Добрый день уважаемые читатели, сегодня я вам расскажу как как происходит создание vlan, что такое VLAn написано по ссылке слева, теперь давайте его создадим, так как только практика позволяет все осознать на сто процентов.  Для начала посмотрим список vlan, делается в обычном режиме командной строки. Для этого воспользуемся командой.

Cоздание vlan

Переходим от слов к делу и делаем vlan на cisco,

sh vlan

Видим что есть vlan 1 и все порты по умолчанию в нем.

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-01

Создадим vlan 2 для отдела бухгалтерии. Заходим в режим конфигурирования.

vlan 2

name buh

exit

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-02

Общая схема такая

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-03

Теперь подключим интерфейсы Fa0/1  и Fa0/2 к которым подключены компьютеры бухгалтерии к vlan2

interface fastEthernet 0/1

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-04

Теперь переключим vlan для данного интерфейса.

switchport access vlan 2

end

wr

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-05

Вводим sh vlan и видим появился vlan 2 и в нем нужный интерфейс.

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-06

Сделаем тоже самое для Fa0/2

interface fastEthernet 0/2

switchport access vlan 2
end

wr

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-07

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-08

Создадим vlan 3 для user

name user

exit

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-09

Добавим  vlan 3  ip адрес 192.168.3.254

interface vlan 3

ip address 192.168.3.254 255.255.255.0

end

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S10

Теперь проверим наш ip на vlan3 на vlan 2 я настраивал аналогично

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S11

Теперь подключим интерфейсы Fa0/3  и Fa0/4 к которым подключены компьютеры пользователей к vlan3

interface fastEthernet 0/3

switchport access vlan 3
exit

interface fastEthernet 0/4

switchport mode access

switchport access vlan 3
wr

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S12

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S13

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S14

Посмотрим конфиг

do sh run

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S15

На этом все vlan настроены в следующей части мы поговорим про trunk порты которые позволяют настроить коммутатор в коммутатор

Cisco VLAN — настройка vlan на коммутаторе Cisco

Технология VLAN позволяет разделять сеть на логические сегменты. Каждый такой логический сегмент имеет свой широковещательный домен. Уникастовый, бродкастовый и мультикастовый трафик передается только между устройствами входящими в один VLAN. VLAN часто используется для разделения IP сегментов сети, с последующей маршрутизацией и фильтрацией трафика между разными VLAN на маршрутизаторе или на L3 коммутаторе.

Как настраивать VLAN на Cisco роутере можно посмотреть в статье Cisco VLAN — настройка vlan на маршрутизаторе Cisco. Здесь речь пойдёт о настройке VLAN на коммутаторах  Cisco Catalyst.

Перед настройкой VLAN на коммутаторе, необходимо определиться будет ли в сети использоваться протокол VTP (VLAN Trunking Protocol) или нет. Использование VTP облегчает управление (создание, удаление, переименовывание) VLAN-ами в сети. В случае с VTP изменение (информацию о VLAN) можно внести централизованно, на одном коммутаторе, и эти изменения распространятся на другие коммутаторы в сети. Если не использовать VTP, то изменения нужно вносить на каждом коммутаторе.

VTP накладывает свои ограничения: протокол VTP версии 1 и 2 поддерживает только базовый диапазон VLAN (c 1 по 1005), поддержка расширенного диапазона (с 1006 по 4094) возможна только в версии протокола 3. Поддержка протокола  VTP 3 версии начинается с  Cisco IOS версии 12.2(52)SE и выше. Настройку протокола VTP рассмотрим в другой статье, а в этой будем подразумевать, что не используем VTP.

Настройку VLAN на коммутаторе можно выделить в три этапа: создание VLAN, настройка портов, проверка.

1. Создание VLAN на Cisco Catalyst

Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:

1 — 1005  базовый диапазон (normal-range)

1002 — 1005 зарезервированы для Token Ring и FDDI VLAN

1006 — 4094 расширенный диапазон (extended-range)

При создании или изменении VLAN можно задать следующие параметры:

На практике чаще всего, при создании VLAN задаётся только VLAN ID и VLAN name

Значения по умолчанию:

Для создания VLAN нужно:

1. Войти в привилегированный режим и ввести необходимый пароль (команда «enable«)

sw1>
sw1>enable
 Password:
sw1#

2. Переключиться в режим глобального конфигурирования (команда «configure terminal«)

sw1#
sw1#configure terminal
   Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#

3. Создать VLAN командой «vlan id«, где id — номер VLAN (После создания, консоль окажется в режиме конфигурирования VLAN, где можно задать перечисленные выше параметры для VLAN)

sw1(config)#
sw1(config)#vlan 200
sw1(config-vlan)#

4. Задать необходимые параметры, для созданного VLAN (например имя)

sw1(config-vlan)#
sw1(config-vlan)#name TESTVLAN
sw1(config-vlan)#

Если, в режиме конфигурирования VLAN, ввести знак вопроса, то отобразятся параметры, которые можно задать для данного VLAN:

sw1(config-vlan)#?
 VLAN configuration commands:
   are          Maximum number of All Route Explorer hops for this VLAN (or zero if none specified)
   backupcrf    Backup CRF mode of the VLAN
   bridge       Bridging characteristics of the VLAN
   exit         Apply changes, bump revision number, and exit mode
   media        Media type of the VLAN
   mtu          VLAN Maximum Transmission Unit
   name         Ascii name of the VLAN
   no           Negate a command or set its defaults
   parent       ID number of the Parent VLAN of FDDI or Token Ring type VLANs
   private-vlan Configure a private VLAN
   remote-span  Configure as Remote SPAN VLAN
   ring         Ring number of FDDI or Token Ring type VLANs
   said         IEEE 802.10 SAID
   shutdown     Shutdown VLAN switching
   state        Operational state of the VLAN
   ste          Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified)
   stp          Spanning tree characteristics of the VLAN
   tb-vlan1     ID number of the first translational VLAN for this VLAN (or zero if none)
   tb-vlan2     ID number of the second translational VLAN for this VLAN (or zero if none)

5. Выйти из режима конфигурирования vlan (команда «exit«, либо «end» — выход из режима глобального конфигурирования)

sw1(config-vlan)#
sw1(config-vlan)#end
sw1#

Не забываем сохранять конфигурацию командой «copy running-config  startup-config» в привилегированном режиме

sw1#
sw1#copy running-config startup-config
  Destination filename [startup-config]?
  Building configuration...
[OK]

Удалить VLAN можно командой «no vlan id» в режиме глобального конфигурирования:

sw1(config)#
sw1(config)#no vlan 200
sw1(config)#

2. Настройка портов на Cisco Catalyst

Порт на коммутаторе Cisco может находиться в одном из режимов:

 access — порт предназначен для подключения оконечного устройства. Принадлежит только одному VLAN. Входящий трафик от подключенного к порту устройства, маркируется заданным на порту VLAN.

 trunk — порт предназначен для подключения к другому коммутатору или маршрутизатору. Порт передаёт тегированный трафик. Может передавать  трафик как одного, так и нескольких VLAN через один физический кабель.

На Cisco Catalyst можно самому задать режим порта (trunk или access), либо задать автоопределение. При автоопределении режима, порт будет согласовываться с соседом (подключенным к этому порту коммутатором или иным устройством). Согласование режима порта происходит путём передачи DTP (Dynamic Trunking Protocol) фреймов. Для успешной работы протокола DTP, необходимо, что бы интерфейсы были в одном VTP домене (либо один из VTP доменов был null, неточно)

Автоопределение режима порта задаётся командой «

Если на интерфейсе установлено «switchport mode dynamic auto» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или  «dynamic desirable«

Если на интерфейсе установлено «switchport mode dynamic desirable» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или  «dynamic desirable» или «dynamic auto« 

Не все устройства поддерживают DTP, либо могут некорректно передавать DTP фреймы, в таком случае лучше задать режим (access или trunk) принудительно командами «switchport mode access» или «switchport mode trunk

Конфигурация порта по умолчанию:

Настройка порта в режим автоопределения. 

Действия:

— войти в привилегированный режим (команда: «enable«)

— войти в режим глобального конфигурирования (команда: «configure terminal«)

— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса, например «interface GigabitEthernet0/21″)

— задать динамический режим порта/интерфейса (команда: «switchport mode dynamic auto» или «switchport mode dynamic desirable«)

— (не обязательно) задать VLAN, который будет на интерфейсе, если порт перейдёт из режима trunk в режим access, по умолчанию VLAN 1 (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)

— (не обязательно) задать Native VLAN, для IEEE 802.1q транка, по умолчанию Native VLAN 1 (команда: «switchport trunk native vlan vlan-id«, где vlan-id — номер Native VLAN)

— добавить/удалить VLAN в транке, по умолчанию все номера VLAN разрешены (команды: «switchport trunk allowed vlan add vlan-list» — добавить в транк VLAN-ы перечисленные в vlan-list, «switchport trunk allowed vlan remove vlan-list» — удалить из транка VLAN-ы, перечисленные в vlan-list, в vlan-list вланы перечисляются через запятую без пробелов, а диапазоны через дефис, например 2,20,30-40,50 ). Можно сразу задать список необходимых VLAN (командой: «switchport trunk allowed vlan vlan-list«)

— включить порт/интерфейс (команда: «no shutdown«)

— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )

Пример:

sw1#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface gigabitEthernet 0/23
sw1(config-if)#switchport mode dynamic desirable
sw1(config-if)#switchport access vlan 50
sw1(config-if)#switchport trunk native vlan 100
sw1(config-if)#switchport trunk allowed vlan 2,30-35,40
sw1(config-if)#no shutdown
sw1(config-if)#end
sw1#

В данном примере порт 23 переведётся в режим trunk, если порт на соседнем коммутаторе установлен в режиме dynamic auto или dynamic disirable или trunk . В транке будут передаваться только VLAN 2, VLAN с 30 по 35 и VLAN 40. При работе порта в режиме trunk, приходящий на него не тегированный (native) трафик будет помещаться (маркироваться) в VLAN 100. Если порт на соседнем коммутаторе работает в режиме access, то интерфейс будет помещён в VLAN 50.

