Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S
Добрый день уважаемые читатели, сегодня я вам расскажу как как происходит создание vlan, что такое VLAn написано по ссылке слева, теперь давайте его создадим, так как только практика позволяет все осознать на сто процентов. Для начала посмотрим список vlan, делается в обычном режиме командной строки. Для этого воспользуемся командой.
Cоздание vlan
Переходим от слов к делу и делаем vlan на cisco,
sh vlan
Видим что есть vlan 1 и все порты по умолчанию в нем.
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-01
Создадим vlan 2 для отдела бухгалтерии. Заходим в режим конфигурирования.
conf tvlan 2
name buh
exit
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-02
Общая схема такая
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-03
Теперь подключим интерфейсы Fa0/1 и Fa0/2 к которым подключены компьютеры бухгалтерии к vlan2
interface fastEthernet 0/1
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-04
Теперь переключим vlan для данного интерфейса.
switchport mode accessswitchport access vlan 2
end
wr
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-05
Вводим sh vlan и видим появился vlan 2 и в нем нужный интерфейс.
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-06
Сделаем тоже самое для Fa0/2
switchport mode accessinterface fastEthernet 0/2
switchport access vlan 2
end
wr
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-07
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-08
Создадим vlan 3 для user
пишем vlan 3name user
exit
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-09
Добавим vlan 3 ip адрес 192.168.3.254
interface vlan 3
ip address 192.168.3.254 255.255.255.0
end
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S10
Теперь проверим наш ip на vlan3 на vlan 2 я настраивал аналогично
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S11
Теперь подключим интерфейсы Fa0/3 и Fa0/4 к которым подключены компьютеры пользователей к vlan3
switchport mode accessinterface fastEthernet 0/3
switchport access vlan 3
exit
interface fastEthernet 0/4
switchport mode access
switchport access vlan 3
wr
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S12
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S13
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S14
Посмотрим конфиг
do sh run
Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S15
На этом все vlan настроены в следующей части мы поговорим про trunk порты которые позволяют настроить коммутатор в коммутатор
pyatilistnik.org
Настройка VLAN в Cisco
На решение коммутатора о перенаправлении фреймов оказывают влияние многие факторы, но наибольшее влияние оказывают так называемые виртуальные локальные сети VLAN. VLAN (Virtual Local Area Network) – логическая (виртуальная) локальная сеть, которая представляет из себя группу хостов, взаимодействующих так, если бы они были подключены к одному широковещательному домену. Взаимодействие обеспечивается независимо от физического местонахождения хостов.
Без виртуальных сетей коммутатор полагает, что все его интерфейсы находятся в одном широковещательном домене. Таким образом, когда на один порт коммутатора поступает широковещательное сообщение, он перенаправляет его на все остальные порты. Если следовать данной логике, то для создания двух разных широковещательных доменов, нам необходимо приобрести два разных коммутатора. Иными словами, если мы хотим разграничить трафик одной подсети от другой, то необходима покупка дополнительного оборудования. А таких подсетей может быть десятки.
Ниже представлена простая схема, где применяется VLAN. Видно, что сервера находятся в VLAN 10, а компьютеры в VLAN 20. Порты в сторону оборудования – это порты доступа (Access port). Порт между коммутаторами является транковым (Trunk port). Транковый порт пропускает оба VLAN. Таким образом, можно выделить отдельные группы устройств в подсеть и назначить ей собственный номер VLAN’a. Допустим, сервера будут находится в разных странах, но при этом все-равно работать в одной подсети, что очень удобно. 
Преимущества применения сетей VLAN:
- Оптимальное использование ресурсов процессора каждого хоста в сети, за счет сокращения количества ненужных широковещательных сообщений
- Защита хостов, пересылающих важные данные, за счет помещения их в отдельную сеть VLAN
- Гибкое разделение пользователей в группы (например, по отделам) вместо физического разделения по местоположению
- Упрощение диагностики сети, так как большинство проблем локализуются в области набора устройств, формирующих широковещательный домен
VLAN используется практически во всех крупных корпоративных сетях. Более подробно про VLAN можно почитать в этой статье. Мы же не будет углубляться в теорию, а перейдем непосредственно к практике.
Будем настраивать такую схему.
Небольшие пояснения к схеме. У нас имеется два физически разделенных офиса EKT1 и EKT2. EKT1 – это название и номер площадки (г. Екатеринбург). Хосты подключаются к acess-switch’ам (коммутаторам доступа). Трафик с обеих площадок агрегируется в одной точке EKT10. На данной площадке находится distribution-switch (коммутатор распределения) и маршрутизатор. Всего будет четыре категории:
- Администратор
- Сервера
- Офисные сотрудники
- Беспроводные устройства
Соответственно задача стоит разделить данные устройства каждые в свою подсеть и присвоить им соответствующие VLAN. Первым делом составим план IP-адресации в сети, номера портов, план VLAN. Будем использовать Ip-адреса из диапазона “серых” Ip-адресов 172.16.0.0/16.
| Категория хоста | Ip-подсеть | Номер VLAN |
| Администратор | 172.16.0.0/24 | 2 |
| Сервера | 172.16.1.0/24 | 3 |
| Офисные сотрудники | 172.16.2.0/24 | 10 |
| Беспроводные устройства | 172.16.3.0/24 | 11 |
Тут же небольшое пояснение. В каждой подсети должен обязательно присутствовать шлюз по-умолчанию, для того, чтобы компьютер понимал куда слать пакеты в случае если подсеть не его. Ip-адрес шлюза по-умолчанию выбирается по следующему шаблону 172.16.x.1, где x – номер подсети.
