Access vlan: Недопустимое название — Xgu.ru

Содержание

Порты доступа (access) — Сети Для Самых Маленьких

Поэтому начнём с простого: настроим два порта на msk-arbat-asw3 как access для влана 101 (ПТО):

`msk-arbat-asw3(config)#interface FastEthernet0/1 msk-arbat-asw3(config-if)#description PTO msk-arbat-asw3(config-if)#switchport mode access msk-arbat-asw3(config-if)#switchport access vlan 101% Access VLAN does not exist. Creating vlan 101

msk-arbat-asw3(config)#interface FastEthernet0/2 msk-arbat-asw3(config-if)#description PTO msk-arbat-asw3(config-if)#switchport access vlan 101 msk-arbat-asw3(config-if)switchport mode access`

Все настройки делаем сразу в соответствии с планом.

Заметили, что коммутатор ругается на отсутствие влана? Тут надо быть аккуратным. Некоторые версии ПО работают несколько нелогично.

Даже если вы его не создадите, то настройки применятся и при отладке на первый взгляд всё будет нормально, но связи не будет. Причём коварство заключается в том, что фраза Creating vlan 101 вовсе не означает, что этот самый влан будет создан. Поэтому отправляемся в режим глобальной конфигурации и создаём его (а заодно и все другие вланы, нужные на этом коммутаторе):

msk-arbat-asw3>enable msk-arbat-asw3#configure terminal msk-arbat-asw3(config)#vlan 2 msk-arbat-asw3(config-vlan)#name Management msk-arbat-asw3(config-vlan)#vlan 101 msk-arbat-asw3(config-vlan)#name PTO msk-arbat-asw3(config-vlan)#vlan 102 msk-arbat-asw3(config-vlan)#name FEO msk-arbat-asw3(config-vlan)#vlan 103 msk-arbat-asw3(config-vlan)#name Accounting msk-arbat-asw3(config-vlan)#vlan 104 msk-arbat-asw3(config-vlan)#name Other

Теперь подключите компьютеры к портам FE0/1 и FE0/2, настройте на них адреса 172.16.3.2 и 172.16.3.3 с маской подсети 255.255.255.0 и шлюзом 172.16.3.1 и проверьте связь:

После того, как это получилось, настроим порт FE0/16, как access, для 104-го влана (сеть других пользователей):

msk-arbat-asw3(config)#interface FastEthernet0/16 msk-arbat-asw3(config-if)#description Other msk-arbat-asw3(config-if)#switchport access vlan 104 msk-arbat-asw3(config-if)switchport mode access

Подключите к нему компьютер и настройте адрес из той же подсети, что ПТО, например, 172.16.3.5 с маской 255.255.255.0. Если вы попытаетесь теперь пропинговать этот адрес, то у вас не должно этого получиться — компьютеры находятся в разных вланах и изолированы друг от друга:

То есть ещё раз, что происходит? От вашего компьютера приходит на 1-й порт широковещательный запрос: “Кто такой 172.16.3.5”, потому что сам компьютер пока не знает MAC-адреса получателя. Кадр, который несёт в себе этот запрос помечается, как принадлежащий 101-му VLAN’у в соответствии с портом, на который он поступил. И далее, чтобы узнать где-же находится компьютер 172.16.3.5, кадр рассылается на все порты-члены 101-го VLAN’а. А в их числе нет порта FE0/16, поэтому, естественно, этот адрес считается недостижимым, что приводит к ответу “Request timed out”.

Внимание! Если в этом VLAN’е все-таки окажется устройство с таким IP, то это не будет тем же самым ноутбуком Other и при этом они не буду конфликтовать друг с другом, поскольку логически находятся в разных широковещательных доменах.

Создание сетей VLAN на коммутаторах Catalyst

Настройка сети VLAN на коммутаторах Catalyst 2900XL, 3500XL, 2950, 2970 и 2940

Создание портов и сетей VLAN

Примечание. Выходные данные команды, которые вы увидите, могут отличаться от выходных данных, которые содержатся в данном разделе. Эти различия зависят от модели используемого коммутатора.

Чтобы создать сеть VLAN, необходимо выполнить следующие действия:
1. Сначала необходимо решить, будет ли использоваться протокол VTP в вашей сети.
С помощью VTP можно централизованно изменять конфигурацию на одном коммутаторе, а затем автоматически применить внесенные изменения ко всем коммутаторам сети. По умолчанию на коммутаторах Catalyst 2900XL, 3500XL, 2950, 2970 и 2940 установлен серверный режим протокола VTP. Более подробно о протоколе VTP см. Общие сведения и настройка магистрального протокола VLAN (VTP).
      Примечание: чтобы проверить статус протокола VTP на коммутаторах серии XL, воспользуйтесь командой show vtp status.

          3524XL#show vtp status

          VTP Version                     : 2
          Configuration Revision          : 0
          Maximum VLANs supported locally : 254
          Number of existing VLANs        : 5
          VTP Operating Mode              : Server

          !— Этот режим используется по умолчанию.

          VTP Domain Name                 :
          VTP Pruning Mode                : Disabled
          VTP V2 Mode                     : Disabled
          VTP Traps Generation            : Disabled
          MD5 digest                      : 0xBF 0x86 0x94 0x45 0xFC 0xDF 0xB5 0x70
          Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00

2. После того как домен VTP был установлен и проверен, можно начать создание сетей VLAN на коммутаторе.

По умолчанию для всех портов существует только одна сеть VLAN. Такая сеть VLAN называется сетью по умолчанию. Сеть VLAN 1 не может быть переименована или удалена.
Чтобы получить информацию о сети VLAN, воспользуйтесь командой show vlan.

          3524XL#show vlan


          VLAN Name                             Status    Ports
          —- ——————————— ——— ——————————-
          1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4,
                                                          Fa0/5, Fa0/6, Fa0/7, Fa0/8,
                                                          Fa0/9, Fa0/10, Fa0/11, Fa0/12,
                                                          Fa0/13, Fa0/14, Fa0/15, Fa0/16,
                                                          Fa0/17, Fa0/18, Fa0/19, Fa0/20,
                                                          Fa0/21, Fa0/22, Fa0/23, Fa0/24,
                                                          Gi0/1, Gi0/2
          1002 fddi-default                     active
          1003 token-ring-default               active
          1004 fddinet-default                  active
          1005 trnet-default                    active

          VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
          —- —— ———- —— —— —— ——— —- ——— —— ——
          1    enet  100001     1500  —      —      —        —    —        1002   1003
          1002 fddi  101002     1500  —      —      —        —    —        1      1003
          1003 tr    101003     1500  1005   0      —        —    srb      1      1002

          1004 fdnet 101004     1500  —      —      1        IBM  —        0      0
          1005 trnet 101005     1500  —      —      1        IBM  —        0      0

Чтобы создать другую сеть VLAN, в привилегированном режиме используйте набор команд:

          3524XL#vlan database

          !— Чтобы настроить виртуальную локальную сеть, необходимо войти в ее базу данных.

          3524XL(vlan)#vtp server

          Device mode already VTP SERVER.

          !— Эту команду можно пропустить, если серверный режим коммутатора уже
          !— включен, и требуется именно это.

Примечание. Сеть VLAN может быть создана на коммутаторе только в том случае, если этот коммутатор работает в режиме сервера VTP или прозрачном режиме VTP. Более подробно о протоколе VTP см. Общие сведения и настройка магистрального протокола VLAN (VTP).

          524XL(vlan)#vlan ?

            <1-1005>  ISL VLAN index

          3524XL(vlan)#vlan 2 ?

            are        Maximum number of All Route Explorer hops for this VLAN
            backupcrf  Backup CRF mode of the VLAN
            bridge     Bridging characteristics of the VLAN
            media      Media type of the VLAN
            mtu        VLAN Maximum Transmission Unit
            name       Ascii name of the VLAN
            parent     ID number of the Parent VLAN of FDDI or Token Ring type VLANs
            ring       Ring number of FDDI or Token Ring type VLANs
            said       IEEE 802.10 SAID
            state      Operational state of the VLAN
            ste        Maximum number of Spanning Tree Explorer hops for this VLAN
            stp        Spanning tree characteristics of the VLAN

            tb-vlan1   ID number of the first translational VLAN for this VLAN (or zero
                       if none)
            tb-vlan2   ID number of the second translational VLAN for this VLAN (or zero
                       if none)

          3524XL(vlan)#vlan 2 name ?

            WORD  The ASCII name for the VLAN

          3524XL(vlan)#vlan 2 name cisco_vlan_2

          VLAN 2 added:
              Name: cisco_vlan_2

          3524XL(vlan)#exit

          !— Необходимо выйти из базы данных виртуальной локальной сети,
          !— чтобы изменения были применены.

          APPLY completed.
          Exiting….
          3524XL#

Примечание. Режим VTP может измениться с клиентского на прозрачный в том случае, когда коммутатор попытается запомнить или передать количество сетей VLAN, превышающее количество, поддерживаемое данным коммутатором. Необходимо всегда проверять, чтобы коммутаторы, работающие в клиентском режиме, поддерживали то же количество сетей, которое передается коммутаторами в серверном режиме.

3. Чтобы убедиться в том, что сеть VLAN была создана, воспользуйтесь командой show vlan.