Настройка access порта.

VLAN на access порту может задаваться статически либо автоматически. Автоматическое назначение VLAN основывается на МАК адресе источника, используя протокол VQP (VLAN Query Protocol) и сервер VMPS (VLAN Management Policy Server). Сервером VMPS могут выступать коммутаторы только старших моделей, такие серии как Catalyst 4000, 5000 и 6500. Автоматическую настройку access порта через VQP в данной статье рассматривать не будем. Здесь будет показано только статическое задание VLAN на access порту.

Для включения access порта в необходимый VLAN, нужно сделать:

— войти в привилегированный режим (команда: «enable«)

— войти в режим глобального конфигурирования (команда: «configure terminal«)

— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса)

— задать режим порта/интерфейса «access» (команда: «switchport mode access«)

— задать VLAN на порту/интерфейсе (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)

— включить порт/интерфейс (команда: «no shutdown«)

— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )

Пример:

Пусть к 22-му порту коммутатора подключен сервер, который необходимо поместить в 200-й VLAN

Настройка порта:

sw1>
sw1>enable
 Password:
sw1#
sw1#configure terminal
 Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface GigabitEthernet0/22
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 200
sw1(config-if)#no shutdown
sw1(config-if)#exit
sw1(config)#exit
sw1#

Настройка trunk порта.

Настройка порта в режиме trunk идентична настройки порта в режиме автоопределения, за исключением того, что режим нужно указать не dynamic а trunk.

Пример:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface gigabitEthernet 0/23
sw6(config-if)#switchport mode trunk
sw6(config-if)#switchport trunk allowed vlan 2,30-35,40
sw6(config-if)#no shutdown
sw6(config-if)#end
sw6#

В примере задаётся транк на 23-м порту, в транке разрешены только VLAN 2, VLAN с 30 по 35 и VLAN 40

Добавление VLAN в транковый порт выполняет команда: «switchport trunk allowed vlan add VLAN_NUM«

Пример добавления вланов 100 и 200 к существующим, в транковом порту 23:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface Gi0/23
sw6(config-if)#switchport trunk allowed vlan add 100,200
sw6(config-if)#
sw6(config-if)#end
sw6#

УдалениеVLAN из транкового порта выполняет команда: «switchport trunk allowed vlan remove VLAN_NUM«

Пример удаления вланов 100 и 200 из существующих, в транковом порту 23:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface Gi0/23
sw6(config-if)#switchport trunk allowed vlan remove 100,200
sw6(config-if)#
sw6(config-if)#end
sw6#

Некоторые cisco коммутаторы поддерживают два протокола для работы с VLAN это IEEE 802.1q и ISL. Протокол ISL уже устарел и на многих современных коммутаторах не поддерживается. Поэтому предпочтительнее использовать протокол IEEE 802.1q

На таких коммутаторах, перед настройкой порта в режиме транка, нужно выбрать тип инкапсуляции dot1q (комана: «switchport trunk encapsulation dot1q» в режиме конфигурации интерфейса)

3. Проверка настройки VLAN

Посмотреть информацию о VTP  протоколе: «show vtp status«

Показать информацию обо всех VLAN на коммутаторе: «show vlan«

Посмотреть информацию об конкретном VLAN, и узнать на каких он портах: «show vlan id vlan-id«

Посмотреть режим работы порта, native vlan, access vlan и прочее: «show interfaces interface-id  switchport«

Иногда, необходимо на коммутаторе создать интерфейс 3-го уровня для VLAN. Например, для маршрутизации и фильтрации IP трафика между разными VLAN (должна быть поддержка L3 уровня как самой моделью коммутатора так и версией IOS). Либо просто создать интерфейс для управления этим коммутатором в специальном VLAN.

Сетевой интерфейс для VLAN создаётся в режиме глобального конфигурирования командой: «interface vlan-id«, где vlan-id — это номер VLAN.

Далее консоль переходит в режим конфигурирования интерфейса, где можно задать необходимые сетевые настройки ip адрес, маску сети, повесить ACL и прочее.

Пример создания L3 интерфейса для VLAN 200:

sw1#
sw1#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface vlan 200
sw1(config-if)#ip address 192.168.200.1 255.255.255.0
sw1(config-if)#end
sw1#

Настройка VLAN в Cisco

На решение коммутатора о перенаправлении фреймов оказывают влияние многие факторы, но наибольшее влияние оказывают так называемые виртуальные локальные сети VLAN. VLAN (Virtual Local Area Network) – логическая (виртуальная) локальная сеть, которая представляет из себя группу хостов, взаимодействующих так, если бы они были подключены к одному широковещательному домену. Взаимодействие обеспечивается независимо от физического местонахождения хостов.

Без виртуальных сетей коммутатор полагает, что все его интерфейсы находятся в одном широковещательном домене. Таким образом, когда на один порт коммутатора поступает широковещательное сообщение, он перенаправляет его на все остальные порты. Если следовать данной логике, то для создания двух разных широковещательных доменов, нам необходимо приобрести два разных коммутатора. Иными словами, если  мы хотим разграничить трафик одной подсети от другой, то необходима покупка дополнительного оборудования. А таких подсетей может быть десятки.

Ниже представлена простая схема, где применяется VLAN. Видно, что сервера находятся в VLAN 10, а компьютеры в VLAN 20. Порты в сторону оборудования – это порты доступа (Access port). Порт между коммутаторами является транковым (Trunk port). Транковый порт пропускает оба VLAN. Таким образом, можно выделить отдельные группы устройств в подсеть и назначить ей собственный номер VLAN’a. Допустим, сервера будут находится в разных странах, но при этом все-равно работать в одной подсети, что очень удобно. 

Преимущества применения сетей VLAN:

1. Оптимальное использование ресурсов процессора каждого хоста в сети, за счет сокращения количества ненужных широковещательных сообщений
2. Защита хостов, пересылающих важные данные, за счет помещения их в отдельную сеть VLAN
3. Гибкое разделение пользователей в группы (например, по отделам) вместо физического разделения по местоположению
4. Упрощение диагностики сети, так как большинство проблем локализуются в области набора устройств, формирующих широковещательный домен

VLAN используется практически во всех крупных корпоративных сетях. Более подробно про VLAN можно почитать в этой статье. Мы же не будет углубляться в теорию, а перейдем непосредственно к практике.

Будем настраивать такую схему.

Небольшие пояснения к схеме. У нас имеется два физически разделенных офиса EKT1 и EKT2. EKT1 – это название и номер площадки (г. Екатеринбург). Хосты подключаются к acess-switch’ам (коммутаторам доступа). Трафик с обеих площадок агрегируется в одной точке EKT10. На данной площадке находится distribution-switch (коммутатор распределения) и маршрутизатор. Всего будет четыре категории:

1. Администратор
2. Сервера
3. Офисные сотрудники
4. Беспроводные устройства

Соответственно задача стоит разделить данные устройства каждые в свою подсеть и присвоить им соответствующие VLAN. Первым делом составим план IP-адресации в сети, номера портов, план VLAN. Будем использовать Ip-адреса из диапазона “серых” Ip-адресов 172.16.0.0/16.

Тут же небольшое пояснение. В каждой подсети должен обязательно присутствовать шлюз по-умолчанию, для того, чтобы компьютер понимал куда слать пакеты в случае если подсеть не его. Ip-адрес шлюза по-умолчанию выбирается по следующему шаблону 172.16.x.1, где x – номер подсети.

Номера портов на свичах будут выбираться по следующему порядку. Порты fastEthernet с 1 по 10 заняты под ПК сотрудников, с 11 по 15 заняты под беспроводные точки, с 16 по 20 заняты под сервера. 21 порт используется для подключения ноутбука админа. 22 – 24 подключение к другим сетевым устройствам (коммутаторам, шлюзам). Все вроде с планом разобрались, перейдем теперь к самому главному 🙂

Каждому хосту присвоим Ip-адрес, маску, шлюз по-умолчанию согласно плану. Ниже пример для ноутбука администратора.

Перейдем к настройке первого access-switch’a   –  sw1.ekt1. Ниже будет приведена конфигурация с пояснениями.

sw1.ekt1>enable - переходим в расширенный режим
sw1.ekt1#configure terminal - переходим в режим конфигурации
sw1.ekt1(config)#vlan 2 - создаем vlan 2
sw1.ekt1(config-vlan)#name Admin - название для vlan 2
sw1.ekt1(config)#vlan 3 - создаем vlan 3
sw1.ekt1(config-vlan)#name Server - название для vlan 3
sw1.ekt1(config)#vlan 10 - создаем vlan 10
sw1.ekt1(config-vlan)#name Office-PC - название для vlan 10
sw1.ekt1(config)#vlan 11 - создаем vlan 11
sw1.ekt1(config-vlan)#name Wireless-DEV - название для vlan 11
sw1.ekt1(config-vlan)#exit
sw1.ekt1(config)#interface range fa0/1 - fa0/10 - настраиваем интерфейсы для ПК
sw1.ekt1(config-if-range)#description Office-PC - описание интерфейсов
sw1.ekt1(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный)
sw1.ekt1(config-if-range)#switchport access vlan 10 - маркируем порты с 1 по 10 vlan 10
sw1.ekt1(config-if-range)#exit
sw1.ekt1(config)#interface range fa0/11 - fa0/15 - настраиваем интерфейсы для Точек доступа
sw1.ekt1(config-if-range)#description Wireless-DEV - описание интерфейсов
sw1.ekt1(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный)
sw1.ekt1(config-if-range)#switchport access vlan 11 - маркируем порты с 11 по 15 vlan 11
sw1.ekt1(config-if-range)#exit
sw1.ekt1(config)#interface range fa0/16 - fa0/20 - настраиваем интерфейсы для Серверов
sw1.ekt1(config-if-range)#description Server - описание интерфейсов
sw1.ekt1(config-if-range)#switchport mode access - переключаем порты в режим доступа
sw1.ekt1(config-if-range)#switchport access vlan 3 - маркируем порты с 16 по 20 vlan 3
sw1.ekt1(config-if-range)#exit
sw1.ekt1(config)#interface fa0/21 - настраиваем интерфейс для Администратора
sw1.ekt1(config-if-range)#description Admin - описание интерфейсов
sw1.ekt1(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный)
sw1.ekt1(config-if-range)#switchport access vlan 2 - маркируем порты с 16 по 20 vlan 3
sw1.ekt1(config-if-range)#exit
sw1.ekt1(config)#interface fa0/24 - настраиваем интерфейс в сторону Свича sw1.ekt10
sw1.ekt1(config-if-range)#description sw1.ekt10 - описание интерфейсов
sw1.ekt1(config-if-range)#switchport mode trunk - переключаем порты в транковый режим (нетегированный)
sw1.ekt1(config-if-range)#switchport trunk allowed vlan 2-3,10-11 - передаем через порт 24 все VLAN'ы
w1.ekt1(config-if-range)#exit

Теперь коммутатор sw1.ekt1 будет маркировать кадры соответствующим номером VLAN. При передаче на центральный свич sw1.ekt10 будут пропускаться все VLAN – 2,3,10,11.

