong>

Роль интерфейса Приоритетная стоимость.Nbr Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et0 / 1 Desg FWD 100 128,2 Shr
Et1 / 1 Desg FWD 100 128,6 Shr
Et2 / 2 Desg FWD 100 128.11 Shr
 </pre><br/><pre> SwitchY # <strong> показать Spanning-Tree vlan 10 </strong>

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et0 / 2 Desg FWD 100 128,3 Shr
Et1 / 1 Корневой FWD 100128.6 шр

SwitchY # <strong> показать Spanning-Tree vlan 20 </strong>

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et1 / 1 Корень FWD 100 128,6 Shr


SwitchY # <strong> показать Spanning-Tree vlan 30 </strong>

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et0 / 3 Desg FWD 100 128,4 Shr
Et1 / 1 Корневой FWD 100128.6 шр
 </pre><p> Мы настроили SwitchX с одним портом доступа в VLAN 10 (Eth0 / 0) и двумя транковыми портами, которые разрешают VLAN 10 (Eth2 / 1 и Eth3 / 1). Глядя на вывод команды <strong> <code> show spanning-tree vlan 10 </code> </strong> на SwitchX, мы можем увидеть все три порта, с которых исходит трафик VLAN 10.</p><p> Вы не сможете легко определить, настроен ли порт как порт доступа или как порт магистрали. Но вы сможете легко определить, на какие другие устройства направляется трафик VLAN, сравнив вывод команды <code> <strong> show spanning-tree </strong> </code> с <strong> <code> show cdp neighbors </code> </strong>:</p><p> SwitchXSwitchY</p> <br/><pre> SwitchX # <strong> показать соседей cdp </strong>
Коды возможностей: R - маршрутизатор, B - мост маршрута источника, S - коммутатор, I - IGMP

ID устройства ID порта платформы Local Intrfce Holdtme Capability
router2 Eth 2/2 172 R B Linux Uni Eth 0/2
router1 Eth 2/1 131 R B Linux Uni Eth 0/1
SwitchY Eth 1/1 169 R S I Linux Uni Eth 1/1
 </pre><br/><pre> SwitchY # <strong> показать соседей cdp </strong>
Коды возможностей: R - Маршрутизатор, B - Мост маршрута источника, S - Коммутатор, I - IGMP

ID устройства ID порта платформы Local Intrfce Holdtme Capability
SwitchX Eth 1/1 143 R S I Linux Uni Eth 1/1
 </pre><p> Мы видим, что VLAN 10 на SwitchX направляется к Router1 и SwitchY, а также к третьему устройству (которое, как мы знаем, является хостом A, который не участвует в CDP).VLAN 20 на SwitchY собирается только SwitchX. Использование этих двух команд в сочетании друг с другом &#8212; отличный способ проследить путь L2 через сеть между двумя устройствами.</p><p> Обратите внимание, что вывод команды <code> <strong> show spanning-tree vlan <#> </strong> </code> выше был обрезан, чтобы сосредоточиться только на функциях, обсуждаемых в этой статье.</p><h4><span class="ez-toc-section" id="i-13"> Настройка порта коммутации по умолчанию </span></h4><p> Наконец, перед настройкой VLAN с помощью команд, обсуждаемых в этой статье, важно знать начальную точку для каждого интерфейса.</p><p> Почти все функции Cisco имеют определенную конфигурацию по умолчанию. Они существуют и используются, чтобы устройство могло работать (возможно, с ограниченными функциями, но тем не менее) без какой-либо конфигурации.</p><p> Знание конфигурации по умолчанию имеет решающее значение для того, чтобы быть эффективным инженером, потому что, если вы знаете, как что-то работает изначально, вы точно знаете, что нужно изменить, чтобы заставить это работать так, как вы хотите. С этой целью мы потратим некоторое время на обсуждение конфигурации порта коммутатора по умолчанию, применяемой к коммутаторам Cisco.</p><p> Во-первых, вот вывод команды <strong> <code> show interfaces switchport </code> </strong> для немодифицированного интерфейса. Из результатов ниже следует обсудить три пункта:</p><pre> SwitchX # <strong> показать интерфейсы eth0 / 2 switchport </strong>
Имя: Et0 / 2
Switchport: Включено
 <strong> Административный режим: динамический автоматический
Рабочий режим: вниз
Административная инкапсуляция транкинга: согласование
Оперативная инкапсуляция транкинга: родная
Согласование транкинга: Вкл.
Режим доступа VLAN: 1 (по умолчанию)
Транкинг VLAN в собственном режиме: 1 (по умолчанию) </strong>
Административная маркировка Native VLAN: включена
Голосовой VLAN: нет
Административная ассоциация хоста private-vlan: нет
Административное сопоставление частных vlan: нет
Административная собственная VLAN магистрали private-vlan: нет
Административная магистраль private-vlan Маркировка собственной VLAN: включена
Административная инкапсуляция магистрали private-vlan: dot1q
Административные частные магистрали vlan нормальные сети VLAN: нет
Административные ассоциации магистральных каналов private-vlan: нет
Назначение административных магистралей private-vlan: нет
Оперативный частный vlan: нет
 <strong> Транкинговые сети VLAN включены: ВСЕ </strong>
Включено сокращение VLAN: 2-1001
Режим захвата отключен
Разрешено захватывать VLAN: ВСЕ