          3524XL#show vlan

          VLAN Name                             Status    Ports
          —- ——————————— ——— ——————————-
          1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4,
                                                          Fa0/5, Fa0/6, Fa0/7, Fa0/8,
                                                          Fa0/9, Fa0/10, Fa0/11, Fa0/12,
                                                          Fa0/13, Fa0/14, Fa0/15, Fa0/16,
                                                          Fa0/17, Fa0/18, Fa0/19, Fa0/20,
                                                          Fa0/21, Fa0/22, Fa0/23, Fa0/24,
                                                          Gi0/1, Gi0/2
          2    cisco_vlan_2                     active    
          1002 fddi-default                     active
          1003 token-ring-default               active
          1004 fddinet-default                  active
          1005 trnet-default                    active

          VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
          —- —— ———- —— —— —— ——— —- ——— —— ——
          1    enet  100001     1500  —      —      —        —    —        1002   1003
          2    enet  100002     1500  —      —      —        —    —        0      0
          1002 fddi  101002     1500  —      —      —        —    —        1      1003
          1003 tr    101003     1500  1005   0      —        —    srb      1      1002
          1004 fdnet 101004     1500  —      —      1        IBM  —        0      0
          1005 trnet 101005     1500  —      —      1

4. К вновь созданной сети VLAN можно добавить порты (интерфейсы).
Для каждого интерфейса, который нужно добавить в новую VLAN, необходимо перейти в режим настройки интерфейса. Эта услуга доступна в рамках ИТ-аутсорсинга от компании «Ветрикс»
Примечание. В случае коммутаторов Catalyst 2-го уровня серии XL порты могут быть назначены нескольким сетям VLAN, однако единовременно коммутаторы могут поддерживать только один интерфейс VLAN c активным управлением, в то время как другие коммутируемые виртуальные интерфейсы (SVI) остаются выключенными из-за функциональных особенностей уровня 2. Таким образом, коммутаторы поддерживают только один адрес 3-го уровня с активным управлением. Для того чтобы автоматически выключить сеть VLAN 1 и перевести IP-адрес на новую сеть VLAN, на коммутаторах Catalyst серии XL при работе под новым интерфейсом SVI можно воспользоваться дополнительной командой management.

          Switch#configure terminal

          Switch(config)#interface vlan 2

          Switch(config-subif)#management

          Switch(config-subif)#^Z

          Switch#show ip interface brief
          Interface                  IP-Address      OK? Method Status   Protocol
          VLAN1                      10.0.0.2        YES manual up       down    
          VLAN2                      20.0.0.2        YES manual up       up      
          FastEthernet0/1            unassigned      YES unset  up       up      
          FastEthernet0/2            unassigned      YES unset  up       up

          !— Выходные данные отключены.

Чтобы добавить соответствующий интерфейс к сети VLAN, в привилегированном режиме используйте набор команд:

          3524XL#configure terminal

          Enter configuration commands, one per line.  End with CNTL/Z.

          3524XL(config)#interface fastethernet 0/2

          3524XL(config-if)#switchport access ?

            vlan  Set VLAN when interface is in access mode

          3524XL(config-if)#switchport access vlan ?

            <1-1001>  VLAN ID of the VLAN when this port is in access mode
            dynamic   When in access mode, this interfaces VLAN is controlled by VMPS

          3524XL(config-if)#switchport access vlan 2

          !— Эти команды назначают интерфейс Fast Ethernet 0/2
          !— на виртуальную локальную сеть 2.

          3524XL(config-if)#exit

          3524XL(config)#interface fastethernet 0/3

          3524XL(config-if)#switchport access vlan 2

          !— Эти команды назначают интерфейс Fast Ethernet 0/3
          !— на виртуальную локальную сеть 2.

          3524XL(config-if)#end

          3524XL#
          00:55:26: %SYS-5-CONFIG_I: Configured from console by console

          3524XL#write memory

          !— Эта команда сохраняет конфигурацию.

          Building configuration…

5. Чтобы проверить конфигурацию сети VLAN, воспользуйтесь командой show vlan.

          3524XL#show vlan

          VLAN Name                             Status    Ports
          —- ——————————— ——— ——————————-
          1    default                          active    Fa0/1, Fa0/4, Fa0/5, Fa0/6,
                                                          Fa0/7, Fa0/8, Fa0/9, Fa0/10,
                                                          Fa0/11, Fa0/12, Fa0/13, Fa0/14,
                                                          Fa0/15, Fa0/16, Fa0/17, Fa0/18,
                                                          Fa0/19, Fa0/20, Fa0/21, Fa0/22,
                                                          Fa0/23, Fa0/24, Gi0/1, Gi0/2
          2    cisco_vlan_2                     active    Fa0/2, Fa0/3
          1002 fddi-default                     active
          1003 token-ring-default               active
          1004 fddinet-default                  active
          1005 trnet-default                    active

          VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
          —- —— ———- —— —— —— ——— —- ——— —— ——
          1    enet  100001     1500  —      —      —        —    —        1002   1003
          2    enet  100002     1500  —      —      —        —    —        0      0
          1002 fddi  101002     1500  —      —      —        —    —        1      1003
          1003 tr    101003     1500  1005   0      —        —    srb      1      1002
          1004 fdnet 101004     1500  —      —      1        IBM  —        0      0
          1005 trnet 101005     1500  —      —      1        IBM  —        0      0

Удаление портов или сетей VLAN

Чтобы удалить порты из сети VLAN, в режиме настройки интерфейса используйте команду no switchport access vlan vlan_number. После удаления из сети VLAN (отличной от сети VLAN 1, которая является сетью заданной по умолчанию) этот порт будет автоматически добавлен в сеть VLAN, заданную по умолчанию.

Например, если требуется удалить интерфейс Fast Ethernet 0/2 из cisco_vlan_2 (VLAN 2), то в привилегированном режиме необходимо использовать такую последовательность команд:

    3524XL#configure terminal

    Enter configuration commands, one per line.  End with CNTL/Z.

    3524XL(config)#interface fastethernet 0/2

    3524XL(config-if)#no switchport access vlan 2

    !— Эти две команды снимают интерфейс Fast Ethernet 0/2 с
    !— виртуальной локальной сети 2.

    3524XL(config-if)#end

    3524XL#show vlan

    VLAN Name                             Status    Ports
    —- ——————————— ——— ——————————-
    1    default                          active    Fa0/1, Fa0/2, Fa0/4, Fa0/5,

    !— Примечание. Интерфейс Fast Ethernet 0/2 назначается обратно
    !— на виртуальную локальную сеть по умолчанию.

                                                    Fa0/6, Fa0/7, Fa0/8, Fa0/9,
                                                    Fa0/10, Fa0/11, Fa0/12, Fa0/13,
                                                    Fa0/14, Fa0/15, Fa0/16, Fa0/17,
                                                    Fa0/18, Fa0/19, Fa0/20, Fa0/21,
                                                    Fa0/22, Fa0/23, Fa0/24, Gi0/1,
                                                    Gi0/2
    2    cisco_vlan_2                     active    Fa0/3
    1002 fddi-default                     active
    1003 token-ring-default               active
    1004 fddinet-default                  active
    1005 trnet-default                    active

    VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
    —- —— ———- —— —— —— ——— —- ——— —— ——
    1    enet  100001     1500  —      —      —        —    —        1002   1003
    2    enet  100002     1500  —      —      —        —    —        0      0
    1002 fddi  101002     1500  —      —      —        —    —        1      1003
    1003 tr    101003     1500  1005   0      —        —    srb      1      1002
    1004 fdnet 101004     1500  —      —      1        IBM  —        0      0
    1005 trnet 101005     1500  —      —      1        IBM  —        0      0


Чтобы удалить сеть VLAN, в режиме базы данных используйте команду no vlan vlan_number. Интерфейсы, относящиеся к удаляемой сети VLAN, остаются частью этой сети. Эти интерфейсы будут деактивированы, поскольку уже не принадлежат ни к одной сети VLAN. Если вы пользуетесь абонентским обслуживанем компьютеров от Ветрикса, то все указанные выше действия выполнят наши инженеры.

Например, если на коммутаторе необходимо удалить сеть cisco_vlan_2, в привилегированном режиме используйте следующий набор команд:

    3524XL#vlan database

    !— Эта команда позволяет перейти в режим базы данных
    !— виртуальной локальной сети.

    3524XL(vlan)#no vlan 2

    !— Эта команда удаляет виртуальную локальную сеть из базы данных.

    Deleting VLAN 2…

    3524XL(vlan)#exit

    APPLY completed.
    Exiting….

    3524XL#show vlan

    VLAN Name                             Status    Ports
    —- ——————————— ——— ——————————-
    1    default                          active    Fa0/1, Fa0/2, Fa0/4, Fa0/5,
                                                    Fa0/6, Fa0/7, Fa0/8, Fa0/9,
                                                    Fa0/10, Fa0/11, Fa0/12, Fa0/13,
                                                    Fa0/14, Fa0/15, Fa0/16, Fa0/17,
                                                    Fa0/18, Fa0/19, Fa0/20, Fa0/21,
                                                    Fa0/22, Fa0/23, Fa0/24, Gi0/1,
                                                    Gi0/2
    1002 fddi-default                     active
    1003 token-ring-default               active
    1004 fddinet-default                  active
    1005 trnet-default                    active

    !— Выходные данные отключены.


Обратите внимание на то, что порт Fast Ethernet 0/3 не отображен в выходных данных команды show vlan. При удалении сети VLAN 2 этот порт деактивируется. До тех пор, пока этот порт не будет добавлен в одну из имеющихся сетей VLAN, он не будет отображаться и его нельзя будет использовать.

    3524XL#show interfaces fastethernet 0/3

    FastEthernet0/3 is down, line protocol is down

    !— Выходные данные отключены.


Для того чтобы интерфейсом можно было пользоваться, необходимо, чтобы он принадлежал к какой-нибудь сети VLAN. В примере, приводимом в настоящем разделе, показано, что для того чтобы можно было использовать интерфейс Fast Ethernet 0/3, его необходимо добавить в сеть VLAN по умолчанию (VLAN 1).

Если выходные данные команды show-tech support получен с устройства Cisco, то в этом случае для интерпретации результатов можно воспользоваться утилитой Output Interpreter (только для зарегистрированных пользователей). Данная утилита отображает потенциальные проблемы и предлагает способы их решения.

Примечание. В случае коммутаторов Catalyst 3550 интерфейс можно использовать, не добавляя его при этом в какую-либо сеть VLAN. Однако для этого его необходимо настроить как интерфейс 3-го уровня. Более подробно об интерфейсах 3-го уровня на коммутаторах Catalyst 3550 см. Настройка интерфейсов 3-го уровня в разделе Настройка параметров интерфейса.