Перейдем теперь к настройке второго аксес свчиа sw1.ekt2. Его настройка будут полностью совпадать с настройками sw1.ekt1, за исключением того, что к sw1.ekt2 не подключен ноутбук админа.

sw1.ekt2>enable - переходим в расширенный режим
sw1.ekt2#configure terminal - переходим в режим конфигурации
sw1.ekt2(config)#vlan 3 - создаем vlan 3
sw1.ekt2(config-vlan)#name Server - название для vlan 3
sw1.ekt2(config)#vlan 10 - создаем vlan 10
sw1.ekt2(config-vlan)#name Office-PC - название для vlan 10
sw1.ekt2(config)#vlan 11 - создаем vlan 11
sw1.ekt2(config-vlan)#name Wireless-DEV - название для vlan 11
sw1.ekt2(config-vlan)#exit
sw1.ekt2(config)#interface range fa0/1 - fa0/10 - настраиваем интерфейсы для ПК
sw1.ekt2(config-if-range)#description Office-PC - описание интерфейсов
sw1.ekt2(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный)
sw1.ekt2(config-if-range)#switchport access vlan 10 - маркируем порты с 1 по 10 vlan 10
sw1.ekt2(config-if-range)#exit
sw1.ekt2(config)#interface range fa0/11 - fa0/15 - настраиваем интерфейсы для Точек доступа
sw1.ekt2(config-if-range)#description Wireless-DEV - описание интерфейсов
sw1.ekt2(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный)
sw1.ekt2(config-if-range)#switchport access vlan 11 - маркируем порты с 11 по 15 vlan 11
sw1.ekt2(config-if-range)#exit
sw1.ekt2(config)#interface range fa0/16 - fa0/20 - настраиваем интерфейсы для Серверов
sw1.ekt2(config-if-range)#description Server - описание интерфейсов
sw1.ekt2(config-if-range)#switchport mode access - переключаем порты в режим доступа
sw1.ekt2(config-if-range)#switchport access vlan 3 - маркируем порты с 16 по 20 vlan 3
sw1.ekt2(config-if-range)#exit
sw1.ekt2(config)#interface fa0/24 - настраиваем интерфейс в сторону Свича sw1.ekt10
sw1.ekt2(config-if-range)#description sw1.ekt10 - описание интерфейсов
sw1.ekt2(config-if-range)#switchport mode trunk - переключаем порты в транковый режим (нетегированный)
sw1.ekt2(config-if-range)#switchport trunk allowed vlan 3,10-11 - передаем через порт 24 все VLAN'ы
sw1.ekt2(config-if-range)#exit
sw1.ekt2(config)do write - сохраняем конфигурацию к энергонезависимой памяти

Access-switch’и настроены, теперь необходимо настроить центральный свич sw1.ekt10.

sw1.ekt10>enable - переходим в расширенный режим
sw1.ekt10#configure terminal - переходим в режим конфигурации
sw1.ekt10(config)#vlan 2 - создаем vlan 2
sw1.ekt10(config-vlan)#name Admin - название для vlan 2
sw1.ekt10(config)#vlan 3 - создаем vlan 3
sw1.ekt10(config-vlan)#name Server - название для vlan 3
sw1.ekt10(config)#vlan 10 - создаем vlan 10
sw1.ekt10(config-vlan)#name Office-PC - название для vlan 10
sw1.ekt10(config)#vlan 11 - создаем vlan 11
sw1.ekt10(config-vlan)#name Wireless-DEV - название для vlan 11
sw1.ekt10(config-vlan)#exit
sw1.ekt10(config)#interface fa 0/1 - настраиваем интерфейс в сторону sw1.ekt1
sw1.ekt10(config-if-range)#description sw1.ekt1 - описание интерфейсов
sw1.ekt10(config-if-range)#switchport mode trunk - переключаем порты в режим транка (нетегированный)
sw1.ekt10(config-if-range)#switchport trunk allowed vlan 2-3,10-11 - пропускаем через порт все VLAN
sw1.ekt10(config-if-range)#exit
sw1.ekt10(config)#interface fa 0/2 - настраиваем интерфейс в сторону sw1.ekt2
sw1.ekt10(config-if-range)#description sw1.ekt2 - описание интерфейсов
sw1.ekt10(config-if-range)#switchport mode trunk - переключаем порты в режим транка (нетегированный)
sw1.ekt10(config-if-range)#switchport trunk allowed vlan 3,10-11 - пропускаем через порт все VLAN
sw1.ekt10(config-if-range)#exit
sw1.ekt10(config)#interface fa 0/24 - настраиваем интерфейс в сторону рутера
sw1.ekt10(config-if-range)#description r1.ekt10 - описание интерфейсов
sw1.ekt10(config-if-range)#switchport mode trunk - переключаем порты в режим транка (нетегированный)
sw1.ekt10(config-if-range)#switchport trunk allowed vlan 2-3,10-11 - пропускаем через порт все VLAN
sw1.ekt10(config-if-range)#exit
sw1.ekt10(config)#do write - сохраняем настройки в энергонезависимой памяти

Самая интересная часть статьи – настройка рутера r1.ekt10. Маршрутизатор будет являться шлюзом для всех четырех подсетей. Необходимо будет создать четыре сабинтерфейса – виртуальных интерфейса и присвоить каждому свой Ip-адрес и маску согласно плану. Приступим.

r1.ekt10>enable - переходим в расширенный режим
r1.ekt10#configure terminal - переходим в режим конфигурации
r1.ekt10(config)#interface fa 0/0 - настраиваем интерфейс в сторону sw1.ekt10
r1.ekt10(config-if)#description sw1.ekt10 - описание интерфейсов
r1.ekt10(config-if)#no shutdown - включаем интерфейс физически
r1.ekt10(config-if)#exit 
r1.ekt10(config)#interface fa0/0.2 - настраиваем сабинтерфейс для Админа
r1.ekt10(config-subif)#description Admin - описание сабинтерфейса
r1.ekt10(config-subif)#encapsulation dot1q 2 - тегирование кадров вторым VLAN'ом
r1.ekt10(config-subif)#ip address 172.16.0.1 255.255.255.0 - установка шлюза по-умолчанию 
r1.ekt10(config-subif)#exit
r1.ekt10(config)#interface fa0/0.3 - настраиваем сабинтерфейс для Серверов
r1.ekt10(config-subif)#description Server - описание сабинтерфейса
r1.ekt10(config-subif)#encapsulation dot1q 3 - тегирование кадров третьим VLAN'ом
r1.ekt10(config-subif)#ip address 172.16.1.1 255.255.255.0 - установка шлюза по-умолчанию 
r1.ekt10(config-subif)#exit
r1.ekt10(config)#interface fa0/0.10 - настраиваем сабинтерфейс для Офисных ПК
r1.ekt10(config-subif)#description Office-PC - описание сабинтерфейса
r1.ekt10(config-subif)#encapsulation dot1q 10 - тегирование кадров десятым VLAN'ом
r1.ekt10(config-subif)#ip address 172.16.2.1 255.255.255.0 - установка шлюза по-умолчанию 
r1.ekt10(config-subif)#exit
r1.ekt10(config)#interface fa0/0.11 - настраиваем сабинтерфейс для Беспроводных устройств
r1.ekt10(config-subif)#description Wireless-DEV - описание сабинтерфейса
r1.ekt10(config-subif)#encapsulation dot1q 11 - тегирование кадров одиннадцатым VLAN'ом
r1.ekt10(config-subif)#ip address 172.16.3.1 255.255.255.0 - установка шлюза по-умолчанию 
r1.ekt10(config-subif)#exit
r1.ekt10(config)#do write - сохраняем настройки в энергонезависимой памяти

Я предполагаю, что у вас возникли вопросы на счет команды encapsulation dot1q 2. Я смутно написал в комментариях, что это означает “тегирование вторым VLAN’ом”. Иными словами, все кадры, исходящие из виртуального интерфейса fastEthernet 0/0.2 будут помечены тегом 2-го VLAN’a. А кадры, попадающие на физический интерфейс fastEthernet 0/0 с тегом VLAN = 2 будут попадать на виртуальный интерфейс fastEthernet 0/0.2. Таким образом, кадры помеченные тегом VLAN = 2 попадут на “родной” шлюз 172.16.0.1 и маршрутизатор сможет в случае чего сможет послать пакет  в другую подсеть.

Например, что будет, если админ хочет пингануть подсеть серверов? Маршрутизатор приняв пакет от него, посмотрит в свою таблицу маршрутизации и поймет, что сервера находятся на сабинтерфейсе fastEthernet 0/0.3. Он пошлет пакет в этот виртуальный интерфейс попутно присвоив пакету VLAN = 3. Таким образом, пакет без проблем дойдет до нужного сервера, и, админ сможет получить ICMP-ответ от него.