Номера портов на свичах будут выбираться по следующему порядку. Порты fastEthernet с 1 по 10 заняты под ПК сотрудников, с 11 по 15 заняты под беспроводные точки, с 16 по 20 заняты под сервера. 21 порт используется для подключения ноутбука админа. 22 – 24 подключение к другим сетевым устройствам (коммутаторам, шлюзам). Все вроде с планом разобрались, перейдем теперь к самому главному 🙂
Каждому хосту присвоим Ip-адрес, маску, шлюз по-умолчанию согласно плану. Ниже пример для ноутбука администратора.
Перейдем к настройке первого access-switch’a – sw1.ekt1. Ниже будет приведена конфигурация с пояснениями.
sw1.ekt1>enable - переходим в расширенный режим sw1.ekt1#configure terminal - переходим в режим конфигурации sw1.ekt1(config)#vlan 2 - создаем vlan 2 sw1.ekt1(config-vlan)#name Admin - название для vlan 2 sw1.ekt1(config)#vlan 3 - создаем vlan 3 sw1.ekt1(config-vlan)#name Server - название для vlan 3 sw1.ekt1(config)#vlan 10 - создаем vlan 10 sw1.ekt1(config-vlan)#name Office-PC - название для vlan 10 sw1.ekt1(config)#vlan 11 - создаем vlan 11 sw1.ekt1(config-vlan)#name Wireless-DEV - название для vlan 11 sw1.ekt1(config-vlan)#exit sw1.ekt1(config)#interface range fa0/1 - fa0/10 - настраиваем интерфейсы для ПК sw1.ekt1(config-if-range)#description Office-PC - описание интерфейсов sw1.ekt1(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный) sw1.ekt1(config-if-range)#switchport access vlan 10 - маркируем порты с 1 по 10 vlan 10 sw1.ekt1(config-if-range)#exit sw1.ekt1(config)#interface range fa0/11 - fa0/15 - настраиваем интерфейсы для Точек доступа sw1.ekt1(config-if-range)#description Wireless-DEV - описание интерфейсов sw1.ekt1(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный) sw1.ekt1(config-if-range)#switchport access vlan 11 - маркируем порты с 11 по 15 vlan 11 sw1.ekt1(config-if-range)#exit sw1.ekt1(config)#interface range fa0/16 - fa0/20 - настраиваем интерфейсы для Серверов sw1.ekt1(config-if-range)#description Server - описание интерфейсов sw1.ekt1(config-if-range)#switchport mode access - переключаем порты в режим доступа sw1.ekt1(config-if-range)#switchport access vlan 3 - маркируем порты с 16 по 20 vlan 3 sw1.ekt1(config-if-range)#exit sw1.ekt1(config)#interface fa0/21 - настраиваем интерфейс для Администратора sw1.ekt1(config-if-range)#description Admin - описание интерфейсов sw1.ekt1(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный) sw1.ekt1(config-if-range)#switchport access vlan 2 - маркируем порты с 16 по 20 vlan 3 sw1.ekt1(config-if-range)#exit sw1.ekt1(config)#interface fa0/24 - настраиваем интерфейс в сторону Свича sw1.ekt10 sw1.ekt1(config-if-range)#description sw1.ekt10 - описание интерфейсов sw1.ekt1(config-if-range)#switchport mode trunk - переключаем порты в транковый режим (нетегированный) sw1.ekt1(config-if-range)#switchport trunk allowed vlan 2-3,10-11 - передаем через порт 24 все VLAN'ы w1.ekt1(config-if-range)#exit
Теперь коммутатор sw1.ekt1 будет маркировать кадры соответствующим номером VLAN. При передаче на центральный свич sw1.ekt10 будут пропускаться все VLAN – 2,3,10,11.