ACL:Списки контроля доступа в коммутаторах Extreme

Идеология списков контроля доступа в коммутаторах Extreme Networks несколько отличается от идеологии, принятой в коммутаторах производства Компании Cisco Systems. В данной статье речь пойдет о настройке ACL в коммутаторах Extreme и чем ACL в коммутаторах Extreme отличаются от ACL в Cisco.

В коммутаторах Extreme можно создать два типа списков контроля доступа:

  • Статические
  • Динамические


Динамические ACL

Динамические списки контроля доступа создаются используя CLI, их можно просмотреть в конфигурации, выполнив команду show configuration «acl».

Для создания динамического aclнужно выполнить команду:

create access-list < dynamic-rule > < conditions > < actions > {non-permanent}

Если в команде используется ключ non-permanent, список контроля доступа сотрется из конфигурации после перезагрузки коммутатора.

Динамические ACL могут применяться как к физическим портам так и к VLAN:

configure access-list add < dynamic_rule > [ [[first | last] {priority < p_number >} {zone < zone >} ] | [[before | after] < rule >] | [ priority < p_number > {zone < zone >} ]] [ any | vlan < vlanname > | ports < portlist > ] {ingress | egress}

Для удаления acl с порта или VLAN необходимо выполнить команду:

configure access-list delete < ruleName > [ any | vlan < vlanname > | ports < portlist > |
all] {ingress | egress}

Пример создания списка контроля доступа, фильтрующего пакеты BPDU Cisco PVST+ и применения этого acl на порты 11-21:

create access-list bpdu1 «ethernet-destination-address 01:00:0c:cc:cc:cd ;» «deny»
create access-list bpdu2 «ethernet-destination-address 01:80:C2:00:00:00 ;» «deny»
conf access-list add «bpdu1» first ports 11-21 ingress
conf access-list add «bpdu2» first ports 11-21 ingress

Статические ACL

Статические acl представляют собой файлы, редактируемые VI-подобным редактором или загружаемые с внешнего TFTP сервера.

Для создания или редактирования ACL необходимо выполнить команду:

edit policy < policy-name >

Для начала редактирования нужно нажать клавишу «i».

Команды, используемы для редактирования ACL:
dd — To delete the current line
yy — To copy the current line
p — To paste the line copied
:w — To write (save) the file
:q — To quit the file if no changes were made
:q! — To forcefully quit the file without saving changes
:wq — To write and quit the file

Правильность ACL можно и нужно проверить, используя команду:

check policy < policy-name >

Если уже примененный на порту, VLAN или в протоколе маршрутизации ACL изменился, необходимо выполнить команду:

refresh policy < policy-name >

Иначе, не смотря на то, что ACL уже изменен, будет использоваться его старая версия.

Просмотр ACL:

show policy {< policy-name > | detail}

Использование ACL

Списки контроля доступа можно использовать как для фильтрации сетевого трафика так и для контроля за распространением маршрутов в сетевых протоколах (BGP, OSPF итд).

Применение ACL на порту коммутатора или на VLAN:

configure access-list [any | ports < portlist > | vlan < vlanname >] {ingress |
egress}

Отмена ACL с порта коммутатора или с VLAN:

unconfigure access-list < policy-name > {any | ports < portlist > | vlan < vlanname >}
{ingress | egress}

Использование ACLв протоколах маршрутизации:

configure bgp import-policy [< policy-name > | none]
configure rip import-policy [< policy-name > | none]

Настройка списков контроля доступа

Каждое правило имеет следующий синтаксис:

entry < ACLrulename >{
if {
match-conditions;
} then {
action;
action-modifiers;
}
}

То есть каждое правило имеет условие совпадения (match-conditions) и действие (action и action-modifiers).

Например, правило, разрешающее трафик из IP подсети 10.203.134.0/24, с UDP порта 190 на UDP порты 1200 – 1250 IP адреса 140.158.18.16:

entry udpacl {
if {
source-address 10.203.134.0/24;
destination-address 140.158.18.16/32;
protocol udp;
source-port 190;
destination-port 1200 — 1250;
} then {
permit;
}
}

В ACL можно делать description и comment:

# this line is a comment
@description «This line is a description»

Match Conditions
Основные match-conditions представлены ниже:

  • ethernet-source-address < mac-address >—Ethernet source address
  • ethernet-destination-address < mac-address > < mask >—Ethernet destination address and mask
  • source-address < prefix >—IP source address and mask
  • destination-address < prefix >—IP destination address and mask
  • source-port [< port > | < range]—TCP or UDP source port range
  • destination-port [< port > | < range >]—TCP or UDP destination port range

 

Actions
Основные действия:

  • permit—The packet is forwarded.
  • deny—The packet is dropped.


Action Modifiers
Наиболее часто применяемые Action Modifiers описаны ниже:

  • count < countername >—Increments the counter named in the action modifier
  • byte-count < byte counter name >—Increments the byte counter named in the action modifier
  • packet-count < packet counter name >—Increments the packet counter named in the action modifier
  • log—Logs the packet header
  • log-raw—Logs the packet header in hex format
  • meter < metername >—Takes action depending on the traffic rate
  • mirror—Sends a copy of the packet to the monitor (mirror) port (ingress only)
  • mirror-cpu—Mirrors a copy of the packet to the CPU in order to log it (ingress only)
  • qosprofile < qosprofilename >—Forwards the packet to the specified QoS profile
  • redirect < ipv4 addr >—Forwards the packet to the specified IPv4 address
  • redirect-port < port >—Overrides the forwarding decision and changes the egress port used. If the specified port is part of a load share group then this action will apply the load sharing algorithm.


Гораздо более подробно Match Conditions, Action и Action Modifiers описаны в главе 18 Concept Guide.

Wide Key ACLs

В коммутаторах Extreme Networksсуществует понятие Wide Key ACLs. Данная функция позволяет использовать 362 битные Match Conditions вместо стандартных 181 битных. Соответственно можно делать большие Match Conditions а так же использовать полные destination-source IPv6 Match Conditions.

Для включения или выключения Wide Key ACLs нужно выполнить команду:

configure access-list width [double | single] [slot < slotNo | all >]

Примеры списков контроля доступа

ACL, ограничивающий трафик в VLAN 100, накладывая на него meter voiceServiceMeter:
entry voiceService {
if {
vlan-id 100;
} then {
meter voiceServiceMeter;
}
}

ACL, зеркалирующий весь трафик VLAN 300:
entry voiceService {
if {
vlan-id 300;
} then {
mirror;
}
}

ACL, разрешеющий трафик на IP адрес 10.200.250.2 и запрещающий весь остальной трафик:

entry test_policy_4 {
if {
source-address 0.0.0.0/0;
destination-address 10.200.250.2/32;
} then {
permit;
count test_policy_permit;
}
}
# deny everyone else
entry test_policy_99 {
if {
} then {
deny;
count test_policy_deny;
}
}

Основные отличия от ACL в коммутаторах Cisco

Как известно, ACL в оборудовании Cisco имеют следующий вид:
access-list 2 permit 1.1.1.0 0.0.0.255
access-list 100 permit tcp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0 eq 23

ACL, использующиеся в коммутаторах Extreme отличаются от ACL в Cisco двумя моментами:
1. Синтаксис. ACL в Extreme иерархические, что с одной стороны более сложно в написании, с другой существенно расширяет возможности списков контроля доступа. Так, например, внутри ACLможно указать ключ mirror, и трафик будет зеркалироваться, или redirect, тогда трафик будет перенаправляться мехаизмами PBR (policy based routing). Внутри ACL Extreme можно применять политики QoS (ограничение полосы, перемаркировка итд.)

2. ACL в Extreme не имеют завершающего deny в конце правила. То есть, если пакет не совпал ни с одним правилом в ACL, пакет будет разрешен.
Каждый ACL, цель которого в итоге что-то запретить, должен завершаться правилом:

entry denyall {
if {
} then {
deny;
}
}

3. Списки контроля доступа в Extreme работают на аппаратном уровне, и даже такие действия как PBR и mirroring не загружают CPU коммутатора.

Настройка портов (access, trunk, hybrid)…

Итак, наша задача сегодня — научиться конфигурировать порты на коммутаторах Cisco в режимах:
  • Access (untagged пакеты )
  • Trunk (tagged пакеты)
  • Hybrid (untagged + tagged пакеты)

Логинимся на нужную Cisco и переходим в режим конфигурирования:

> enable
# config t
(config)#

Настраиваем порт на Access

(config)# interface fa 0/1
(config-if)# switchport mode access
(config-if)# switchport access vlan 20
(config-if)# end


В данном примере мы указали, что порт FastEthernet 0/1 будет работать в режиме Access и пролетающие через него пакеты будут приписаны VLAN 20.

Настраиваем порт на Trunk

(config)# interface fa 0/1
(config)# switchport trunk encapsulation dot1q
(config)# switchport mode trunk
(config)# switchport trunk allowed vlan 1,2,3,4


(Команды «switchport trunk encapsulation dot1q» может не быть на некоторых моделях коммутаторов, например, на 2950).

В данном примере мы указали, что порт FastEthernet 0/1 будет работать в режиме Trunk и принимать VLANы с номерами 1, 2, 3 и 4.

Настраиваем порт на Hybrid

Как такового режима Hybrid (как, например, на 3Com) в Cisco нет. Идет коверкание режима Trunk.

(config)#interface fa 0/1
(config-if)#switchport mode trunk
(config-if)#switchport trunk native vlan 99
(config-if)#switchport trunk allowed vlan 1, 2, 3, 4, 99
(config-if)#end


В этом примере порт FastEthernet 0/1 будет работать в Trunk режиме с возможностью принимать Access пакеты и запихивать их в 99й VLAN. Кроме того, будут приниматься и отсылаться tagged-пакеты из VLAN 1, 2, 3 и 4.