Доверие к устройству: нет
 </pre><br/><h5><span class="ez-toc-section" id="i-14"> Протокол динамического транкинга </span></h5><p> Первые пункты, которые мы обсудим из приведенной выше конфигурации порта коммутатора по умолчанию, связаны с протоколом динамического транкинга или DTP.Взгляните на эти строки из вывода выше:</p><pre> <strong> Административный режим: динамический автоматический
Режим работы: вниз </strong> </pre><p> Как обсуждалось ранее, два режима коррелируют с режимом </em>, сконфигурированным <em> (<code> административный </code>) и согласованным режимом </em> <em> (<code> рабочий </code>). Различие существует благодаря протоколу динамического транкинга (DTP).</p><p> Cisco создала DTP, чтобы продвигать идею коммутаторов «plug and play». Они создали протокол, в котором, если два коммутатора были связаны друг с другом, они могли автоматически определять, должно ли их соединение быть магистральным портом или портом доступа.Он работает на основе четырех режимов, на которые можно установить интерфейс:</p><ul><li> <strong> <code> switchport mode dynamic желательно </code> </strong> &#8212; активная попытка согласования магистрали</li><li> <strong> <code> switchport mode dynamic auto </code> </strong> &#8212; пассивная попытка согласования магистрали</li><li> <strong> <code> switchport mode trunk </code> </strong> &#8212; статически установлен как транк</li><li> <strong> <code> Доступ в режиме коммутационного порта </code> </strong> &#8212; статически установлен как доступ</li></ul><p> Конфигурация обеих сторон канала определяет, будет ли канал согласовываться как магистральный порт или порт доступа.В таблице ниже перечислены все возможные комбинации</p><table><tbody><tr><td> Динамический Желательно</td><td> Желательно динамический</td><td> Ствол</td></tr><tr><td> Динамический Желательно</td><td> Динамический Авто</td><td> Ствол</td></tr><tr><td> Динамический Желательно</td><td> Статический багажник</td><td> Ствол</td></tr><tr><td> Динамический Желательно</td><td> Статический доступ</td><td> Доступ</td></tr><tr><td> Динамический Авто</td><td> Динамический Авто</td><td> Доступ</td></tr><tr><td> Динамический Авто</td><td> Статический багажник</td><td> Ствол</td></tr><tr><td> Динамический Авто</td><td> Статический доступ</td><td> Доступ</td></tr><tr><td> Статический багажник</td><td> Статический багажник</td><td> Ствол</td></tr><tr><td> Статический багажник</td><td> Статический доступ</td><td> Неправильная конфигурация</td></tr><tr><td> Статический доступ</td><td> Статический доступ</td><td> Доступ</td></tr></tbody></table><p> Проблема с DTP заключается в том, что он предоставляет средства для <em> другой стороны </em> ссылки для изменения поведения <em> на вашей стороне </em> ссылки.Когда вы контролируете обе стороны, это может показаться не ужасной особенностью, но если вы когда-либо оказывались в ситуации, когда вы управляете только своим устройством, DTP передает слишком много мощности другой стороне.</p><p> Таким образом, часто рекомендуется избегать автоматического определения DTP статуса магистрали и вместо этого вручную устанавливать порт как магистраль или доступ с помощью команд, которые мы обсуждали ранее в этой статье (<strong> <code> switchport mode trunk </code> </strong> or <code> <strong> switchport mode access </strong> </code>).</p><p> Однако, даже если режим порта коммутатора установлен статически, ваш коммутатор все равно будет отправлять кадры DTP. Вот как <em> другая сторона </em> знает, как <em> ваша сторона </em> настроена. Опять же, если вы владеете обеими сторонами, риск незначителен, но если вы не можете контролировать другую сторону, это нежелательно.</p><p> Вы можете отключить отправку кадров DTP, добавив в конфигурацию интерфейса следующую команду: <strong> <code> switchport nonegotiate </code> </strong>. Это отключит периодическую отправку кадров DTP для объявления режима порта коммутатора локального коммутатора.</p><p> Вы можете увидеть, отключено ли согласование порта коммутатора, в выходных данных приведенной выше команды. Конкретная строка, которая указывает на это, следующая:</p><pre> <strong> Согласование транкинга: на </strong> </pre><p> Подводя итог, поведение DTP по умолчанию для немодифицированного интерфейса:</p><ul><li> Switchport режим динамический автоматический</li><li> согласование DTP включено</li></ul><p> Это означает, что канал автоматически станет магистралью, если другая сторона настроена с <code> <strong> switchport mode dynamic желательно </strong> </code> или если другая сторона настроена с <strong> <code> switchport mode trunk </code> </strong> и <code> <strong> switchport nonegotiate </strong> </code> is <em> не </em> применяется.</p><h5><span class="ez-toc-section" id="i-15"> Настройки порта доступа по умолчанию </span></h5><p> Из выходных данных выше следующая строка соответствует конфигурации порта доступа:</p><pre> <strong> Режим доступа VLAN: 1 (по умолчанию) </strong> </pre><p> Независимо от того, установлен ли порт коммутатора статически (или согласован) как порт доступа или нет, этот атрибут существует и настраивается с помощью команды <code> <strong> switchport access vlan <em> <#> </em> </strong> </code>. Конечно, это не влияет на поведение порта коммутатора, если порт коммутатора не становится портом доступа.