Возможно, у некоторых из вас возник вопрос: Вот мы разделили всю сеть на VLAN’ы, а почему же тогда можно без проблем пинговать из одной подсети в другую (получается подсети доступы друг другу)? Ответ на этот вопрос: Во-первых, не всегда требуется жестко отделять одну подсеть от другой. Во-вторых, если уж потребуется отделить подсети друг от друга можно без проблем настроить списки доступа ACL, но это уже совсем другая история (обязательно расскажу о ней в следующих статьях). В-третьих, по факту сети и так отделены друг от друга. Если б не маршрутизатор, главное назначение которого пересылать пакеты из одной подсети в другую.

Настройка Vlan на Cisco (на примере коммутатора Catalyst 2960)

Перед тем, как что-то делать, Вы должны понимать что делаете. Поэтому в начале — немного теории.
Что такое VLAN?!
Vlan это аббревиатура от Virtual Local Area Network, что в переводе означает «виртуальная локальная компьютерная сеть». Это логически объединенная группа хостов имеющая общий набор определенных требований и взаимодействующая таким образом, что независимо от их физического местонахождения, хосты видят друг друга так, как если бы они были подключены к широковещательному домену. При этом трафик тегируется в соответствии с правилами стандарта IEEE 802.1Q, т.е. внутрь фрейма помещается тег, содержащий информацию о принадлежности трафика к конкретному Vlan. Фактически, с помощью «влан» или «вилан» (тут уж кто как называет) можно делить сеть на логические сегменты и даже больше — технология позволяет группировать рабочие станции станциям в одну логическую сеть, даже если они находятся в разных сетях физически. При этом между ними спокойно ходит любой трафик — Юникаст, Бродкаст или Мультикаст, но только в пределах этой логической сети. 

На коммутаторах Cisco для управления Vlan используется специальный протокол VTP. Он позволяет создавая, переименовывая или удаляя влан на устройстве сервере — Вы автоматически делаете то же самое и на всех коммутаторах, подключенных в домен VTP. В небольшой сети это может быть и удобно, а вот в крупных сетях где коммутаторов уже десятки и сотни VTP переводят в состояние Transparent.

У каждой виртуальной сети есть свой идентификатор Vlan ID или VID, который используется в стандарте 802.1Q. Стандартный для сетевых устройств диапазон значений Vlan ID — от 0 до 4095. При этом, как правило, VID’ы 0 и 4095 использовать нельзя, так как они зарезервированы для иных задач и доступными остаются номера он 1 до 4094. Кстати, какое бы ни было ограничение на количество поддерживаемых вланов (10, 100 или 1000), их идентификаторы, тем не менее, можно брать из всего диапазона.
На оборудовании Циско различают две группы Vlan — normal-range и extended-range. По русски — обычный и расширенный диапазоны соответственно. В стандартный диапазон входят Vlan — от 1 до 1005, а в расширенный — от 1006 до 4094. При этом надо учитывать, что VID 1002 — 1005 зарезервированы для Token Ring и FDDI Vlan и их занять не получится.

Теперь давайте посмотрим на коммутатор Cisco Catalyst. В  своем примере я рассмотрю 2960 c версией IOS 12.2(35)SE5). Заходим на свитч в режим Enable. Набираем команду:

switch#show vlan

Результатом будет список всех созданных на устройстве влан:

Как Вы можете заметить первым в списке идет Vlan 1 с именем «Defaut». В конфигурации по умолчанию в него включены все порты.
Теперь , чтобы создать свой влан надо зайти в режим конфигурации:

switch#configure terminal

После этого набираем команду:

switch#vlan <vid>

В моём примере я создаю 11й влан:

Заметьте, что виртуальной сети можно дать имя с помощью команды name.

Удалить влан можно с помощью команды:

switch#no vlan <vid>

Примечание:
На древних версиях IOS все манипуляции с вланами приходилось осуществлять в отдельно базе — vlan database. К счастью, сейчас от этого анахронизма ушли.
Для того, чтобы добавить порт в созданный влан, нужно так же, в режиме конфигурации выбрать нужный порт:

switch#interface gigabitEthernet <номер_порта>

И набрать команду:

switch#switchport access vlan <vid>

Вот как это выглядит на «живом» коммутаторе:

Для управления коммутаторами cisco используется специальный управляющий Vlan. Для его настройки надо создать его в списке вланов, как описано выше, затем в режиме конфигурации набрать команду:

switch#interface vlan <vid>

Этим Вы создадите управляющую виртуальную сеть на коммутаторе. Теперь устройству надо присвоить IP-адрес:

switch(config-if)#ip address <IP_коммутатора> <маска сети>

После этого не забудьте поднять интерфейс, так как он по умолчанию выключен:

switch(config-if)#no shutdown

Пример настройки управления на коммутаторе Cisco 2960:

Не забудьте — для того, чтобы управление коммутатором было доступно, необходимо добавить в этот Vlan хотя бы один порт, либо, создать на других коммутаторах, с которых Вы хотите управлять этим устройством.

Создание и удаление VLAN’ов на свитчах Cisco Catalyst.

Расписывать что такое VLAN и с чем его едят я не буду, т.к. если Вы читаете эту статью, значит знаете о них не по наслышке.

Ограничимся простым определением VLAN (Virtual Local Area Network) — виртуальная локальная компьютерная сеть.

VLAN возможно создавать не только на устройстах Cisco, другие справляются с этим не менее чем прилично, но тема наша посвящена именно циске, поэтому рассмотрим пример основанный на них .
 

На одном физическом устройстве можно создавать множество VLAN’ов для доступа к различным сетям.
Например Вам необходимо выделить VLAN для сети 10.10.181.0 ,  VLAN для сети 10.10.182.0 и еще один для 10.10.183.0.  Все три сети прекрасно скоммутируются на одном физическом устройстве.

Все команды, используемые в данной статье, были протестированы на свитчах cisco catalyst 3750 series, эти же команды должны работать на всех свитчах Cisco (возможно с небольшими изменениями в нумерации портов)

Создание VLAN

По умолчанию используется один VLAN, то бишь все порты свитча подключены к одной сети.
В нашем случае это сеть 10.10.182.0 с дефолтным именем VLAN1.

#show vlan

VLAN Name       Status    Ports
---- -------------------------------- --------- ------------
1    default    active    Gi1/0/1, Gi1/0/2, Gi1/0/3, Gi1/0/4
                          Gi1/0/5, Gi1/0/6, Gi1/0/7, Gi1/0/8

В следующем примере мы создадим отдельный VLAN для нашей сети и выделим под него порты с 3 по 6. Назовем VLAN как VLAN 182

config t
vlan 182
interface range gigabitEthernet 1/0/3-6
switchport access vlan 182
exit

Разберем команды:

    config t – идем в режим конфигурации (configuration mode)
    vlan 182 – создаем VLAN 182
    interface range gigabitEthernet 1/0/3-6 – указываем какие порты использовать для нашего VLAN
    swithport access vlan 182 – включаем доступ к нашему vlan 182

Помимо включения доступа к vlan182 для портов 3-6, можно также указать дополнительные конфигурационные параметры, например nonegative и mode access.

config t
interface range gigabitEthernet 1/0/3-6
switchport mode access
switchport nonegotiate
exit

Просмотрим существующие VLAN

#show vlan
VLAN Name       Status    Ports
---- -------------------------------- --------- ------------
1    default    active    Gi1/0/1, Gi1/0/2, Gi1/0/7, Gi1/0/8
182  VLAN0182   active    Gi1/0/3, Gi1/0/4, Gi1/0/5, Gi1/0/6

 

Как мы видим, у нас все получилось.

Удаление VLAN

Если Вы допустили ошибку при создании VLAN или нужно переопределить порты на другой VLAN, вы всегда можете удалить старый.

Удаление осуществляется очень просто, мы просто переписываем порты 3-6 на дефолтный VLAN и удаляем VLAN 182

Присваеваем порты 3-6 vlan 1:

interface range gigabitEThernet 1/0/3-6
switchport access vlan 1
exit

И удаляем vlan 182:

no vlan 182

Проверяем, удален ли VLAN 182:

#show vlan

VLAN Name       Status    Ports
---- -------------------------------- --------- ------------
1    default    active    Gi1/0/1, Gi1/0/2, Gi1/0/3, Gi1/0/4
                          Gi1/0/5, Gi1/0/6, Gi1/0/7, Gi1/0/8

Ну и под конец статьи маленькое напутствие, если Вы не знаете, что та или иная команда значит и какие последствия могут наступить, не тренируйтесь на боевых цисках!  Если положите сеть, разбираться придется долго. Выделите себе какую-нибудь для тренировок и отработок навыков и вперед! =)
 

Настройка Vlan на маршрутизаторе Cisco

Read the article CONFIGURING INTERVLAN ROUTING ON CISCO ROUTERS (ROUTER ON A STICK) in English

Для настройки взаимодействия между несколькими виртуальными сетями (Vlan), расположенными на одном коммутаторе, необходим маршрутизатор, подключенный к коммутатору через Trunk порт. При передаче трафика по этому порту каждый пакет помечается номером Vlan, которому принадлежит. Это позволяет устройствам корректно перенаправлять пакеты.
На этом интерфейсе настраиваются сабинтерфейсы (subinterfaces)  с соответствующими ip адресами для каждой из сетей Vlan.
Ниже приведен пример настройки Trunk порта маршрутизатора Cisco 2811 для связи с коммутатором.

Видео версия этой статьи

Зайдите в режим конфигурирования (conf t)
R-DELTACONFIG#conf t
Выберите интерфейс FastEthernet0/0 и очистите его
interface FastEthernet0/0
no shut
no ip address

Настройка интерфейса для сети управления оборудованием. Здесь не ставим точку после названия и не указываем идентификатор. Vlan. Это Vlan 1 по умолчанию.
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
Настройка сабинтерфейса для сети отдела продаж
interface FastEthernet0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
description Sales
Настройка сабинтерфейса для сети бухгалтерии

interface FastEthernet0/0.20
encapsulation dot1q 20
ip address 192.168.20.1 255.255.255.0
description Account
Настройка сабинтерфейса для сети администраторов
interface FastEthernet0/0.100
encapsulation dot1q 100
ip address 192.168.100.1 255.255.255.0
description Admins

Важно!
На каждом интерфейсе рекомендую подписывать предназначения сетей командой description. Это поле никак не влияет на другие настройки, однако делает конфигурацию более удобной для восприятия.