ЗЫ. Следует заметить, что у Cisco нет режима Hybrid — он все равно будет принимать untagged пакеты и присваивать их VLAN, который указан как Native. Запретить это можно только не указывая Native VLAN в списке разрешенных Allowed (срока switchport trunk allowed).

Основы компьютерных сетей. Тема №6. Понятие VLAN, Trunk и протоколы VTP и DTP — asp24.ru

Продолжаем разговор о сетях и сегодня затронем такую важную тему в мире коммутации, как VLAN. Посмотрим, что он из себя представляет и как с ним работать. А также разберем работающие с ним протоколы VTP и DTP.

В предыдущих статьях мы уже работали с многими сетевыми устройствами, поняли, чем они друг от друга отличаются и рассмотрели из чего состоят кадры, пакеты и прочие PDU. В принципе с этими знаниями можно организовать простейшую локальную сеть и работать в ней. Но мир не стоит на месте. Появляется все больше устройств, которые нагружают сеть или что еще хуже — создают угрозу в безопасности. А, как правило, «опасность» появляется раньше «безопасности». Сейчас я на самом простом примере покажу это.

Мы пока не будем затрагивать маршрутизаторы и разные подсети. Допустим все узлы находятся в одной подсети.

Сразу приведу список IP-адресов:

  1. PC1 – 192.168.1.2/24
  2. PC2 – 192.168.1.3/24
  3. PC3 – 192.168.1.4/24
  4. PC4 – 192.168.1.5/24
  5. PC5 – 192.168.1.6/24
  6. PC6 – 192.168.1.7/24

У нас 3 отдела: дирекция, бухгалтерия, отдел кадров. У каждого отдела свой коммутатор и соединены они через центральный верхний. И вот PC1 отправляет ping на компьютер PC2.

Работа сети в одном широковещательном домене

Красиво да? Мы в прошлых статьях уже не раз говорили о работе протокола ARP, но это было еще в прошлом году, поэтому вкратце объясню. Так как PC1 не знает MAC-адрес (или адрес канального уровня) PC2, то он отправляет в разведку ARP, чтобы тот ему сообщил. Он приходит на коммутатор, откуда ретранслируется на все активные порты, то есть к PC2 и на центральный коммутатор. Из центрального коммутатора вылетит на соседние коммутаторы и так далее, пока не дойдет до всех. Вот такой не маленький трафик вызвало одно ARP-сообщение. Его получили все участники сети. Большой и не нужный трафик — это первая проблема. Вторая проблема — это безопасность. Думаю, заметили, что сообщение дошло даже до бухгалтерии, компьютеры которой вообще не участвовали в этом. Любой злоумышленник, подключившись к любому из коммутаторов, будет иметь доступ ко всей сети. В принципе сети раньше так и работали. Компьютеры находились в одной канальной среде и разделялись только при помощи маршрутизаторов. Но время шло и нужно было решать эту проблему на канальном уровне. Cisco, как пионер, придумала свой протокол, который тегировал кадры и определял принадлежность к определенной канальной среде. Назывался он ISL (Inter-Switch Link). Идея эта понравилась всем и IEEE решили разработать аналогичный открытый стандарт. Стандарт получил название 802.1q. Получил он огромное распространение и Cisco решила тоже перейти на него. И вот как раз технология VLAN основывается на работе протокола 802.1q. Давайте уже начнем говорить про нее.

В 3-ей части я показал, как выглядит ethernet-кадр. Посмотрите на него и освежите в памяти. Вот так выглядит не тегированный кадр.

Теперь взглянем на тегированный.

Как видим, отличие в том, что появляется некий Тег. Это то, что нам и интересно. Копнем глубже. Состоит он из 4-х частей.

1) TPID (англ. Tag Protocol ID) или Идентификатор тегированного протокола — состоит из 2-х байт и для VLAN всегда равен 0x8100. 2) PCP (англ. Priority Code Point) или значение приоритета — состоит из 3-х бит. Используется для приоритезации трафика. Крутые и бородатые сисадмины знают, как правильно им управлять и оперирует им, когда в сети гуляет разный трафик (голос, видео, данные и т.д.) 3) CFI (англ. Canonical Format Indicator) или индикатор каноничного формата — простое поле, состоящее из одного бита. Если стоит 0, то это стандартный формат MAC-адреса. 4) VID (англ. VLAN ID) или идентификатор VLAN — состоит из 12 бит и показывает, в каком VLAN находится кадр.

Хочу заострить внимание на том, что тегирование кадров осуществляется между сетевыми устройствами (коммутаторы, маршрутизаторы и т.д.), а между конечным узлом (компьютер, ноутбук) и сетевым устройством кадры не тегируются. Поэтому порт сетевого устройства может находиться в 2-х состояниях: access или trunk.

  • Access port или порт доступа — порт, находящийся в определенном VLAN и передающий не тегированные кадры. Как правило, это порт, смотрящий на пользовательское устройство.
  • Trunk port или магистральный порт — порт, передающий тегированный трафик. Как правило, этот порт поднимается между сетевыми устройствами.

Сейчас я покажу это на практике. Открываю ту же лабу. Картинку повторять не буду, а сразу открою коммутатор и посмотрю, что у него с VLAN. Набираю команду show vlan.

Выстраиваются несколько таблиц. Нам по сути важна только самая первая. Теперь покажу как ее читать.

1 столбец — это номер VLAN. Здесь изначально присутствует номер 1 — это стандартный VLAN, который изначально есть на каждом коммутаторе. Он выполняет еще одну функцию, о которой чуть ниже напишу. Также присутствуют зарезервированные с 1002-1005. Это для других канальных сред, которые вряд ли сейчас используются. Удалить их тоже нельзя.

Switch(config)#no vlan 1005
Default VLAN 1005 may not be deleted.

При удалении Cisco выводит сообщение, что этот VLAN удалить нельзя. Поэтому живем и эти 4 VLANа не трогаем.

2 столбец — это имя VLAN. При создании VLAN, вы можете на свое усмотрение придумывать им осмысленные имена, чтобы потом их идентифицировать. Тут уже есть default, fddi-default, token-ring-default, fddinet-default, trnet-default.

3 столбец — статус. Здесь показывается в каком состоянии находится VLAN. На данный момент VLAN 1 или default в состоянии active, а 4 следующих act/unsup (хоть и активные, но не поддерживаются).

4 столбец — порты. Здесь показано к каким VLAN-ам принадлежат порты. Сейчас, когда мы еще ничего не трогали, они находятся в default.

Приступаем к настройке коммутаторов. Правилом хорошего тона будет дать коммутаторам осмысленные имена. Чем и займемся. Привожу команду.

	
		Switch(config) #hostname CentrSW
		CentrSW(config) #
	

Остальные настраиваются аналогично, поэтому покажу обновленную схему топологии.


Начнем настройку с коммутатора SW1. Для начала создадим VLAN на коммутаторе.

SW1(config)#vlan 2 -  создаем VLAN 2 (VLAN 1 по умолчанию зарезервирован, поэтому берем следующий).
SW1(config-vlan)#name Dir-ya - попадаем в настройки VLAN и задаем ему имя.

VLAN создан. Теперь переходим к портам. Интерфейс FastEthernet0/1 смотрит на PC1, а FastEthernet0/2 на PC2. Как говорилось ранее, кадры между ними должны передаваться не тегированными, поэтому переведем их в состояние Access.

SW1(config)#interface fastEthernet 0/1 - переходим к настройке 1-ого порта.
SW1(config-if)#switchport mode access - переводим порт в режим access.
SW1(config-if)#switchport access vlan 2 - закрепляем за портом 2-ой VLAN.
SW1(config)#interface fastEthernet 0/2 - переходим к настройке 2-ого порта.
SW1(config-if)#switchport mode access - переводим порт в режим access.
SW1(config-if)#switchport access vlan 2 - закрепляем за портом 2-ой VLAN.

Так как оба порта закрепляются под одинаковым VLAN-ом, то их еще можно было настроить группой.

SW1(config)#interface range fastEthernet 0/1-2 - то есть выбираем пул и далее настройка аналогичная.
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 2

Настроили access порты. Теперь настроим trunk между SW1 и CentrSW.

SW1(config)
SW1(config-if)
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up

Сразу видим, что порт перенастроился. В принципе для работы этого достаточно. Но с точки зрения безопасности разрешать для передачи

SW1(config-if)#switchport trunk allowed vlan 2 - разрешаем передавать только 2-ой VLAN.

Без этой команды передаваться будут все имеющиеся VLAN. Посмотрим, как изменилась таблица командой show vlan.


Появился 2-ой VLAN с именем Dir-ya и видим принадлежащие ему порты fa0/1 и fa0/2.

Чтобы вывести только верхнюю таблицу, можно воспользоваться командой show vlan brief.


Можно еще укоротить вывод, если указать определенный ID VLANа.


Или его имя.


Вся информациях о VLAN хранится в flash памяти в файле vlan.dat.


Как вы заметили, ни в одной из команд, нет информации о trunk. Ее можно посмотреть другой командой show interfaces trunk.


Здесь есть информация и о trunk портах, и о том какие VLAN они передают. Еще тут есть столбец Native vlan. Это как раз тот трафик, который не должен тегироваться. Если на коммутатор приходит не тегированный кадр, то он автоматически причисляется к Native Vlan (по умолчанию и в нашем случае это VLAN 1). Native VLAN можно, а многие говорят, что нужно менять в целях безопасности. Для этого в режиме настройки транкового порта нужно применить команду — switchport trunk native vlan X, где X — номер присваиваемого VLAN. В этой топологии мы менять не будем, но знать, как это делать полезно.

Осталось настроить остальные устройства.

CentrSW:
Центральный коммутатор является связующим звеном, а значит он должен знать обо всех VLAN-ах. Поэтому сначала создаем их, а потом переводим все интерфейсы в транковый режим.

CentrSW(config)#vlan 2
CentrSW(config-vlan)# name Dir-ya
CentrSW(config)#vlan 3
CentrSW(config-vlan)# name buhgalter
CentrSW(config)#vlan 4
CentrSW(config-vlan)# name otdel-kadrov
CentrSW(config)#interface range fastEthernet 0/1-3
CentrSW(config-if-range)#switchport mode trunk

Не забываем сохранять конфиг. Команда copy running-config startup-config.