</p><p> Потенциальный вариант использования: если вы переключаете порт с магистрального порта на порт доступа, вы можете «предварительно настроить» VLAN порта доступа, чтобы после применения команды доступа в режиме switchport он уже находился в соответствующей VLAN.</p><p> В любом случае, обратите внимание, что конфигурация по умолчанию включает каждый порт коммутатора в VLAN 1.</p><p> Коммутатор &#8212; это устройство, которое упрощает обмен данными внутри сетей. Вы можете взять коммутатор Cisco и просто подключить два хоста, и все будет «просто работать».Это произойдет, потому что все порты начинаются в VLAN 1, поэтому в конфигурации коммутатора по умолчанию не существует разделения L2 между портами коммутатора. Это согласуется с целью Cisco сделать свои коммутаторы «подключи и работай».</p><h5><span class="ez-toc-section" id="i-16"> Параметры магистрального порта по умолчанию </span></h5><p> Наконец, следующие строки в выходных данных выше коррелируют с конфигурацией магистрального порта:</p><pre> <strong> Административная инкапсуляция транкинга: согласование </strong>
 <strong> Оперативная инкапсуляция транкинга: родная </strong>
...
 <strong> Trunking Native Mode VLAN: 1 (по умолчанию) </strong>
...
 <strong> Транкинговые сети VLAN включены: ВСЕ </strong>
 </pre><p> Мы обсуждали DTP ранее, но не упомянули, что DTP также согласовывает метод инкапсуляции.</p><p> <strong> <code> Административная инкапсуляция транкинга </code> </strong> указывает, будет ли DTP определять метод инкапсуляции или он устанавливается статически с помощью команды <strong> <code> switchport trunk encapsulation </code> </strong>.</p><p> <code> <strong> Оперативная инкапсуляция транкинга </strong> </code> указывает выбранный или сконфигурированный метод инкапсуляции.Если порт становится магистральным портом, для этого атрибута есть только два варианта: повсеместный 802.1q и архаичный ISL. На порте доступа в этой строке будет отображаться <code>, собственный </code> (как указано выше), что указывает на то, что теги VLAN не будут добавлены к трафику, покидающему этот порт коммутатора.</p><p> <code> <strong> Trunking Native Mode VLAN </strong> </code> указывает собственную VLAN на порту. Еще раз, эта настройка будет иметь место только в том случае, если порт станет магистральным портом. Этот параметр можно изменить с помощью команды <strong> <code> switchport trunk native vlan <em> <#> </em> </code> </strong>.</p><p> <code> <strong> Trunking VLANs Enabled </strong> </code> отражает список разрешенных VLAN, примененный к порту. <code> ВСЕ </code> указывает, что ни одна из сетей VLAN не была ограничена из магистрали, и поэтому каждая VLAN в базе данных VLAN будет проходить по магистрали. Как и в случае с другими конфигурациями магистрали, это не действует, если порт находится в режиме доступа.</p><h4><span class="ez-toc-section" id="_VLAN-12"> Настройка сетей VLAN &#8212; сводка </span></h4><p> Эта статья следует за статьей, в которой обсуждаются концепции VLAN. Основное внимание в этой статье было уделено пониманию различных команд конфигурации и проверки, которые существуют для изменения или проверки поведения коммутатора в отношении своих VLAN.</p><p> Как и во всех письменных руководствах, практика является ключевым моментом. Мы рекомендуем вам создать топологию, указанную выше, в лаборатории или эмуляторе (GNS3 / Packet-Tracer) и попрактиковаться в настройке VLAN с помощью команд, описанных выше.</p><p> Если вам нужна дополнительная задача, постройте топологию VLAN Challenge из другой статьи. Обратите внимание, что вам нужно будет отключить CDP и DTP на большинстве ваших интерфейсов, чтобы избежать предупреждений.</p><p> Если вы можете успешно построить эту топологию (а также ответить на два сложных вопроса в предыдущей статье), то можете быть уверены, что освоили концепцию настройки VLAN на коммутаторах Cisco.</p><h3><span class="ez-toc-section" id="_VLAN_Cisco-2"> Настройка VLAN на коммутаторах Cisco &#8212; Содержание: </span></h3> В этой статье объясняются знания, необходимые для этих целей экзамена CCNA: <br/><ul><li> 2.1 Настройка и проверка сетей VLAN (нормальный диапазон), охватывающих несколько коммутаторов.<ul><li> 2.1.a Порты доступа (данные и голос)</li><li> 2.1.b VLAN по умолчанию</li><li> 2.1.c Связь</li></ul></li><li> 2.2 Настройка и проверка межкоммутаторной связи<ul><li> 2.2.a Магистральные порты</li><li> 2.2.b 802.1Q</li><li> 2.2.c Собственная VLAN</li></ul></li></ul> Коммутатор<h2><span class="ez-toc-section" id="_VOICE_VLAN_ACCESS_VLAN"> &#8212; В чем разница между VOICE VLAN и ACCESS VLAN </span></h2><p> Традиционно с коммутацией существует два типа портов:</p><ul><li> <strong> Порты доступа </strong> &#8212; порты, которые передают трафик только для <em> одной </em> VLAN</li><li> <strong> Магистральные порты </strong> &#8212; порты, по которым передается трафик для <em> нескольких </em> VLAN</li></ul><p> В сценарии, когда компьютер пользователя подключен к стене. Обычно порт коммутатора, к которому подключен пользователь, настраивается как порт доступа <strong> </strong>:</p><p></p><pre> <code> Коммутатор (конфигурация) # vlan 22
Коммутатор (config-vlan) # имя ДАННЫЕ