Важно!
Обратите внимание, что рядом с указанием инкапсуляции (encapsulation dot1q 20) и в названии сабинтерфейса (interface FastEthernet0/0.20) стоит цифра, обозначающая номер Vlan (20).  При этом порядковый номер сабинтерфейса может быть любым, но в строчке с настройкой инкапсуляции обязательно должен быть номер того Vlan, которому принадлежит сеть.
На коммутаторе помимо access портов, к которым подключены пользователи различных Vlan, должен быть сконфигурирован такой же trunk порт. (Как это сделать описано здесь)
Убедившись, что на коммутаторе настроен trunk порт и созданы Vlan с соответствующими номерами (10, 20 и 100), следует соединить его с интерфейсом FastEthernet0/0 маршрутизатора.
Для взаимодействия устройств из разных Vlan необходимо, чтобы:

• каждая рабочая станция была подключена к порту коммутатора, на котором настроен соответствующий ей Vlan
• На портах, куда подключаются рабочие станции должны присутствовать строчки вида
  switchport access vlan Х
  Например для бухгалтерии:
  switchport access vlan 20
• каждая рабочая станция должна иметь ip адрес в соответствующей сети
  Рабочая станция в отделе продаж будет иметь адрес 192.168.10.5 255.255.255.0
• на каждой рабочей станции в сетевых настройках в качестве шлюза по умолчанию должен быть указан ip адрес сабинтерфейса маршрутизатора того же Vlan, что и рабочая станция. Например для сети отдела продаж это 192.168.10.1
• все используемые порты коммутатора и маршрутизатора должны быть включены

Команда show ip inter brief покажет состояния всех интерфейсов. Используемые должны быть в состоянии Up/Up.

Результатом настройки должна стать доступность друг другу всех объектов сети (как рабочих станций, так и интерфейсов маршрутизатора). Проверять следует командой ping с любого хоста или маршрутизатора.

Важно!

Не забудьте сохранить конфигурацию всех устройств командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-DELTACONFIG#write
Building configuration...
[OK]

Перейти к оглавлению

Настройка Private VLANs на Cisco / Хабр

В данной статье рассмотрим такую интересную, на мой взгляд, технологию, как Private VLANs в теории и практике.

Для начала вспомним, что такое VLANы. VLAN – отдельная подсеть, отдельный домен бродкаста, используется для логической сегментации сети, ограничения домена широковещательной рассылки, безопасности и т.д.

Обычно сеть делится на VLANы, далее c помощью router-on-the-stick либо многоуровнего свича (любого устройства 3 уровня) включается маршрутизация (разрешается весь трафик), а потом, с помощью списков контроля доступа, прописывается кому, с кем и по какому протоколу разрешено “общаться” (или применяется контроль трафика исходя из требований политики безопасности вашей организации, как было бы написано в учебнике Cisco).

Но что же делать когда, например, сеть уже разделена, сегментирована, но возникла необходимость изолировать серверы либо группы хостов друг от друга?

У Cisco, как и других вендоров, есть дополнительные инструменты, помогающие ограничивать пересылку трафика между хостами, находящимися в пределах одной подсети или контроля трафика внутри VLAN. Для этого чаще всего используются Private VLANs (частные VLANы), VLAN access list и protected ports.

Следует отметить, что Private VLANы на Cisco поддерживаются на моделях Nexus, а так же Catalyst начиная с 3560 и старше.

Первый пример.

На свичах младших моделей есть такое понятие как private vlan edge. Настраивается очень просто – из режима конфигурации интерфейса прописываем команду (config-if)#switchport protected, в результате чего, хосты подключенные к этим портам буду изолированы друг от друга на 2 уровне (т.е. физически они будут подключены к одному свичу, находиться в одной подсети, но не будут “видеть” друг друга, при этом будут “видеть” все остальные хосты). Один из недостатков этого механизма, это то, что он имеет локальное значение для свича, и не масштабируется.( т.е. если мы соединим свич А и свич В транком, например, то protected порт свича А сможет “увидеть” protected порт свича B).

Остановимся более подробнее на частных VLANах. Основная цель статьи – научить настраивать частные VLANы, разобраться с терминологией, а так же получить общее представление, где их использовать.

Второй пример.

В первом примере, сеть уже разбита на VLANы, но вдруг потребовалась изоляция хостов, что делать? Вы скажете, что всё очень просто: выносим хосты, которые требуется изолировать в отдельные VLANы, включаем маршрутизацию, с помощью списков контроля доступа изолируем их друг от друга. Для этого просто создаем еще несколько подсетей и всё. Но, вдруг вы работаете в организации, где очень строгая иерархия IP-адресации и просто получить еще одну частную подсеть не так легко либо у вас нет свободных VLANов?

VLAN Support Matrix for Catalyst Swithes
Type of Switch	Maximum No. of VLANs	VLAN IDs Range
Catalyst 2940	4	1-1005
Catalyst 2960 / 2955	250	1-4094.
Catalyst 2960	255	1-4094.
Catalyst 2970/2550/3560/3750	1005	1-4094.
Catalyst 2848G/2980G/4000/4500	4094	1-4094.
Catalyst 6500	4094	1-4094.

Рис. – Изоляция серверов в DMZ.

Третий пример.

Вы работаете в провайдере и предоставляете услуги web-хостинга для большого количества клиентов, вы поместили веб-серверы в одну сеть, при этом получается, что нет никакой изоляции, все они могут “слышать” броадкасты друг друга, т.е. передавать трафик без фильтрации через межсетевой экран. Если хакер сможет попасть на один из серверов, то он сможет развернуть атаку на все серверы, ”положить” всю серверную ферму. И, конечно же, клиенты хотят изоляции своих серверов друг от друга. Особенно PVLANы актуальны для провайдеров, предоставляющих layer 2 подключения как вид услуги, для разделения клиентов, клиент А конечно же не захочет, что бы его широковещательная рассылка попадала к клиенту Б, сами понимаете, какая дыра в безопасности здесь открывается. Традиционный выход из положения методом добавления нового VLANа здесь не подойдет (метод один VLAN на клиента), “упираемся” в масштабируемость максимальное количество VLANов 4094 минус зарезервированные. Вторая проблема, т.к. VLAN – отдельная подсеть, нужно заниматься subnetting и откидывать еще по 2 адреса на каждую подсеть (subnet и broadcast) жалко, так как это “белые” адреса :).

В данных ситуациях на помощь приходят частные VLANы.

Немного терминологии. Частные VLANы делятся на:

• Primary – основная, главная VLAN
• Secondary – второстепенные VLANы (бывают 2 видов isolated и community), все они должны принадлежать primary VLAN

Порты делятся на:

• Promiscuous – этот порт “видят” все и он “видит” всех, должен быть привязан к основному и всем второстепенным VLANам.
• Private vlan host может принадлежать:
• • Isolated VLAN- “видит” только promiscuous порт, не “видит” другие порты даже в своей isolated vlan. Должен быть привязан к своему isolated VLANу и primary VLANу
  • Community VLAN- “видит” только порты в данной community vlan, которой он принадлежит и promiscuous порт. Должен быть привязан к своему community VLANу и primary VLANу.

Общие правила

Только один isolated vlan может быть привязан к одному promiscuous порту. Если хотите несколько isolated vlan, тогда к каждому vlan должен быть привязан отдельный promiscuous порт.

Обычно создается только один isolated vlan, не важно, сколько там хостов, все равно они не будут видеть друг друга.

В отличие от isolated VLAN, несколько community VLAN может быть привязано к одному promiscuous порту.

Рассмотрим следующую топологию:

— Все устройства находятся в одной подсети 10.0.0.0/24 VLAN 10.
— R4 и R5 должны быть изолированы друг от друга и R2, R3 – т.е. должны иметь доступ только к интерфейсу маршрутизатора.
— R2 и R3 должны быть изолированы от R4, R5, но видеть друг друга и маршрутизатор.

Сперва создадим 2 второстепенных VLANа, 101 community VLAN и 102 isolated VLAN. VLAN 10 сделаем основной и привяжем к ней второстепенные( порядок ввода команд не имеет значения).

SW1 (config)#
vlan 101
	private-vlan community
!
vlan 102
	private-vlan isolated
!
vlan 10
	private-vlan primary
	private-vlan association 101-102

Проверим:

SW1#sh vlan private-vlan

Primary  Secondary    Type                         Ports
_ _ _ _  _ _ _ _ _ _  _ _ _ _ _ _ _ _ _ _ _ _ _ _  _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
10       101          community
10       102          isolated

Далее, мы должны ассоциировать порты c VLANами.