SW2:

SW2(config)#vlan 3
SW2(config-vlan)#name buhgalter
SW2(config)#interface range fastEthernet 0/1-2 
SW2(config-if-range)#switchport mode access
SW2(config-if-range)#switchport access vlan 3
SW2(config)#interface fastEthernet 0/24
SW2(config-if)#switchport mode trunk
SW2(config-if)#switchport trunk allowed vlan 3

SW3:

SW3(config)#vlan 4
SW3(config-vlan)#name otdel kadrov
SW3(config)#interface range fastEthernet 0/1-2 
SW3(config-if-range)#switchport mode access
SW3(config-if-range)#switchport access vlan 4
SW3(config)#interface fastEthernet 0/24
SW3(config-if)#switchport mode trunk
SW3(config-if)#switchport trunk allowed vlan 4

Обратите внимание на то, что мы подняли и настроили VLAN, но адресацию узлов оставили такой же. То есть, фактически все узлы в одной подсети, но разделены VLAN-ами. Так делать нельзя. Каждому VLAN надо выделять отдельную подсеть. Я это сделал исключительно в учебных целях. Если бы каждый отдел сидел в своей подсети, то они бы априори были ограничены, так как коммутатор не умеет маршрутизировать трафик из одной подсети в другую (плюс это уже ограничение на сетевом уровне). А нам нужно ограничить отделы на канальном уровне. Снова отправляю ping с PC1 к PC3.


Идет в ход ARP, который нам и нужен сейчас. Откроем его.


Пока что ничего нового. ARP инкапсулирован в ethernet.


Кадр прилетает на коммутатор и тегируется. Теперь там не обычный ethernet, а 802.1q. Добавились поля, о которых я писал ранее. Это TPID, который равен 8100 и показывающий, что это 802.1q. И TCI, которое объединяет 3 поля PCP, CFI и VID. Число, которое в этом поле — это номер VLAN. Двигаемся дальше.


После тега он отправляет кадр на PC2 (т.к. он в том же VLAN) и на центральный коммутатор по транковому порту.


Так как жестко не было прописано какие типы VLAN пропускать по каким портам, то он отправит на оба коммутатора. И вот здесь коммутаторы, увидев номер VLAN, понимают, что устройств с таким VLAN-ом у них нет и смело его отбрасывают.


PC1 ожидает ответ, который так и не приходит. Можно под спойлером посмотреть в виде анимации.

Теперь следующая ситуация. В состав дирекции нанимают еще одного человека, но в кабинете дирекции нет места и на время просят разместить человека в отделе бухгалтерии. Решаем эту проблему.


Подключили компьютер к порту FastEthernet 0/3 коммутатора и присвою IP-адрес 192.168.1.8/24. Теперь настрою коммутатор SW2. Так как компьютер должен находиться во 2-ом VLAN, о котором коммутатор не знает, то создам его на коммутаторе.

SW2(config)#vlan 2
SW2(config-vlan)#name Dir-ya

Дальше настраиваем порт FastEthernet 0/3, который смотрит на PC7.

SW2(config)#interface fastEthernet 0/3
SW2(config-if)#switchport mode access 
SW2(config-if)#switchport access vlan 2

И последнее — настроить транковый порт.

SW2(config)#interface fastEthernet 0/24
SW2(config-if)#switchport trunk allowed vlan add 2 - обратите внимание на эту команду. 
А именно на ключевое слово "add". Если не дописать это слово, то вы сотрете все остальные разрешенные к передаче VLAN на этом порту. 
Поэтому если у вас уже был поднят транк на порту и передавались другие VLAN, то добавлять надо именно так.

Чтобы кадры ходили красиво, подкорректирую центральный коммутатор CentrSW.

CentrSW(config)#interface fastEthernet 0/1
CentrSW(config-if)#switchport trunk allowed vlan 2
CentrSW(config)#interface fastEthernet 0/2
CentrSW(config-if)#switchport trunk allowed vlan 2,3
CentrSW(config)#interface fastEthernet 0/3
CentrSW(config-if)#switchport trunk allowed vlan 4

Время проверки. Отправляю ping с PC1 на PC7.


Пока что весь путь аналогичен предыдущему. Но вот с этого момента (с картинки ниже) центральный коммутатор примет другое решение. Он получает кадр и видит, что тот протегирован 2-ым VLAN-ом. Значит отправлять его надо только туда, где это разрешено, то есть на порт fa0/2.


И вот он приходит на SW2. Открываем и видим, что он еще тегированный. Но следующим узлом стоит компьютер и тег надо снимать. Нажимаем на «Outbound PDU Details», чтобы посмотреть в каком виде кадр вылетит из коммутатора.


И действительно. Коммутатор отправит кадр в «чистом» виде, то есть без тегов.


Доходит ARP до PC7. Открываем его и убеждаемся, что кадр не тегированный PC7 узнал себя и отправляет ответ.


Открываем кадр на коммутаторе и видим, что на отправку он уйдет тегированным. Дальше кадр будет путешествовать тем же путем, что и пришел.


ARP доходит до PC1, о чем свидетельствует галочка на конверте. Теперь ему известен MAC-адрес и он пускает в ход ICMP.


Открываем пакет на коммутаторе и наблюдаем такую же картину. На канальном уровне кадр тегируется коммутатором. Так будет с каждым сообщением.


Видим, что пакет успешно доходит до PC7. Обратный путь я показывать не буду, так как он аналогичен. Если кому интересно, можно весь путь увидеть на анимации под спойлером ниже. А если охота самому поковырять эту топологию, прикладываю ссылку на лабораторку.

Вот в принципе самое популярное применение VLAN-ов. Независимо от физического расположения, можно логически объединять узлы в группы, там самым изолируя их от других. Очень удобно, когда сотрудники физически работают в разных местах, но должны быть объединены. И конечно с точки зрения безопасности VLAN не заменимы. Главное, чтобы к сетевым устройствам имели доступ ограниченный круг лиц, но это уже отдельная тема.
Добились ограничения на канальном уровне. Трафик теперь не гуляет где попало, а ходит строго по назначению. Но теперь встает вопрос в том, что отделам между собой нужно общаться. А так как они в разных канальных средах, то в дело вступает маршрутизация. Но перед началом, приведем топологию в порядок. Самое первое к чему приложим руку — это адресация узлов. Повторюсь, что каждый отдел должен находиться в своей подсети. Итого получаем:

  • Дирекция — 192.168.1.0/24
  • Бухгалтерия — 192.168.2.0/24
  • Отдел кадров — 192.168.3.0/24

Раз подсети определены, то сразу адресуем узлы.

  1. PC1:
    IP: 192.168.1.2
    Маска: 255.255.255.0 или /24
    Шлюз: 192.168.1.1
  2. PC2:
    IP: 192.168.1.3
    Маска: 255.255.255.0 или /24
    Шлюз: 192.168.1.1
  3. PC3:
    IP: 192.168.2.2
    Маска: 255.255.255.0 или /24
    Шлюз: 192.168.2.1
  4. PC4:
    IP: 192.168.2.3
    Маска: 255.255.255.0 или /24
    Шлюз: 192.168.2.1
  5. PC5:
    IP: 192.168.3.2
    Маска: 255.255.255.0 или /24
    Шлюз: 192.168.3.1
  6. PC6:
    IP: 192.168.3.3
    Маска: 255.255.255.0 или /24
    Шлюз: 192.168.3.1
  7. PC7:
    IP: 192.168.1.4
    Маска: 255.255.255.0 или /24
    Шлюз: 192.168.1.1

Теперь про изменения в топологии. Видим, что добавился маршрутизатор. Он как раз и будет перекидывать трафик с одного VLAN на другой (иными словами маршрутизировать). Изначально соединения между ним и коммутатором нет, так как интерфейсы выключены. У узлов добавился такой параметр, как адрес шлюза. Этот адрес они используют, когда надо отправить сообщение узлу, находящемуся в другой подсети. Соответственно у каждой подсети свой шлюз.

Осталось настроить маршрутизатор, и я открываю его CLI. По традиции дам осмысленное имя.

Router(config)#hostname Gateway
Gateway(config)#

Далее переходим к настройке интерфейсов.

Gateway(config)
Gateway(config-if)
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Теперь внимание! Мы включили интерфейс, но не повесили на него IP-адрес. Дело в том, что от физического интерфейса (fastethernet 0/0) нужен только линк или канал. Роль шлюзов будут выполнять виртуальные интерфейсы или сабинтерфейсы (англ. subinterface). На данный момент 3 типа VLAN. Значит и сабинтерфейсов будет 3. Приступаем к настройке.

Gateway(config)#interface fastEthernet 0/0.2
Gateway(config-if)#encapsulation dot1Q 2
Gateway(config-if)#ip address 192.168.1.1 255.255.255.0
Gateway(config)#interface fastEthernet 0/0.3
Gateway(config-if)#encapsulation dot1Q 3
Gateway(config-if)#ip address 192.168.2.1 255.255.255.0
Gateway(config)#interface fastEthernet 0/0.4
Gateway(config-if)#encapsulation dot1Q 4
Gateway(config-if)#ip address 192.168.3.1 255.255.255.0

Маршрутизатор настроен. Переходим к центральному коммутатору и настроим на нем транковый порт, чтобы он пропускал тегированные кадры на маршрутизатор.

CentrSW(config)#interface fastEthernet 0/24
CentrSW(config-if)#switchport mode trunk
CentrSW(config-if)#switchport trunk allowed vlan 2,3,4

Конфигурация закончена и переходим к практике. Отправляю ping с PC1 на PC6 (то есть на 192.168.3.3).