Коммутатор (config) # interface ethernet0 / 0
Switch (config-if) # доступ в режим switchport
Switch (config-if) # switchport access vlan 22
 </code> </pre><p> Проблема, с которой вы сталкиваетесь, заключается в том, что, если этот пользователь также добавляет телефон VOIP:</p><p></p><p> В идеальном мире каждое устройство имеет собственную розетку, и вы можете настроить два порта коммутатора, к которым они подключены, как <strong> портов доступа </strong>, один в Data VLAN (для ПК), а другой в Voice VLAN ( для телефона):</p><pre> <code> Коммутатор (конфигурация) # vlan 22
Коммутатор (config-vlan) # имя ДАННЫЕ
Коммутатор (config) # vlan 33
Switch (config-vlan) # имя VOICE

Коммутатор (config) # interface ethernet0 / 0
Switch (config-if) # доступ в режим switchport
Switch (config-if) # switchport access vlan 22
Коммутатор (config) # interface ethernet0 / 1
Switch (config-if) # доступ в режим switchport
Switch (config-if) # switchport access vlan 33
 </code> </pre><p> Использование двух VLAN позволяет отделить голосовой трафик в сети от трафика данных.</p><p> Однако второй порт LAN не всегда доступен.</p><p> В таких случаях большинство телефонов VOIP имеют два порта, один из которых может принимать входящий трафик от ПК, а другой может быть подключен к настенной розетке.</p><p> Это позволяет <em> как </em> Телефон, так и ПК говорить через один порт коммутатора:</p><p></p><p> Тогда возникает вопрос, как настроить один <em> Switchport </em>, к которому они подключены, даже если трафик должен быть в двух разных VLAN.<em> Вот где в игру вступает концепция <strong> Voice VLAN </strong> </em>.</p><p> <strong> Голосовая VLAN позволяет порту доступа, который обычно принимает только <em> нетегированный трафик </em> для одиночной VLAN <em> </em>, также принимать <em> тегированный трафик </em> для <em> второй VLAN </em>. </strong></p><p> Конфигурация будет выглядеть так:</p><pre> <code> Коммутатор (конфигурация) # vlan 22
Коммутатор (config-vlan) # имя ДАННЫЕ
Коммутатор (config) # vlan 33
Switch (config-vlan) # имя VOICE