Из режима конфигурации интерфейса делаем его сначала private vlan host (говорим ему, что он необычный порт), второй командой привязываем его к isolated и primary VLANам

interface FastEthernet1/0/11
 description SW1 <-> R2
 switchport private-vlan host-association 10 101
 switchport mode private-vlan host
 spanning-tree portfast
end

По аналогии настраиваем интерфейс fa1/0/4

interface FastEthernet1/0/4
 description SW1 <-> R3
 switchport private-vlan host-association 10 101
 switchport mode private-vlan host
 spanning-tree portfast
end

То же самое прописываем на fa1/0/9 – сначала говорим ему, что он private vlan host и для того, что бы он понял, что он принадлежит community vlan 102, привязываем его к ней, а так же не забываем привязать его к основному VLANу.

interface FastEthernet2/0/2
 description SW1 <-> R6
 switchport private-vlan mapping 10 101-102
 switchport mode private-vlan promiscuous

Аналогично настраиваем fa1/0/9

interface FastEthernet2/0/11
 description SW1 <-> R5
 switchport private-vlan host-association 10 102
 switchport mode private-vlan host
 spanning-tree portfast

Интерфейсу fa2/0/2, так как мы хотим, что бы все хосты его “видели” и он всех “видел”, задаем режим promiscuous и по правилу привязываем его к основному и всем второстепенным VLANам.

interface FastEthernet2/0/2
 description SW1 <-> R6
 switchport private-vlan mapping 10 101-102
 switchport mode private-vlan promiscuous

Проверяем ассоциацию портов:

SW1#sh vlan private-vlan

Primary  Secondary    Type                         Ports
_ _ _ _  _ _ _ _ _ _  _ _ _ _ _ _ _ _ _ _ _ _ _ _  _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
10       101          community                    Fa1/0/4, Fa1/0/11, Fa2/0/2
10       102          isolated                     Fa1/0/9, Fa2/0/2, Fa2/0/11

Следующее действие не обязательное, создаем L3 SVI, для проверки, что isolated и community хосты могут его “видеть” так же, как и promiscuous port.

SW#sh run int vlan 10 | beg int
interface Vlan10
 ip address 10.0.0.1 255.255.255.0
 private-vlan mapping 101-102
end

SW#sh int vlan 10 private-vlan mapping
Interface  Secondary VLANs
_ _ _ _ _  _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
vlan 10    101,102
SW1#

И теперь самое интересное – как это все работает.

Взглянем на таблицу MAC-адресов на свиче, выглядит она необычно. Оказывается, MAC-адреса хостов на портах, с которых они были получены, одновременно ассоциируются с основным и второстепенным VLANами!

Почему хосты R4 и R5 в isolated vlan 102 не могут ничего “видеть” кроме интерфейса маршрутизатора? Обратите внимание, что MAC-адреса этих хостов в пределах 102 isolated vlan свич пометил, как BLOCKED, в то же время MAC-адрес promiscuous интерфейса маршрутизатора в пределах vlan 102, как обычный DYNAMIC.

Теперь давайте посмотрим, почему интерфейс маршрутизатора, помеченный, как promiscuous может “общаться” со всеми интерфейсами, дело в том, что он их может видеть через primary VLAN 10 (первые 5 строчек в таблице MAC-адресов).

 SW#sh arp
 Protocol   Address            Age (min)   Hardware Addr   Type   Interface
 Internet   10.0.0.2                 8     0014.a925.72a0  ARPA   Vlan10 pv 101
 Internet   10.0.0.3                 5     0014.a925.4cd8  ARPA   Vlan10 pv 101
 Internet   10.0.0.1                 -     0014.a98c.87c1  ARPA   Vlan10
 Internet   10.0.0.6                70     0014.a909.78d1  ARPA   Vlan10
 Internet   10.0.0.4                 4     0014.a909.7870  ARPA   Vlan10 pv 102
 Internet   10.0.0.5                 4     0014.a925.6460  ARPA   Vlan10 pv 102

 SW#sh mac-address-table
          Mac Address Table
 _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

 Vlan   Mac Address       Type       Ports
 _ _ _  _ _ _ _ _ _       _ _ _ _    _ _ _ _
  All   0100.0ccc.cccc    STATIC     CPU
  ....
  10   0014.a909.7870    DYNAMIC pv Fa1/0/9
  10   0014.a909.78d1    DYNAMIC    Fa2/0/2
  10   0014.a925.4cd8    DYNAMIC pv Fa1/0/4
  10   0014.a925.6460    DYNAMIC pv Fa2/0/11
  10   0014.a925.72a0    DYNAMIC pv Fa1/0/11
 101   0014.a909.78d1    DYNAMIC pv Fa2/0/2
 101   0014.a925.4cd8    DYNAMIC    Fa1/0/4
 101   0014.a925.72a0    DYNAMIC    Fa1/0/11
 102   0014.a909.7870    BLOCKED    Fa1/0/9
 102   0014.a909.78d1    DYNAMIC pv Fa2/0/2
 102   0014.a925.6460    BLOCKED    Fa2/0/11
  
 SW1#

В следующей статье рассмотрим тонкости масштабируемости частных VLANов, как между свичами поддерживающими эту технологию, так и на / через обычные свичи, которые даже и не знают такого понятия, как частный VLAN (нет, нет никакого двойного тегирования фрэйма) и типы “специальных” транков.

Как создать и удалить VLAN на коммутаторе Cisco Catalyst

Одним из типичных действий по настройке, которые вы выполняете на коммутаторе Cisco, является управление VLAN.

VLAN означает виртуальную локальную сеть.

В одном физическом коммутаторе Cisco можно создать несколько сетей VLAN, которые подключаются к другой сети.

Например, VLAN для сети 10.10.191.0, VLAN для сети 10.10.192.0 и VLAN для сети 10.10.193.0. Все три из них могут быть настроены в одном физическом коммутаторе.

Хотя эти команды были протестированы на коммутаторе Cisco серии 3750, аналогичные команды (могут быть с небольшим изменением формата номера порта) должны работать на всех коммутаторах Cisco.

Создание VLAN на коммутаторе Cisco

Если вы планируете иметь только одну сеть во всем коммутаторе (например, 10.10.192.0). все порты коммутатора будут подключены к сети 10.10.192.0, тогда вам не нужно создавать VLAN, просто используйте VLAN по умолчанию 1.

Каждый коммутатор поставляется с VLAN по умолчанию 1, как показано ниже.В этом примере все порты в этом коммутаторе (от 1 до 8) являются частью VLAN по умолчанию 1.

 # шоу влан

Порты состояния имени VLAN
---- -------------------------------- --------- ----- -------
1 по умолчанию активный Gi1 / 0/1, Gi1 / 0/2, Gi1 / 0/3, Gi1 / 0/4
                          Gi1 / 0/5, Gi1 / 0/6, Gi1 / 0/7, Gi1 / 0/8 

В следующем примере мы создаем сеть VLAN 192 (для сети 10.10.192.0). При создании VLAN вам также необходимо указать диапазон портов коммутатора, который должен быть частью этой сети VLAN.

В этом примере порты с 3 по 6 настроены как часть сети VLAN 192.

 конфиг т
Влан 192
диапазон интерфейса гигабитный Ethernet 1/0 / 3-6
switchport access vlan 192
выход 

В приведенных выше командах:

• config t — переходит в режим конфигурации
• vlan 192 — Создает VLAN 192
• диапазон интерфейса gigabitEthernet 1/0 / 3-6 — указывает, что номера портов с 3 по 6 назначены для этой VLAN
• swithport access vlan 192 — Указывает, что доступ к vlan 192 включен

Помимо предоставления доступа к vlan 192 для номеров портов с 3 по 6, вы также можете указать следующие дополнительные параметры конфигурации порта коммутатора (например, доступ без согласования и режим)

 конфиг т
диапазон интерфейса гигабитный Ethernet 1/0 / 3-6
режим переключения
switchport не вести переговоры
выход 

После создания VLAN проверьте его, как показано ниже,

 # шоу влан

Порты состояния имени VLAN
---- -------------------------------- --------- ----- -------
1 по умолчанию активный Gi1 / 0/1, Gi1 / 0/2, Gi1 / 0/7, Gi1 / 0/8
192 VLAN0192 активный Gi1 / 0/3, Gi1 / 0/4, Gi1 / 0/5, Gi1 / 0/6 

Кроме того, всегда рекомендуется обновить ISO-образ на коммутаторе cisco до последней версии.

Удалить VLAN на коммутаторе Cisco

Возможно, вы захотите удалить VLAN, если вы планируете переключать порты, назначенные VLAN 192, на другую VLAN. Или, возможно, вы захотите удалить VLAN только потому, что создали ее по ошибке.

Давайте предположим, что вы хотите удалить VLAN 192 (порты 3 — 6), которую вы только что создали.

Удаление VLAN так же просто, как назначение VLAN 1 по умолчанию для портов, являющихся частью VLAN, которые вы хотите удалить, и удаление VLAN.

, т.е. если вы хотите удалить VLAN 192, назначьте VLAN 1 для портов с 3 по 6 и просто удалите VLAN 192.

Сначала назначьте VLAN 1 по умолчанию для портов 3 и 6, как показано ниже.

 Гигабитный интерфейс Черн 1/0 / 3-6
свитпорт доступ влан 1
выход 

Затем удалите сам vlan, как показано ниже.

 нет влан 192 

Наконец, убедитесь, что VLAN 192 была удалена, как показано ниже.

 # шоу влан

Порты состояния имени VLAN
---- -------------------------------- --------- ----- -------
1 по умолчанию активный Gi1 / 0/1, Gi1 / 0/2, Gi1 / 0/3, Gi1 / 0/4
                          Gi1 / 0/5, Gi1 / 0/6, Gi1 / 0/7, Gi1 / 0/8 

И последнее замечание: если вы не знаете, что делаете, не выполняйте ни одну из вышеперечисленных команд на рабочем коммутаторе, так как это может привести к выходу из строя сети.Делайте это только в тестовой системе, где вы можете поиграться и научиться управлять VLAN на коммутаторе cisco.

Если вам понравилась эта статья, вам также может понравиться ..

,

Настройка параметров интерфейса порта к VLAN на коммутаторе через CLI анг = «рус»>

Цель

Виртуальная локальная сеть (VLAN) позволяет логически сегментировать локальную сеть (LAN) на разные широковещательные домены. В сценариях, где конфиденциальные данные может транслироваться в сети, могут быть созданы VLAN для повышения безопасности путем назначения трансляции для конкретного VLAN. Только пользователи, принадлежащие к VLAN, могут получить доступ к данным в этой VLAN и манипулировать ими.

Можно настроить порты и указать, должен ли порт быть в режиме доступа или в режиме магистрали, и назначить конкретный порты для VLAN. Эта статья содержит инструкции о том, как настроить интерфейс VLAN как доступ или транк порт на коммутаторе через интерфейс командной строки (CLI).