PC1 понятия не имеет, кто такой PC6 или 192.168.3.3, но знает, что они находятся в разных подсетях (как он это понимает описано в предыдущей статье). Поэтому он отправит сообщение через основной шлюз, адрес которого указан в его настройках. И хоть PC1 знает IP-адрес основного шлюза, для полного счастья не хватает MAC-адреса. И он пускает в ход ARP.

Обратите внимание. Как только кадр прибывает на CentrSW, коммутатор не рассылает его кому попало. Он рассылает только на те порты, где разрешен пропуск 2-го VLAN. То есть на маршрутизатор и на SW2 (там есть пользователь, сидящий во 2-ом VLAN).

Маршрутизатор узнает себя и отправляет ответ (показан стрелочкой). И обратите внимание на нижний кадр. Когда SW2 получил ARP от центрального коммутатора, он аналогично не стал рассылать его на все компьютеры, а отправил только PC7, который сидит во 2-ом VLAN. Но PC7 его отбрасывает, так как он не для него. Смотрим дальше.

ARP дошел до PC1. Теперь ему все известно и можно отправлять ICMP. Еще раз обращу внимание на то, что в качестве MAC-адреса назначения (канальный уровень), будет адрес маршрутизатора, а в качестве IP-адреса назначения (сетевой уровень), адрес PC6.

Доходит ICMP до маршрутизатора. Он смотрит в свою таблицу и понимает, что не знает никого под адресом 192.168.3.3. Отбрасывает прибывший ICMP и пускает разведать ARP.

PC6 узнает себя и отправляет ответ.

Доходит до маршрутизатора ответ и он добавляет запись в своей таблице. Посмотреть таблицу ARP можно командой show arp.

Двигаемся дальше. PC1 недоволен, что ему никто не отвечает и отправляет следующее ICMP-сообщение.

На этот раз ICMP доходит без проблем. Обратно он проследует тем же маршрутом. Я лишь покажу конечный результат.

Первый пакет затерялся (в результате работы ARP), а второй дошел без проблем.
Кому интересно увидеть в анимации, добро пожаловать под спойлер

Итак. Мы добились того, что если узлы находятся в одной подсети и в одном VLAN, то ходить они будут напрямую через коммутаторы. В случае, когда нужно передать сообщение в другую подсеть и VLAN, то передавать будут через роутер Gateway, который осуществляет «межвлановую» маршрутизацию. Данная топология получила название «router on a stick» или «роутер на палочке». Как вы поняли она очень удобна. Мы создали 3 виртуальных интерфейса и по одному проводу гоняли разные тегированные кадры. Без использования сабинтерфейсов и VLAN-ов, пришлось бы для каждой подсети задействовать отдельный физический интерфейс, что совсем не выгодно.

Кстати очень хорошо этот вопрос разобран в этом видео (видео идет около 3-х часов, поэтому ссылка с привязкой именно к тому моменту времени). Если после прочтения и просмотра видео захочется добить все собственными руками, прикладываю ссылку на скачивание.

Разобрались с VLAN-ами и переходим к одному из протоколов, работающего с ним. DTP (англ. Dynamic Trunking Protocol) или на русском динамический транковый протокол — проприетарный протокол компании Cisco, служащий для реализации trunk режима между коммутаторами. Хотя в зависимости от состояния, они могут согласоваться и в режим access.

В DTP есть 4 режима: Dynamic auto, Dynamic desirable, Trunk, Access. Рассмотрим как они согласуются.

РежимыDynamic autoDynamic desirableTrunkAccess
Dynamic auto Access Trunk Trunk Access
Dynamic desirable Trunk Trunk Trunk Access
Trunk Trunk Trunk Trunk Отсутствие соединения
Access Access Access Отсутствие соединения Access

То есть левая колонка это 1-ое устройство, а верхняя строка 2-ое устройство. По-умолчанию коммутаторы находятся в режиме «dynamic auto». Если посмотреть таблицу сопоставления, то два коммутатора в режиме «dynamic auto» согласуются в режим «access». Давайте это и проверим. Создаю я новую лабораторную работу и добавлю 2 коммутатора.

Соединять их пока не буду. Мне надо убедиться, что оба коммутатора в режиме «dynamic auto». Проверять буду командой show interfaces switchport.

Результат этой команды очень большой, поэтому я его обрезал и выделил интересующие пункты. Начнем с Administrative Mode. Эта строка показывает, в каком из 4-режимов работает данный порт на коммутаторе. Убеждаемся, что на обоих коммутаторах порты в режиме «Dynamic auto». А строка Operational Mode показывает, в каком режиме работы они согласовали работу. Мы пока их не соединяли, поэтому они в состоянии «down».

Сразу дам вам хороший совет. При тестировании какого либо протокола, пользуйтесь фильтрами. Отключайте показ работы всех ненужных вам протоколов.

Перевожу CPT в режим simulation и отфильтрую все протоколы, кроме DTP.

Думаю здесь все понятно. Соединяю коммутаторы кабелем и, при поднятии линков, один из коммутаторов генерирует DTP-сообщение.

Открываю и вижу, что это DTP инкапсулированный в Ethernet-кадр. Отправляет он его на мультикастовый адрес «0100.0ccc.cccc», который относится к протоколам DTP, VTP, CDP.
И обращу внимание на 2 поля в заголовке DTP.

1) DTP Type — сюда отправляющий вставляет предложение. То есть в какой режим он хочет согласоваться. В нашем случае он предлагает согласовать «access».
2) Neighbor MAC-address — в это поле он записывает MAC-адрес своего порта.

Отправляет он и ждет реакции от соседа.

Доходит до SW1 сообщение и он генерирует ответный. Где также согласует режим «access», вставляет свой MAC-адрес и отправляет в путь до SW2.

Успешно доходит DTP. По идее они должны были согласоваться в режиме «access». Проверю.

Как и предполагалось, согласовались они в режим «access».
Кто то говорит, что технология удобная и пользуется ею. Но я крайне не рекомендую использовать этот протокол в своей сети. Рекомендую это не только я, и сейчас объясню почему. Смысл в том, что этот протокол открывает большую дыру в безопасности. Я открою лабораторку, в которой разбиралась работа «Router on a stick» и добавлю туда еще один коммутатор.

Теперь зайду в настройки нового коммутатора и жестко пропишу на порту работу в режиме trunk.

New_SW(config)#interface fastEthernet 0/1
New_SW(config-if)#switchport mode trunk

Соединяю их и смотрю, как они согласовались.

Все верно. Режимы «dynamic auto» и «trunk» согласуются в режим trunk. Теперь ждем, когда кто- то начнет проявлять активность. Допустим PC1 решил кому то отправить сообщение. Формирует ARP и выпускает в сеть.

Пропустим его путь до того момента, когда он попадет на SW2.

И вот самое интересное.

Он отправляет его на вновь подключенный коммутатор. Объясняю, что произошло. Как только мы согласовали с ним trunk, он начинает отправлять ему все пришедшие кадры. Хоть на схеме и показано, что коммутатор отбрасывает кадры, это ничего не значит. К коммутатору или вместо коммутатора можно подключить любое перехватывающее устройство (sniffer) и спокойно просматривать, что творится в сети. Вроде перехватил он безобидный ARP. Но если взглянуть глубже, то можно увидеть, что уже известен MAC-адрес «0000.0C1C.05DD» и IP-адрес «192.168.1.2». То есть PC1 не думая выдал себя. Теперь злоумышленник знает о таком компьютере. Вдобавок он знает, что он сидит во 2-ом VLAN. Дальше он может натворить многого. Самое банальное — это подменить свой MAC-адрес, IP-адрес, согласоваться быстро в Access и и выдавать себя за PC1. Но самое интересное. Ведь сразу можно этого не понять. Обычно, когда мы прописываем режим работы порта, он сразу отображается в конфигурации. Ввожу show running-config .

Но здесь настройки порта пустые. Ввожу show interfaces switchport и проматываю до fa0/4.

А вот здесь видим, что согласован trunk. Не всегда show running-config дает исчерпывающую информацию. Поэтому запоминайте и другие команды.

Думаю понятно почему нельзя доверять этому протоколу. Он вроде облегчает жизнь, но в то же время может создать огромную проблему. Поэтому полагайтесь на ручной метод. При настройке сразу же обозначьте себе какие порты будут работать в режиме trunk, а какие в access. И самое главное — всегда отключайте согласование. Чтобы коммутаторы не пытались ни с кем согласоваться. Делается это командой «switchport nonegotiate».

Переходим к следующему протоколу.

VTP (англ. VLAN Trunking Protocol) — проприетарный протокол компании Cisco, служащий для обмена информацией о VLAN-ах.

Представьте ситуацию, что у вас 40 коммутаторов и 70 VLAN-ов. По хорошему нужно вручную на каждом коммутаторе их создать и прописать на каких trunk-ых портах разрешать передачу. Дело это муторное и долгое. Поэтому эту задачу может взвалить на себя VTP. Вы создаете VLAN на одном коммутаторе, а все остальные синхронизируются с его базой. Взгляните на следующую топологию.

Здесь присутствуют 4 коммутатора. Один из них является VTP-сервером, а 3 остальных клиентами. Те VLAN, которые будут созданы на сервере, автоматически синхронизируются на клиентах. Объясню как работает VTP и что он умеет.

Итак. VTP может создавать, изменять и удалять VLAN. Каждое такое действие влечет к тому, что увеличивается номер ревизии (каждое действие увеличивает номер на +1). После он рассылает объявления, где указан номер ревизии. Клиенты, получившие это объявление, сравнивают свой номер ревизии с пришедшим. И если пришедший номер выше, они синхронизируют свою базу с ней. В противном случае объявление игнорируется.

Но это еще не все. У VTP есть роли. По-умолчанию все коммутаторы работают в роли сервера. Расскажу про них.