Коммутатор (config) # interface ethernet0 / 0
Switch (config-if) # доступ в режим switchport
Switch (config-if) # switchport access vlan 22
Switch (config-if) # switchport voice vlan 33
 </code> </pre><p> <em> Обратите внимание, есть другой способ настроить один порт для приема трафика от обеих сетей VLAN, он включает в себя использование порта магистрали и собственной VLAN, но эта стратегия не лишена собственного набора недостатков.</em></p><hr/><p> Что касается вашего вопроса:</p><pre> <code> интерфейс FastEthernet0 / 1
 описание ТЕЛЕФОНЫ
 доступ в режиме Switchport
 ** коммутатор голосовой vlan 51 **

интерфейс FastEthernet0 / 1
 описание ТЕЛЕФОНЫ
 ** коммутатор доступа vlan 51 **
 доступ в режиме Switchport
 </code> </pre><p> Первая конфигурация &#8212; это порт доступа, но поскольку нет команды <code> switchport access vlan # </code>, этот порт принадлежит VLAN 1 &#8212; любой нетегированный трафик, поступающий на этот порт, будет помещен в VLAN 1.Любой тегированный трафик будет отброшен (как правило &#8212; возможно, разное поведение у разных поставщиков). За исключением трафика, помеченного VLAN 51, этот трафик будет принят и помещен в VLAN 51.</p><p> Вторая конфигурация также является портом доступа, и весь немаркированный трафик будет помещен в VLAN 51. Любой тегированный трафик будет отброшен.</p><hr/><p> <em> Отказ от ответственности: изображения и ссылки выше взяты из моего блога. В блоге нет рекламы. Он не монетизируется. Я предлагаю ссылки и контент бесплатно исключительно в помощь читателям.Надеюсь, они тебе тоже помогут. </em></p><h2><span class="ez-toc-section" id="EOS_4262F_VLAN"> EOS 4.26.2F &#8212; Виртуальные локальные сети (VLAN) </span></h2><p> Магистральные порты несут трафик для нескольких VLAN. Сообщения используют тегированные кадры, чтобы указать VLAN для
какие транковые порты обрабатывают трафик.</p><ul><li> Список <strong> магистральных каналов vlan </strong> указывает сети VLAN, для которых
порт обрабатывает тегированные кадры. Порт отбрасывает все пакеты, помеченные для сетей VLAN, не входящих в
Список VLAN.</li><li> Собственный vlan <strong> </strong> &#8212; это VLAN, в которой порт переключается
немаркированные кадры.</li></ul><p> Чтобы настроить группу интерфейсов как магистральный порт, используйте команду switchport mode.</p><h5><span class="ez-toc-section" id="i-17"> Пример </span></h5><p> Эти команды настраивают интерфейс <strong> <var> Ethernet 8 </var> </strong> как магистральный порт.</p><pre> коммутатор <code> (конфигурация) # <strong> интерфейс Ethernet 8 </strong>
коммутатор (config-if-Et8) # <strong> switchport mode trunk </strong>
переключатель (config-if-Et8) # </code> </pre><p> По умолчанию все VLAN разрешены на порту, настроенном с «транком в режиме switchport». Ограничить
список соединительных линий VLAN порта, разрешено использование соединительной линии порта коммутатора <strong> команда vlan </strong>.Только VLAN из разрешенного списка будут
разрешенный.</p><h5><span class="ez-toc-section" id="i-18"> Примеры </span></h5><ul><li> Эти команды настраивают VLAN 15, 20, 21, 22, 40 и 75 как явно
список разрешенных магистралей VLAN для интерфейса Ethernet
12-16.<pre> коммутатор <code> (конфигурация) # <strong> интерфейс Ethernet 12-16 </strong>
switch (config-if-Et12-16) # <strong> switchport trunk разрешен vlan 15,20-22,40,75 </strong>
переключатель (config-if-Et12-16) # </code> </pre></li><li> Эти команды явно разрешают VLAN 100–120 включаться в список магистралей VLAN для интерфейса <strong> <var> Ethernet 14 </var> </strong>.<pre> коммутатор <code> (конфигурация) # <strong> интерфейс Ethernet 14 </strong>
switch (config-if-Et14) # <strong> транк switchport разрешен vlan добавить 100-120 </strong>