Введение

VLAN — это сеть, которая обычно сегментируется по функциям или приложениям. Сети VLAN ведут себя так же, как физические локальные сети, но вы можете группировать хосты, даже если они не физически совмещен.Порт коммутатора может принадлежать VLAN. Одноадресные, широковещательные и многоадресные пакеты пересылаются и залил порты в той же VLAN.

Виртуальные локальные сети

также можно использовать для повышения производительности за счет уменьшения необходимости отправки широковещательных и многоадресных рассылок на ненужные направления. Это также облегчает настройку сети за счет логического подключения устройств без физического перемещение этих устройств.

Примечание: Чтобы узнать, как настроить параметры VLAN на коммутаторе с помощью веб-утилиты, нажмите здесь.Для получения инструкций на основе CLI, нажмите здесь.

На изображении ниже показан коммутатор SG350X, который настроен со следующими VLAN:

• VLAN1 — это VLAN по умолчанию. Коммутатор подключен к маршрутизатору через эту VLAN. Это можно использовать но не может быть изменено или удалено.
• VLAN10 — виртуальная сеть для отдела администрирования. Сетевой адрес 192.168.10.1 с маской подсети 255.255.255.0 или / 24.
• VLAN20 — Виртуальная сеть для финансового отдела. Сетевой адрес 192.168.20.1 с маской подсети 255.255.255.0 или / 24.
• VLAN30 — Виртуальная сеть для Операционного отдела. Сетевой адрес 192.168.30.1 с маской подсети 255.255.255.0 или / 24.

В более крупной сети настроенные VLAN с интерфейсами, назначенными в качестве портов доступа и внешних линий на коммутаторах, могут выглядеть так:

Режимы порта определены следующим образом:

• Порт доступа — предполагается, что кадры, полученные на интерфейсе, не имеют тега VLAN и назначены указанная VLAN.Порты доступа используются главным образом для хостов и могут переносить трафик только для одной VLAN.
• Trunk Port — предполагается, что кадры, полученные на интерфейсе, имеют теги VLAN. Магистральные порты предназначены для ссылок между коммутаторами или другими сетевыми устройствами и способны передавать трафик для нескольких VLAN.

Примечание: По умолчанию все интерфейсы находятся в режиме транка, что означает, что они могут переносить трафик для всех VLAN. к знать, как назначить интерфейсную VLAN как порт доступа или магистрали через веб-утилиту коммутатора, кликните сюда.

Чтобы настроить VLAN, следуйте этим рекомендациям:

1. Создайте VLAN. Чтобы узнать, как настроить параметры VLAN на коммутаторе с помощью веб-утилиты, кликните сюда. Для получения инструкций на основе CLI, нажмите здесь.

2. (Необязательно) Установите желаемую конфигурацию VLAN для портов. Для получения инструкций о том, как настроить VLAN Настройки интерфейса на вашем коммутаторе через веб-утилиту, нажмите здесь. Для получения инструкций на основе CLI, нажмите здесь.

3. Назначьте интерфейсы для VLAN. Для получения инструкций о том, как назначать интерфейсы для VLAN через веб-интерфейс утилита вашего коммутатора, нажмите здесь.

4. (Необязательно) Настройте группы VLAN на коммутаторе. Вы можете настроить любое из следующего:

Обзор группы VLAN на основе MAC
• — Инструкции по настройке групп VLAN на основе MAC с помощью веб-утилита вашего коммутатора, нажмите здесь. Для получения инструкций на основе CLI, нажмите здесь.
Обзор групп VLAN на основе подсети
• — Инструкции по настройке групп VLAN на основе подсети с помощью веб-утилита вашего коммутатора, нажмите здесь. Для получения инструкций на основе CLI, нажмите здесь.
Обзор групп VLAN на основе протокола
• — Инструкции по настройке групп VLAN на основе протокола через веб-утилиту вашего коммутатора, нажмите здесь. Для получения инструкций на основе CLI, нажмите здесь.

5. (Необязательно) Сконфигурируйте настройки TV VLAN на коммутаторе.Вы можете настроить любое из следующего:

• Access Port Multicast TV VLAN — Инструкции по настройке Access Port Multicast TV VLAN через веб-утилита вашего коммутатора, нажмите здесь.
• VLAN для многоадресной передачи по абонентскому порту — для получения инструкций по настройке VLAN по многоадресной передаче для абонентского порта. через веб-утилиту вашего коммутатора, нажмите здесь.

Применимые устройства | Версия программного обеспечения

Настройте параметры интерфейса VLAN на коммутаторе через CLI

Настройка интерфейса в качестве порта доступа и назначение VLAN

Шаг 1.Войдите в консоль коммутатора. Имя пользователя и пароль по умолчанию — cisco / cisco. Если вы настроили новое имя пользователя или пароль, введите учетные данные.

Примечание: Команды могут различаться в зависимости от конкретной модели вашего коммутатора. В этом примере SG350X Доступ к коммутатору осуществляется через Telnet.

Шаг 2. Чтобы отобразить текущую VLAN на коммутаторе, введите следующее:

SG350X # show vlan

Примечание: В этом примере доступны VLAN 1, 10, 20 и 30 без назначенных вручную портов.

Шаг 3. В режиме Privileged EXEC коммутатора войдите в режим глобальной конфигурации, введя следующее:

SG350X # настроить терминал

Шаг 4. В режиме глобальной конфигурации введите контекст конфигурации интерфейса, введя следующее:

SG350X (config) # interface [interface-id | диапазон vlan vlan-диапазон]

Варианты:

• interface-id — указывает идентификатор интерфейса, который необходимо настроить.
• диапазон vlan vlan-range — Определяет список VLAN. Отдельные непоследовательные VLAN с запятой и без пробелов. Используйте дефис для обозначения диапазона VLAN.

Примечание: В этом примере вводится диапазон интерфейсов, охватывающий порты с 14 по 24.

Шаг 5. В контексте конфигурации интерфейса используйте команду switchport mode для настройки VLAN режим членства.

SG350X (config-if-range) # доступ в режиме switchport

Шаг 6.Используйте команду switchport access vlan , чтобы назначить порт или диапазон портов для портов доступа. порт в режиме доступа может иметь только одну VLAN, настроенную на интерфейсе, который может нести трафик только для одного VLAN.

SG350X (config-if-range) # доступ к порту коммутатора vlan [vlan-id | нет]

Варианты:

• vlan-id — указывает VLAN, для которой настроен порт.
• нет — указывает, что порт доступа не может принадлежать ни одной VLAN.

Примечание: В этом примере диапазон портов назначен VLAN 30.

Шаг 7. (Необязательно) Чтобы вернуть порт или диапазон портов в VLAN по умолчанию, введите следующее:

SG350X (config-if-range) # нет доступа к коммутатору vlan

Шаг 8. Чтобы выйти из контекста конфигурации интерфейса, введите следующее:

SG350X (config-if-range) # выход

Шаг 9.(Необязательно) Повторите шаги 4–6, чтобы настроить дополнительные порты доступа и назначить соответствующие VLAN.

Примечание: В этом примере диапазон интерфейсов от 26 до 36 назначен VLAN 10, а диапазон интерфейсов — от 38 до 48. назначены на VLAN 20.

SG350X (config-if) # конец

Шаг 10. Введите команду end , чтобы вернуться в режим Privileged EXEC:

Шаг 11. (Необязательно) Чтобы отобразить настроенные порты в VLAN, введите следующее:

SG350X # show vlan

Примечание: Настроенные порты должны отображаться в соответствии с назначенными VLAN.В этом примере диапазон интерфейсов 26–36 назначен в VLAN 10, 38–48 принадлежат VLAN 20, а 14–24 настроены на VLAN 30.

Шаг 12. (Необязательно) В режиме Privileged EXEC коммутатора сохраните сконфигурированные настройки при запуске файл конфигурации, введя следующее:

SG350X # копировать run-config startup-config

Шаг 13. (Необязательно) Нажмите Y для Да или N для Нет на клавиатуре после перезаписи файла. [startup-config]… появляется приглашение.

Теперь вы должны настроить интерфейсы вашего коммутатора в качестве портов доступа и назначить их соответствующим Сети VLAN.

Настройте интерфейс как магистральный порт и назначьте VLAN

Шаг 1. В режиме Privileged EXEC коммутатора войдите в режим глобальной конфигурации, введя следующее:

SG350X # настроить терминал

Шаг 2. В режиме глобальной конфигурации введите контекст конфигурации интерфейса, введя следующее:

SG350X # интерфейс [идентификатор интерфейса | диапазон vlan vlan-диапазон]

Варианты:

• interface-id — указывает идентификатор интерфейса, который необходимо настроить.
• диапазон vlan vlan-range — Определяет список VLAN. Отдельные непоследовательные VLAN с запятой и без пробелов. Используйте дефис для обозначения диапазона VLAN.

Примечание: В этом примере используется интерфейс ge1 / 0/13.

Шаг 3. В контексте конфигурации интерфейса используйте команду switchport mode для настройки VLAN режим членства.

SG350X (config-if) # магистральный режим коммутатора

Шаг 4.(Необязательно) Чтобы вернуть порт к VLAN по умолчанию, введите следующее:

SG350X (config-if) # нет магистрали режима коммутации

Шаг 5. Используйте команду switchport trunk позволил vlan , чтобы указать, к каким VLAN принадлежит порт, когда его режим настроен как транк.

SG350X (config-if) #switchport trunk позволил vlan [все | нет | добавить vlan-список | удалить vlan-list | кроме vlan-list]

Варианты:

• all — Определяет все VLAN от 1 до 4094.В любое время порт принадлежит всем VLAN, существующим на время.
• нет — Указывает пустой список VLAN. Порт не принадлежит ни одной VLAN.
• add vlan-list — Список идентификаторов VLAN для добавления в порт. Отдельные непоследовательные идентификаторы VLAN через запятую и без пробелов. Используйте дефис для обозначения диапазона идентификаторов.
• удалить vlan-list — список идентификаторов VLAN для удаления из порта. Отдельные непоследовательные идентификаторы VLAN с запятая и без пробелов.Используйте дефис для обозначения диапазона идентификаторов.
• кроме vlan-list — Список идентификаторов VLAN, включая все VLAN из диапазона 1-4094, кроме VLAN, принадлежащих ВЛС-лист.