  1. VTP Server. Умеет все. То есть создает, изменяет, удаляет VLAN. Если получает объявление, в которых ревизия старше его, то синхронизируется. Постоянно рассылает объявления и ретранслирует от соседей.
  2. VTP Client — Эта роль уже ограничена. Создавать, изменять и удалять VLAN нельзя. Все VLAN получает и синхронизирует от сервера. Периодически сообщает соседям о своей базе VLAN-ов.
  3. VTP Transparent — эта такая независимая роль. Может создавать, изменять и удалять VLAN только в своей базе. Никому ничего не навязывает и ни от кого не принимает. Если получает какое то объявление, передает дальше, но со своей базой не синхронизирует. Если в предыдущих ролях, при каждом изменении увеличивался номер ревизии, то в этом режиме номер ревизии всегда равен 0.

Это все, что касается VTP версии 2. В VTP 3-ей версии добавилась еще одна роль — VTP Off. Он не передает никакие объявления. В остальном работа аналогична режиму Transparent.

Начитались теории и переходим к практике. Проверим, что центральный коммутатор в режиме Server. Вводим команду show vtp status.

Видим, что VTP Operating Mode: Server. Также можно заметить, что версия VTP 2-ая. К сожалению, в CPT 3-ья версия не поддерживается. Версия ревизии нулевая.
Теперь настроим нижние коммутаторы.

SW1(config)#vtp mode client 
Setting device to VTP CLIENT mode.

Видим сообщение, что устройство перешло в клиентский режим. Остальные настраиваются точно также.

Чтобы устройства смогли обмениваться объявлениями, они должны находиться в одном домене. Причем тут есть особенность. Если устройство (в режиме Server или Client) не состоит ни в одном домене, то при первом полученном объявлении, перейдет в объявленный домен. Если же клиент состоит в каком то домене, то принимать объявления от других доменов не будет. Откроем SW1 и убедимся, что он не состоит ни в одном домене.

Убеждаемся, что тут пусто.

Теперь переходим центральному коммутатору и переведем его в домен.

CentrSW(config)#vtp domain cisadmin.ru
Changing VTP domain name from NULL to cisadmin.ru

Видим сообщение, что он перевелся в домен cisadmin.ru. Проверим статус.

И действительно. Имя домена изменилось. Обратите внимание, что номер ревизии пока что нулевой. Он изменится, как только мы создадим на нем VLAN. Но перед созданием надо перевести симулятор в режим simulation, чтобы посмотреть как он сгенерирует объявления. Создаем 20-ый VLAN и видим следующую картинку.

Как только создан VLAN и увеличился номер ревизии, сервер генерирует объявления. У него их два. Сначала откроем тот, что левее. Это объявление называется «Summary Advertisement» или на русском «сводное объявление». Это объявление генерируется коммутатором раз в 5 минут, где он рассказывает о имени домена и текущей ревизии. Смотрим как выглядит.

В Ethernet-кадре обратите внимание на Destination MAC-адрес. Он такой же, как и выше, когда генерировался DTP. То есть, в нашем случае на него отреагируют только те, у кого запущен VTP. Теперь посмотрим на следующее поле.

Здесь как раз вся информация. Пройдусь по самым важным полям.

  • Management Domain Name — имя самого домена (в данном случае cisadmin.ru).
  • Updater Identity — идентификатор того, кто обновляет. Здесь, как правило, записывается IP-адрес. Но так как адрес коммутатору не присваивали, то поле пустое
  • Update Timestamp — время обновления. Время на коммутаторе не менялось, поэтому там стоит заводское.
  • MD5 Digest — хеш MD5. Оно используется для проверки полномочий. То есть, если на VTP стоит пароль. Мы пароль не меняли, поэтому хэш по-умолчанию.

Теперь посмотрим на следующее генерируемое сообщение (то, что справа). Оно называется «Subset Advertisement» или «подробное объявление». Это такая подробная информация о каждом передаваемом VLAN.

Думаю здесь понятно. Отдельный заголовок для каждого типа VLAN. Список настолько длинный, что не поместился в экран. Но они точно такие, за исключением названий. Заморачивать голову, что означает каждый код не буду. Да и в CPT они тут больше условность.
Смотрим, что происходит дальше.

Получают клиенты объявления. Видят, что номер ревизии выше, чем у них и синхронизируют базу. И отправляют сообщение серверу о том, что база VLAN-ов изменилась.

Вот так в принципе работает протокол VTP. Но у него есть очень большие минусы. И минусы эти в плане безопасности. Объясню на примере этой же лабораторки. У нас есть центральный коммутатор, на котором создаются VLAN, а потом по мультикасту он их синхронизирует со всеми коммутаторами. В нашем случае он рассказывает про VLAN 20. Предлагаю еще раз глянуть на его конфигурацию.

И тут в сеть мы добавляем новый коммутатор. У него нет новых VLAN-ов, кроме стандартных и он не состоит ни в одном VTP-домене, но подкручен номер ревизии.

И перед тем как его воткнуть в сеть, переводим порт в режим trunk.

Теперь переключаю CPT в «Simulation Mode» и отфильтровываю все, кроме VTP. Подключаюсь и смотрю, что происходит.

Через какое то время до NewSW доходит VTP сообщение, откуда он узнает, что в сети есть VTP-домен «cisadmin.ru». Так как он не состоял до этого в другом домене, он автоматически в него переходит. Проверим.

Теперь он в том же домене, но с номером ревизии выше. Он формирует VTP-сообщение, где рассказывает об этом.

Первым под раздачу попадет SW1.

Заметьте, что на SW1 приходят сразу 2 VTP-сообщения (от NewSW и от CentrSW). В сообщении от NewSW он видит, что номер ревизии выше, чем его и синхронизирует свою базу. А вот сообщение от CentrSW для него уже устарело, и он отбрасывает его. Проверим, что изменилось на SW1.

Обновился номер ревизии и, что самое интересное, база VLAN. Теперь она пустая. Смотрим дальше.

Обратите внимание. До сервера доходит VTP-сообщение, где номер ревизии выше, чем у него. Он понимает, что сеть изменилась и надо под нее подстроиться. Проверим конфигурацию.

Конфигурация центрального сервера изменилась и теперь он будет вещать именно ее. А теперь представьте, что у нас не один VLAN, а сотни. Вот таким простым способом можно положить сеть. Конечно домен может быть запаролен и злоумышленнику будет тяжелее нанести вред. А представьте ситуацию, что у вас сломался коммутатор и срочно надо его заменить. Вы или ваш коллега бежите на склад за старым коммутатором и забываете проверить номер ревизии. Он оказывается выше чем у остальных. Что произойдет дальше, вы уже видели. Поэтому я рекомендую не использовать этот протокол. Особенно в больших корпоративных сетях. Если используете VTP 3-ей версии, то смело переводите коммутаторы в режим «Off». Если же используется 2-ая версия, то переводите в режим «Transparent».

Кому интересно посмотреть это в виде анимации, открывайте спойлер.

Для желающих поработать с этой лабораторкой, прикладываю ссылку.

Ну вот статья про VLAN подошла к концу. Если остались какие то вопросы, смело задавайте. Спасибо за прочтение.

Содержание

Автор

addsharming — VLAN

Настройка VLAN на коммутаторах Cisco под управлением IOS

Основная страница: VLAN в Cisco

Терминология Cisco:

    • access port — порт принадлежащий одному VLAN’у и передающий нетегированный трафик
    • trunk port — порт передающий тегированный трафик одного или нескольких VLAN’ов

Коммутаторы Cisco ранее поддерживали два протокола 802.1Q и ISL. ISL — проприетарный протокол использующийся в оборудовании Cisco. ISL полностью инкапсулирует фрейм для передачи информации о принадлежности к VLAN’у.

В современных моделях коммутаторов Cisco ISL не поддерживается.

Создание VLAN’а и задание имени:

sw1(config)# vlan 2 sw1(config-vlan)# name test

Назначение порта коммутатора в VLAN:

sw1(config)# interface fa0/1 sw1(config-if)# switchport mode access sw1(config-if)# switchport access vlan 2

Назначение диапазона портов c fa0/4 до fa0/5 в vlan 10:

sw1(config)# interface range fa0/4 — 5 sw1(config-if-range)# switchport mode access sw1(config-if-range)# switchport access vlan 10

Просмотр информации о VLAN’ах:

switch# show vlan brief VLAN Name Status Ports —- ——————————— ——— ——————————- 1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 2 test active Fa0/1, Fa0/2 10 VLAN0010 active Fa0/4, Fa0/5 15 VLAN0015 active Fa0/3

Создание статического транка:

sw1(config)# interface fa0/22 sw1(config-if)# switchport trunk encapsulation dot1q (нужна не во всех коммутаторах) sw1(config-if)# switchport mode trunk

В стандарте 802.1Q существует понятие native VLAN. Трафик этого VLAN передается нетегированным. по умолчанию это VLAN 1. Однако можно изменить это и указать другой VLAN как native.

Настройка VLAN 5 как native:

sw1(config-if)# switchport trunk native vlan 5

Теперь весь трафик принадлежащий VLAN’у 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN’у 5 (по умолчанию VLAN 1).

Просмотр информации о транке:

sw1# show interface fa0/22 trunk

или

sw1# show interface fa0/22 switchport

Конфигурация sw1:

! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk !

Динамическое создание транков (DTP)

Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.

Режимы DTP на интерфейсе:

    • auto — Режим по умолчанию. Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.
    • desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
    • on — Порт постоянно находится в состоянии trunk, даже если порт на другом конце не поддерживает этот режим.
    • off — Порт не поддерживает состояние trunk, даже если порт на другом конце его поддерживает.
    • nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.

Проверить текущий режим DTP:

sw# show dtp interface

Настройка маршрутизации между VLAN

Все настройки по назначению портов в VLAN, сделанные ранее для sw1, сохраняются. Дальнейшие настройки подразумевают использование коммутатора 3 уровня.

При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети.

Включение маршрутизации на коммутаторе:

sw1(config)#ip routing

Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в VLAN 2:

sw1(config)#interface Vlan2 sw1(config-if)#ip address 10.0.2.1 255.255.255.0 sw1(config-if)#no shutdown

Задание адреса в VLAN 10:

sw1(config)#interface Vlan10 sw1(config-if)#ip address 10.0.10.1 255.255.255.0 sw1(config-if)#no shutdown

Интерфейс fa0/10 соединен с маршрутизатором, который является маршрутизатором по умолчанию для сети. Трафик не предназначенный сетям VLAN’ов будет маршрутизироваться на R1.