переключатель (config-if-Et14) # </code> </pre></li></ul><p> Чтобы указать собственную VLAN порта, используйте магистральный канал коммутатора <strong> native vlan </strong> команда.</p><h5><span class="ez-toc-section" id="i-19"> Пример </span></h5><p> Эти команды настраивают VLAN 12 как собственный канал VLAN для интерфейса <strong> <var> Ethernet 10 </var> </strong>.</p><pre> Коммутатор <code> (конфигурация) # <strong> интерфейс Ethernet 10 </strong>
коммутатор (config-if-Et10) # <strong> switchport trunk native vlan 12 </strong>
переключатель (config-if-Et10) # </code> </pre><p> По умолчанию порты отправляют собственный трафик VLAN с немаркированными кадрами.Магистраль Switchport <strong> Команда native vlan </strong> также может настроить порт для отправки собственного
Трафик VLAN с кадрами тегов.</p><h5><span class="ez-toc-section" id="i-20"> Примеры </span></h5><ul><li> Эти команды настраивают интерфейс <strong> <var> Ethernet 10 </var> </strong> для отправки собственного трафика VLAN как тегированного.<pre> Коммутатор <code> (конфигурация) # <strong> интерфейс Ethernet 10 </strong>
switch (config-if-Et10) # <strong> switchport trunk собственный тег vlan </strong>
переключатель (config-if-Et10) # </code> </pre></li><li> Эти команды настраивают интерфейс <strong> <var> Ethernet 12 </var> </strong> в качестве магистрали с <strong> <var> VLAN 15 </var> </strong> в качестве собственной VLAN.Список транков порта включает все сети VLAN, кроме 201–300.<pre> Коммутатор <code> (конфигурация) # <strong> интерфейс Ethernet 12 </strong>
коммутатор (config-if-Et12) # <strong> switchport mode trunk </strong>
коммутатор (config-if-Et12) # <strong> switchport trunk native vlan 15 </strong>
switch (config-if-Et12) # <strong> switchport trunk разрешен vlan кроме 201-300 </strong>
переключатель (config-if-Et12) # </code> </pre></li></ul><h5><span class="ez-toc-section" id="i-21"> Пример </span></h5><p> Предположим, что все порты на коммутаторе настроены с транком в режиме switchport, аналогичным Ethernet 1 и 2, показанным ниже:</p><pre> <code>!
интерфейс Ethernet 1
соединительная линия в режиме коммутационного порта
!
интерфейс Ethernet 2
соединительная линия в режиме коммутационного порта
! </code> </pre><p> Далее предположим, что <strong> <var> VLAN 30 </var> </strong> не настроен как часть группы соединительных линий</p><pre> переключатель <code> # <strong> показать vlan </strong>
VLANName StatusPorts
----- -------------------------------- --------- ---- ------
1 по умолчанию активный Et1, Et2
30vlan30 активный Et1, Et2 </code> </pre><p> Теперь настройте <strong> <var> VLAN 30 </var> </strong> как часть группы соединительных линий <strong> <var> 30 </var> </strong>:</p><pre> коммутатор <code> (конфигурация) # <strong> vlan 30 </strong>
коммутатор (config-vlan-30) # <strong> транковая группа 30 </strong> </code> </pre><p> Это обновляет членство в VLAN для <var> VLAN 30 </var>.</p><pre> переключатель <code> # <strong> показать vlan
 </strong> VLANName StatusPorts
----- -------------------------------- --------- ---- -------
1 по умолчанию активный Et1, Et2
30vlan30 активен </code> </pre><p> Примечание: <strong> <var> Vlan 30 </var> </strong> больше не находится на Et1, Et2, т.е. он был «сокращен» из-за команды группы магистралей в конфигурации vlan.</p><p> Чтобы разрешить <strong> <var> VLAN 30 </var> </strong> на <strong> <var> Et1 </var> </strong>, вам необходимо связать интерфейс с транковой группой следующим образом:</p><pre> Коммутатор <code> (config-if-Et1) # <strong> switchport группа соединительных линий 30 </strong>

Теперь мы видим, что Et1 включен в список vlan 30

switch # <strong> показать vlan </strong>
VLANName StatusPorts
----- -------------------------------- --------- ---- ------
1 по умолчанию активный Et1, Et2
30vlan30 активен ET1 </code> </pre><p> Команда группы соединительных линий не добавляется к разрешенной команде VLAN</p><pre> <code> интерфейс Ethernet 1
соединительная линия в режиме коммутационного порта
транк коммутатора разрешен vlan 10
группа соединительных линий коммутатора соединительная линия 30