Примечание: В этом примере порт ge1 / 0/13 принадлежит всем VLAN, кроме VLAN 10.

Шаг 6. Чтобы выйти из контекста конфигурации интерфейса, введите следующее:

SG350X (config-if) # выход

Шаг 7.(Необязательно) Чтобы вернуть порт или диапазон портов в VLAN по умолчанию, введите следующее:

SG350X (config-if) # запрещена магистраль коммутатора vlan

Шаг 8. (Необязательно) Повторите шаги 2–6, чтобы настроить дополнительные магистральные порты и назначить соответствующие VLAN.

Примечание: В этом примере интерфейс ge1 / 0/25 принадлежит VLAN 10, а не VLAN 20, а интерфейс ge1 / 0/27 принадлежит всем VLAN кроме VLAN 10.

Шаг 9. Введите команду end , чтобы вернуться в режим Privileged EXEC:

SG350X (config-if) # конец

Шаг 10. (Необязательно) Чтобы отобразить настроенные порты в VLAN, введите следующее:

SG350X # show vlan

Примечание: Настроенные порты должны отображаться в соответствии с назначенными VLAN. В этом примере ствол порт gi1 / 0/25 принадлежит VLAN 10 и VLAN 30, gi1 / 0/13 и gi1 / 0/37 оба относятся к VLAN 20 и VLAN 30.

Шаг 11. (Необязательно) В режиме Privileged EXEC коммутатора сохраните сконфигурированные настройки при запуске файл конфигурации, введя следующее:

SG350X # копировать run-config startup-config

Шаг 12. (Необязательно) Нажмите Y для Да или N для Нет на клавиатуре после перезаписи файла. [startup-config]… появляется приглашение.

Теперь вы должны настроить интерфейсы вашего коммутатора как магистральные порты и назначить их соответствующим Сети VLAN.

Важно: Чтобы приступить к настройке параметров группы VLAN на коммутаторе, следуйте приведенным выше инструкциям.

Другие ссылки, которые вы можете найти ценные

,

Настройка VLAN на коммутаторе

Настройте VLAN на коммутаторе

Цель

Создание виртуальной локальной сети (VLAN)
позволяет создавать отдельные широковещательные домены на коммутаторе. Широковещательные домены могут связываться друг с другом с помощью устройства уровня 3, такого как маршрутизатор. VLAN является в основном используется для формирования групп среди хостов независимо от их физического расположения. Таким образом, VLAN повышает безопасность с помощью формирования группы среди хостов.Когда VLAN создана, это не имеет никакого эффекта пока эта VLAN не будет подключена хотя бы к одному порту вручную или динамически. Одна из самых распространенных причин настроить VLAN — это настроить отдельную VLAN для голоса и отдельную VLAN для данных. Это направляет пакеты для оба типа данных, несмотря на использование одной и той же сети.

Цель этой статьи — показать, как создать, изменить или удалить VLAN.

Применимые устройства | Версия прошивки

VLAN Settings

Создать VLAN

Шаг 1.Войдите в веб-утилиту и выберите Управление VLAN> Настройки VLAN .

Шаг 2. В области VLAN Table нажмите Add, чтобы создать новую VLAN. Окно всплывет.

Шаг 3. VLAN можно добавить двумя разными способами, как показано ниже. Выберите переключатель, который соответствует желаемому методу:

• VLAN — используйте этот метод для создания определенной VLAN.
Диапазон
• — используйте этот метод для создания сетей VLAN диапазона.

Шаг 4. Если вы выбрали VLAN на шаге 3, введите идентификатор VLAN в поле VLAN ID. Диапазон должен быть от 2 до 4094. Для этого примера идентификатор VLAN будет 4.

Шаг 5.В поле «Имя сети VLAN » введите имя VLAN . Для этого примера Имя VLAN будет Учет. Можно использовать до 32 символов.

Шаг 6. Установите флажок VLAN Interface State , чтобы включить состояние интерфейса VLAN; уже проверено по умолчанию.Если нет, VLAN будет эффективно отключена, и ничто не сможет быть передано или получено через VLAN.

Шаг 7. Установите флажок Связать состояния SNMP-ловушек, если вы хотите включить генерацию SNMP-ловушек. это является включен по умолчанию.

Шаг 8. Если вы выбрали Range на шаге 3, введите диапазон VLAN в поле VLAN Range. Доступный диапазон: 2–4094. В этом примере диапазон VLAN составляет от 3 до 52.

Примечание: Одновременно можно создать до 100 VLAN.

Шаг 9. Нажмите Применить .

Редактировать VLAN

Шаг 1. Войдите в веб-утилиту и выберите Управление VLAN> Настройки VLAN . VLAN Откроется страница настроек .

Шаг 2. Установите флажок рядом с VLAN, которую вы хотите редактировать.

Шаг 3.Нажмите Изменить , чтобы редактировать выбранную VLAN. Откроется окно Edit VLAN .

Шаг 4. Текущую VLAN можно изменить с помощью раскрывающегося списка VLAN ID . Это используется для быстрого переключения между VLAN, которые вы хотите настроить, не возвращаясь на страницу настроек VLAN.

Шаг 5. Измените имя VLAN в поле VLAN Name . Это имя не влияет на производительность VLAN, и используется для легкой идентификации.

Шаг 6. Установите флажок Состояние интерфейса VLAN, чтобы включить состояние интерфейса VLAN; это уже проверено дефолт. Если нет, VLAN будет эффективно отключена, и ничто не сможет быть передано или получено через VLAN.

Шаг 7. Установите флажок Включить SNMP-ловушки состояния соединения, чтобы включить генерацию SNMP-ловушек со ссылкой информация о статусе. Этот флажок установлен по умолчанию.

Шаг 8.Нажмите Применить .

Удалить VLAN

Шаг 1. Войдите в веб-утилиту и выберите Управление VLAN> Настройки VLAN .

Шаг 2. Установите флажок рядом с VLAN, которую вы хотите удалить.

Шаг 3. Нажмите Удалить , чтобы удалить выбранную VLAN.

Вы успешно удалили VLAN.

Посмотрите видео, относящееся к этой статье…

,

Как создать и настроить VLAN на коммутаторе Cisco с примером

В этом посте речь пойдет о создании VLAN уровня 2 на коммутаторах Cisco и выполнении всех соответствующих конфигураций.

На каталитических коммутаторах Cisco можно настроить до 4094 VLAN. По умолчанию только коммутатор VLAN 1 настроен на коммутаторе, поэтому, если вы подключаете хосты к коммутатору «из коробки», все они принадлежат одному и тому же широковещательному домену уровня 2.

Необходимость настройки нескольких VLAN уровня 2 на коммутаторе возникает из-за необходимости сегментировать внутреннюю локальную сеть (LAN) в разные IP-подсети.

Если вы хотите, например, разделить разные отделы вашего предприятия на разные IP-подсети, то каждый отдел должен принадлежать к своей собственной VLAN уровня 2. Например, предположим следующий сценарий:

• бухгалтерия: IP-подсеть 192.168.2.0/24 -> VLAN 2
• отдел управления: IP-подсеть 192.168.3.0/24 -> VLAN 3
• инженерный отдел : IP-подсеть 192.168.4.0/24 -> VLAN 4

Разделяя внутреннюю локальную сеть на разные IP-подсети (и, следовательно, разные VLAN), администраторы сети могут применять ограничения трафика при необходимости между отделами и лучше контролировать внутренние хосты.

Назначение VLAN на коммутаторе настраивается для каждого интерфейса. То есть каждый интерфейс порта коммутатора назначается индивидуально в VLAN уровня 2.

Если у вас подключено более одного коммутатора, и вы хотите, чтобы одни и те же VLAN принадлежали всем коммутаторам, то между коммутаторами должен быть настроен магистральный порт .

Магистральный порт передает все VLAN между коммутаторами. Давайте рассмотрим следующий сетевой сценарий, чтобы помочь нам прояснить некоторые понятия.

В приведенной выше сети LAN у нас есть три VLAN.VLAN 2,3 и 4. VLAN 4 принадлежит как SWITCH 1, так и SWITCH 2, поэтому нам нужен Trunk Port между двумя коммутаторами, чтобы хосты в VLAN4 на коммутаторе 1 могли обмениваться данными с хостами в VLAN4 на коммутаторе 2.

Порты двух коммутаторов должны быть настроены следующим образом:

ПЕРЕКЛЮЧАТЕЛЬ 1:
Fe0 / 1 — Fe0 / 2 -> VLAN 2 (учет)
Fe0 / 10 — Fe0 / 11 -> VLAN 4 ( Проектирование)
Fe0 / 24 -> Магистральный порт

ВЫКЛЮЧАТЕЛЬ 2:
Fe0 / 1 — Fe0 / 2 -> VLAN 3 (Управление)
Fe0 / 10 — Fe0 / 11 -> VLAN 4 (Разработка)
Fe0 / 24 -> Магистральный порт

Как создавать и настраивать VLAN на коммутаторах Cisco

Конфигурация коммутатора 1:
! Создание VLAN 2 и 4 в базе данных коммутатора
Switch2 # настройка терминала
Switch2 (config) # vlan 2
Switch2 (config-vlan) # name Учет
Switch2 (config-vlan) # end

Switch2 (config) # vlan 4
Switch2 (config-vlan) # name Engineering
Switch2 (config-vlan) # end

! Назначьте порты Fe0 / 1 и Fe0 / 2 в VLAN 2
Switch2 (config) # interface fastethernet0 / 1
Switch2 (config-if) # доступ в режим switchport
Switch2 (config-if) # доступ к switchport vlan 2
Switch2 (config) -if) # end
Switch2 (config) # interface fastethernet0 / 2
Switch2 (config-if) # доступ в режиме switchport
Switch2 (config-if) # switc

.