Перевод fa0/10 в режим интерфейса 3 уровня и задание адреса:

sw1(config)#interface FastEthernet 0/10 sw1(config-if)#no switchport sw1(config-if)#ip address 192.168.1.2 255.255.255.0 sw1(config-if)#no shutdown

Конфигурация sw1:

! ip routing ! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! ! interface FastEthernet0/10 no switchport ip address 192.168.1.2 255.255.255.0 ! ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk ! ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip address 10.0.2.1 255.255.255.0 ! interface Vlan10 ip address 10.0.10.1 255.255.255.0 ! interface Vlan15 ip address 10.0.15.1 255.255.255.0 ! ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 !

тут надо уточнить, что сам маршрут прописывается как раз последней строкой

ip route 0.0.0.0 0.0.0.0 192.168.1.1

здесь — все запросы на все адреса направляются по адресу 192.168.1.1

Диапазоны VLAN

VLANs | Диапазон | Использование | Передаётся VTP ———+———-+—————————————————————+——————— 0, 4095 | Reserved | Только для системного использования. | — 1 | Normal | VLAN по умолчанию. Можно использовать, но нельзя удалить. | Да 2-1001 | Normal | Для VLANов Ethernet. Можно создавать, удалять и использовать. | Да 1002-1005| Normal | Для FDDI и Token Ring. Нельзя удалить. | Да 1006-4094| Extended | Только для VLANов Ethernet. | Версия 1 и 2 нет, версия 3 да

(написать подробнее про политику выделения внутренних VLANов)

Политика выделения VLANов (VLAN allocation policy) настраивается с помощью команды vlan internal allocation policy{ascending|descending}.

В режиме ascending используются номера, начиная с 1006 и выше. В режиме descending, начиная с 4094 и ниже.

Router# configure terminal Router(config)# vlan internal allocation policy descending

Подробнее:

Настройка vlan и hybrid, trunk, access интерфейсов на коммутаторах Huawei S2300, S5300

Рассмотрим основные команды для настройки vlan, особенности конфигурирования интерфейсов в разных режимах работы — access, trunk и hybrid на коммутаторах серии huawei quidway S2300 и S5300.

Создание и удаление vlan на коммутаторах huawei

Создание vlan на коммутаторах huawei

[huawei] vlan {vlan-id}

Пример:

system-view
[huawei] vlan 150
[huawei-vlan150] quit
[huawei]

Удаление vlan на коммутаторах huawei

[huawei] undo vlan {vlan-id}

Настройка портов коммутаторов huawei в режиме access, trunk и hybrid

Настройка портов коммутаторов huawei в режиме acess port

В режиме конфигурирования интерфейса задем тип — access.

[huawei-GigabitEthernet0/0/1] port link-type access

Задаем номер vlan, по умолчанию на порту используется vlan-id = 1.

[huawei-GigabitEthernet0/0/1] port default vlan {vlan-id}

Пример:

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type access
[huawei-GigabitEthernet0/0/1] port default vlan 150
[huawei-GigabitEthernet0/0/1] quit

Настройка портов коммутаторов huawei в режиме trunk port

В режиме конфигурирования интерфейса задем тип — trunk.

[huawei-GigabitEthernet0/0/1] port link-type trunk

Добавляем номера vlan в trunk через пробел или диапазон vlan используя to (Пример 100 to 200).

[huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan {vlan-id1 vlan-id2 ... vlan-idn}

При необходимости можно изменить и default vlan (нетегированную) на другую.

[huawei-GigabitEthernet0/0/1] port trunk pvid vlan {vlan-id}

Пример:

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type trunk
[huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan 150 200 to 220
[huawei-GigabitEthernet0/0/1] port trunk pvid vlan 150
[huawei-GigabitEthernet0/0/1] quit

Настройка портов коммутаторов huawei в режиме hybrid port

В режиме конфигурирования интерфейса задем тип — hybrid.

[huawei-GigabitEthernet0/0/1] port link-type hybrid

Добавляем номера тегированных vlan.

[huawei-GigabitEthernet0/0/1] port hybrid tagged vlan {vlan-id1 vlan-id2 ... vlan-idn}

Добавляем номера нетегированных vlan.

[huawei-GigabitEthernet0/0/1] port hybrid untagged vlan {vlan-id1 vlan-id2 ... vlan-idn}

Добавляем pvid для нетегированной vlan, по умолчанию используется pvid = 1

[huawei-GigabitEthernet0/0/1] port hybrid pvid vlan {vlan-id} 

Пример:

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type hubrid
[huawei-GigabitEthernet0/0/1] port hybrid tagged vlan 150 200 to 210
[huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20
[huawei-GigabitEthernet0/0/1] port hybrid pvid vlan 10 
[huawei-GigabitEthernet0/0/1] quit

P.S. По умолчанию на коммутаторах huawei S2300 и S5300 тип работы интерфейса стоит hybrid.

Просмотр настроек портов и vlan на коммутаторах huawei

Просмотр всех созданных vlan

[huawei] display vlan

Просмотр детальной информации по конкретной vlan на коммутаторах huawei

[huawei] display vlan vlan-id

Пример:

[huawei] display vlan 100

Просмотр состояния интерфейса на коммутаторах huawei

[huawei] display interface {type-interface-number}

Пример:

display interface GigabitEthernet0/0/1

Просмотр настроек интерфейса на коммутаторах huawei

[huawei] display current-configuration interface {type-interface-number}

Пример:

[huawei] display current-configuration interface GigabitEthernet 0/0/1/
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 150
#
return

Также настройки интерфейса можно посмотреть используя команду display this из режима конфигурирования интерфейса.

Пример:

[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] display this
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 150
#
return

На этом все. Всем пока.

Настроить VLAN на коммутаторе

Настроить VLAN на коммутаторе

Цель


Создание виртуальной локальной сети (VLAN) позволяет создавать отдельные широковещательные домены на коммутаторе. В широковещательные домены могут связываться друг с другом с помощью устройства уровня 3, например маршрутизатора. VLAN является в основном используется для формирования групп между хостами, независимо от того, где они физически расположены. Таким образом, VLAN повышает безопасность за счет формирования групп среди хостов.Когда создается VLAN, это не действует до тех пор, пока эта VLAN не будет подключена хотя бы к одному порту вручную или динамически. Одна из самых распространенных причин Настройка VLAN — это настройка отдельной VLAN для голоса и отдельной VLAN для данных. Это направляет пакеты для оба типа данных, несмотря на использование одной и той же сети.

Цель этой статьи — показать, как создавать, редактировать или удалять VLAN.

Применимые устройства | Версия прошивки

Настройки VLAN

Создание VLAN

Шаг 1.Войдите в веб-утилиту и выберите Управление VLAN> Настройки VLAN .

Шаг 2. В области VLAN Table нажмите Add, чтобы создать новую VLAN. Появится окно.

Шаг 3. VLAN можно добавить двумя разными способами, как показано нижеприведенными параметрами. Выберите переключатель, который соответствует желаемому методу:

  • VLAN — используйте этот метод для создания определенной VLAN.
  • Range — используйте этот метод для создания диапазона VLAN.

Шаг 4. Если вы выбрали VLAN на шаге 3, введите идентификатор VLAN в поле VLAN ID. Диапазон должен быть от 2 до 4094. В этом примере идентификатор VLAN будет 4.

Шаг 5. В поле VLAN Name введите имя для VLAN. В этом примере имя VLAN будет Бухгалтерский учет. Можно использовать до 32 символов.

Шаг 6. Установите флажок VLAN Interface State , чтобы включить состояние интерфейса VLAN; уже проверил по умолчанию.В противном случае сеть VLAN будет отключена, и ничто не сможет быть передано или получено. через VLAN.

Шаг 7. Установите флажок Link Status SNMP Traps, если вы хотите разрешить создание ловушек SNMP. Этот является включен по умолчанию.

Шаг 8. Если вы выбрали Range на шаге 3, введите диапазон VLAN в поле Диапазон VLAN. Доступный диапазон: 2–4094. В этом примере диапазон VLAN составляет от 3 до 52.

Примечание. Одновременно можно создать до 100 VLAN.

Шаг 9. Щелкните Применить .

Редактировать VLAN

Шаг 1. Войдите в веб-утилиту и выберите Управление VLAN> Настройки VLAN . VLAN Откроется страница настроек .

Шаг 2. Установите флажок рядом с VLAN, которую нужно изменить.

Шаг 3. Щелкните Edit , чтобы отредактировать выбранную VLAN.Откроется окно Edit VLAN .

Шаг 4. Текущую VLAN можно изменить с помощью раскрывающегося списка VLAN ID . Это используется для быстрого переключения между сетями VLAN, которые вы хотите настроить, не возвращаясь на страницу настроек VLAN.

Шаг 5. Измените имя VLAN в поле VLAN Name . Это имя не влияет на производительность в VLAN и используется для упрощения идентификации.

Шаг 6.Установите флажок VLAN Interface State, чтобы включить состояние интерфейса VLAN; это уже проверено дефолт. В противном случае сеть VLAN будет отключена, и ничто не сможет быть передано или получено. через VLAN.

Шаг 7. Установите флажок Enable Link Status SNMP Traps, чтобы включить генерацию SNMP-ловушек со ссылкой. информация о статусе. Этот флажок установлен по умолчанию.

Шаг 8. Щелкните Применить .

Удалить VLAN

Шаг 1. Войдите в веб-утилиту и выберите Управление VLAN> Настройки VLAN .

Шаг 2. Установите флажок рядом с VLAN, которую вы хотите удалить.

Шаг 3. Нажмите Удалить , чтобы удалить выбранную VLAN.

Вы успешно удалили VLAN.


Просмотрите видео, относящееся к этой статье…