Vlan 30 не будет разрешен на интерфейсе, так как он не указан в разрешенном
список vlan.</code> </pre><h2><span class="ez-toc-section" id="VLAN_vSwitch_21690"> VLAN &#8212; открытая документация vSwitch 2.16.90 </span></h2><p> A: На простейшем уровне VLAN (сокращение от «virtual LAN») &#8212; это способ
разделите один коммутатор на несколько коммутаторов. Предположим, например,
что у вас есть две группы машин, группа A и группа B.
машины в группе A, чтобы иметь возможность разговаривать друг с другом, и вы хотите, чтобы
машины в группе B, чтобы иметь возможность разговаривать друг с другом, но вы не хотите, чтобы
машины в группе A, чтобы иметь возможность разговаривать с машинами в группе B.Вы можете
сделайте это с помощью двух переключателей, подключив машины в группе A к одному
переключатель и машины в группе B в другой переключатель.</p><p> Если у вас только один коммутатор, вы можете использовать VLAN для того же,
путем настройки портов для машин в группе A как «порты доступа» VLAN для
одна VLAN и порты для группы B как «порты доступа» для другой VLAN.
Коммутатор будет пересылать пакеты только между портами, назначенными
тот же VLAN, поэтому это эффективно разделяет ваш единственный коммутатор на два
независимые переключатели, по одному на каждую группу машин.</p><p> Пока мы ничего не сказали о заголовках VLAN. С портами доступа,
как мы уже описали, заголовок VLAN отсутствует в Ethernet
Рамка. Это означает, что машины (или переключатели), подключенные к доступу
порты не должны знать, что задействованы VLAN, как и в случае
где мы используем два разных физических переключателя.</p><p> Теперь предположим, что у вас есть целая группа коммутаторов в вашей сети,
вместо одного, и что некоторые машины в группе А подключены
непосредственно к обоим переключателям 1 и 2.Чтобы позволить этим машинам разговаривать с каждым
другое, вы можете добавить порт доступа для VLAN группы A к коммутатору 1 и
другой для переключения 2, а затем подключите кабель Ethernet между ними
порты. Это работает нормально, но не масштабируется по количеству
коммутаторов и количество VLAN увеличивается, потому что вы используете много
ценные порты коммутатора, просто соединяющие ваши сети VLAN.</p><p> Вот здесь и пригодятся заголовки VLAN. Вместо использования одного кабеля и двух
портов на VLAN для подключения пары коммутаторов, настраиваем порт на каждом
коммутатор как «магистральный порт» VLAN.Пакеты, отправленные и полученные через магистральный порт
нести заголовок VLAN, который говорит, к какой VLAN принадлежит пакет, так что только
всего два порта необходимы для подключения коммутаторов, независимо от
количество используемых VLAN. Обычно только переключатели (физические или
virtual) подключены к магистральному порту, а не к отдельным узлам, потому что
отдельные хосты не ожидают увидеть заголовок VLAN в трафике, который они
Получать.</p><p> Ни одно из приведенных выше обсуждений ничего не говорит о конкретных номерах VLAN.Это потому, что номера VLAN совершенно произвольны. Нужно только
убедитесь, что данная VLAN пронумерована единообразно во всей сети и
что разным VLAN присвоены разные номера. (Тем не менее, VLAN 0 является
обычно является синонимом пакета без заголовка VLAN, а VLAN 4095 &#8212;
зарезервировано.)</p> .</div></article><nav class="navigation post-navigation" aria-label="Записи"><h2 class="screen-reader-text">Навигация по записям</h2><div class="nav-links"><div class="nav-previous"><a href="https://pk-region.ru/raznoe-2/kak-zajti-na-router-bilajn-kak-zajti-v-router-bilajn-4g.html" rel="prev">Как зайти на роутер билайн: Как зайти в роутер билайн 4g</a></div><div class="nav-next"><a href="https://pk-region.ru/raznoe-2/kak-prikrepit-skrinshot-kak-sdelat-skrinshot-i-prikrepit-k-pismu.html" rel="next">Как прикрепить скриншот: Как сделать скриншот и прикрепить к письму?</a></div></div></nav><div id="comments" class="comments-area"><div id="respond" class="comment-respond"><h3 id="reply-title" class="comment-reply-title">Добавить комментарий <small><a rel="nofollow" id="cancel-comment-reply-link" href="/raznoe-2/access-vlan-nedopustimoe-nazvanie-xgu-ru.html#respond" style="display:none;">Отменить ответ</a></small></h3><form action="https://pk-region.ru/wp-comments-post.php" method="post" id="commentform" class="comment-form" novalidate><p class="comment-notes"><span id="email-notes">Ваш адрес email не будет опубликован.</span> <span class="required-field-message">Обязательные поля помечены <span class="required">*</span></span></p><p class="comment-form-comment"><label for="comment">Комментарий <span class="required">*</span></label><textarea id="comment" name="comment" cols="45" rows="8" maxlength="65525" required></textarea></p><p class="comment-form-author"><label for="author">Имя <span class="required">*</span></label> <input id="author" name="author" type="text" value="" size="30" maxlength="245" autocomplete="name" required /></p><p class="comment-form-email"><label for="email">Email <span class="required">*</span></label> <input id="email" name="email" type="email" value="" size="30" maxlength="100" aria-describedby="email-notes" autocomplete="email" required /></p><p class="comment-form-url"><label for="url">Сайт</label> <input id="url" name="url" type="url" value="" size="30" maxlength="200" autocomplete="url" /></p><p class="form-submit"><input name="submit" type="submit" id="submit" class="submit" value="Отправить комментарий" /> <input type='hidden' name='comment_post_ID' value='22079' id='comment_post_ID' /> <input type='hidden' name='comment_parent' id='comment_parent' value='0' /></p></form></div></div></main></div><aside id="secondaryright" class="widget-area" role="complementary"><section id="search-2" class="widget clearfix widget_search"><form role="search" method="get" class="search-form" action="https://pk-region.ru/"> <label> <span class="screen-reader-text">Найти:</span> <input type="search" class="search-field" placeholder="Поиск&hellip;" value="" name="s" /> </label> <input type="submit" class="search-submit" value="Поиск" /></form></section><section id="nav_menu-2" class="widget clearfix widget_nav_menu"><h3 class="widget-title">Рубрики</h3><div class="menu-2-container"><ul id="menu-2" class="menu"><li id="menu-item-6318" class="menu-item menu-item-type-taxonomy menu-item-object-category menu-item-6318"><a href="https://pk-region.ru/category/texnologi">IT ликбез</a></li><li id="menu-item-6319" class="menu-item menu-item-type-taxonomy menu-item-object-category menu-item-6319"><a href="https://pk-region.ru/category/raznoe">Заметки айтишника</a></li><li id="menu-item-6320" class="menu-item menu-item-type-taxonomy menu-item-object-category menu-item-6320"><a href="https://pk-region.ru/category/nastrojk-2">Настройка</a></li><li id="menu-item-6321" class="menu-item menu-item-type-taxonomy menu-item-object-category menu-item-6321"><a href="https://pk-region.ru/category/nastrojk">Настройка коммуникаций</a></li><li id="menu-item-6322" class="menu-item menu-item-type-taxonomy menu-item-object-category menu-item-6322"><a href="https://pk-region.ru/category/obzor">Обзоры</a></li><li id="menu-item-6323" class="menu-item menu-item-type-taxonomy menu-item-object-category menu-item-6323"><a href="https://pk-region.ru/category/programm-2">Программы</a></li><li id="menu-item-6325" class="menu-item menu-item-type-taxonomy menu-item-object-category menu-item-6325"><a href="https://pk-region.ru/category/sbork-2">Сборка ПК</a></li><li id="menu-item-6326" class="menu-item menu-item-type-taxonomy menu-item-object-category menu-item-6326"><a href="https://pk-region.ru/category/texnologi-2">Технологии</a></li><li id="menu-item-6324" class="menu-item menu-item-type-taxonomy menu-item-object-category current-post-ancestor current-menu-parent current-post-parent menu-item-6324"><a href="https://pk-region.ru/category/raznoe-2">Разное</a></li></ul></div></section></aside></div></div></div><footer id="colophon" class="site-footer" role="contentinfo"><div class="bottom-footer-wrap clearfix"><div class="store-container"><div class="site-info"> Все права защищены, 2019<p><a href="/sitemap.xml" class="c_sitemap">Карта сайта</a></p></div><div class="payment-accept"></div></footer> <a href="#" class="scrollup"><i class="fa fa-angle-up" aria-hidden="true"></i> </a></div> <noscript><style>.lazyload{display:none}</style></noscript><script data-noptimize="1">window.lazySizesConfig=window.lazySizesConfig||{};window.lazySizesConfig.loadMode=1;</script><script async data-noptimize="1" src='https://pk-region.ru/wp-content/plugins/autoptimize/classes/external/js/lazysizes.min.js'></script> <script defer src="https://pk-region.ru/wp-content/cache/autoptimize/js/autoptimize_8d8ede4a7bfe64e18848b6015fabffc0.js"></script></body></html><script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="5a2603d2efb11ff5fd6158d2-|49" defer></script>