Перейдем теперь к настройке второго аксес свчиа sw1.ekt2. Его настройка будут полностью совпадать с настройками sw1.ekt1, за исключением того, что к sw1.ekt2 не подключен ноутбук админа.
sw1.ekt2>enable - переходим в расширенный режим sw1.ekt2#configure terminal - переходим в режим конфигурации sw1.ekt2(config)#vlan 3 - создаем vlan 3 sw1.ekt2(config-vlan)#name Server - название для vlan 3 sw1.ekt2(config)#vlan 10 - создаем vlan 10 sw1.ekt2(config-vlan)#name Office-PC - название для vlan 10 sw1.ekt2(config)#vlan 11 - создаем vlan 11 sw1.ekt2(config-vlan)#name Wireless-DEV - название для vlan 11 sw1.ekt2(config-vlan)#exit sw1.ekt2(config)#interface range fa0/1 - fa0/10 - настраиваем интерфейсы для ПК sw1.ekt2(config-if-range)#description Office-PC - описание интерфейсов sw1.ekt2(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный) sw1.ekt2(config-if-range)#switchport access vlan 10 - маркируем порты с 1 по 10 vlan 10 sw1.ekt2(config-if-range)#exit sw1.ekt2(config)#interface range fa0/11 - fa0/15 - настраиваем интерфейсы для Точек доступа sw1.ekt2(config-if-range)#description Wireless-DEV - описание интерфейсов sw1.ekt2(config-if-range)#switchport mode access - переключаем порты в режим доступа (тегированный) sw1.ekt2(config-if-range)#switchport access vlan 11 - маркируем порты с 11 по 15 vlan 11 sw1.ekt2(config-if-range)#exit sw1.ekt2(config)#interface range fa0/16 - fa0/20 - настраиваем интерфейсы для Серверов sw1.ekt2(config-if-range)#description Server - описание интерфейсов sw1.ekt2(config-if-range)#switchport mode access - переключаем порты в режим доступа sw1.ekt2(config-if-range)#switchport access vlan 3 - маркируем порты с 16 по 20 vlan 3 sw1.ekt2(config-if-range)#exit sw1.ekt2(config)#interface fa0/24 - настраиваем интерфейс в сторону Свича sw1.ekt10 sw1.ekt2(config-if-range)#description sw1.ekt10 - описание интерфейсов sw1.ekt2(config-if-range)#switchport mode trunk - переключаем порты в транковый режим (нетегированный) sw1.ekt2(config-if-range)#switchport trunk allowed vlan 3,10-11 - передаем через порт 24 все VLAN'ы sw1.ekt2(config-if-range)#exit sw1.ekt2(config)do write - сохраняем конфигурацию к энергонезависимой памяти
Access-switch’и настроены, теперь необходимо настроить центральный свич sw1.ekt10.
sw1.ekt10>enable - переходим в расширенный режим sw1.ekt10#configure terminal - переходим в режим конфигурации sw1.ekt10(config)#vlan 2 - создаем vlan 2 sw1.ekt10(config-vlan)#name Admin - название для vlan 2 sw1.ekt10(config)#vlan 3 - создаем vlan 3 sw1.ekt10(config-vlan)#name Server - название для vlan 3 sw1.ekt10(config)#vlan 10 - создаем vlan 10 sw1.ekt10(config-vlan)#name Office-PC - название для vlan 10 sw1.ekt10(config)#vlan 11 - создаем vlan 11 sw1.ekt10(config-vlan)#name Wireless-DEV - название для vlan 11 sw1.ekt10(config-vlan)#exit sw1.ekt10(config)#interface fa 0/1 - настраиваем интерфейс в сторону sw1.ekt1 sw1.ekt10(config-if-range)#description sw1.ekt1 - описание интерфейсов sw1.ekt10(config-if-range)#switchport mode trunk - переключаем порты в режим транка (нетегированный) sw1.ekt10(config-if-range)#switchport trunk allowed vlan 2-3,10-11 - пропускаем через порт все VLAN sw1.ekt10(config-if-range)#exit sw1.ekt10(config)#interface fa 0/2 - настраиваем интерфейс в сторону sw1.ekt2 sw1.ekt10(config-if-range)#description sw1.ekt2 - описание интерфейсов sw1.ekt10(config-if-range)#switchport mode trunk - переключаем порты в режим транка (нетегированный) sw1.ekt10(config-if-range)#switchport trunk allowed vlan 3,10-11 - пропускаем через порт все VLAN sw1.ekt10(config-if-range)#exit sw1.ekt10(config)#interface fa 0/24 - настраиваем интерфейс в сторону рутера sw1.ekt10(config-if-range)#description r1.ekt10 - описание интерфейсов sw1.ekt10(config-if-range)#switchport mode trunk - переключаем порты в режим транка (нетегированный) sw1.ekt10(config-if-range)#switchport trunk allowed vlan 2-3,10-11 - пропускаем через порт все VLAN sw1.ekt10(config-if-range)#exit sw1.ekt10(config)#do write - сохраняем настройки в энергонезависимой памяти
Самая интересная часть статьи – настройка рутера r1.ekt10. Маршрутизатор будет являться шлюзом для всех четырех подсетей. Необходимо будет создать четыре сабинтерфейса – виртуальных интерфейса и присвоить каждому свой Ip-адрес и маску согласно плану. Приступим.
r1.ekt10>enable - переходим в расширенный режим r1.ekt10#configure terminal - переходим в режим конфигурации r1.ekt10(config)#interface fa 0/0 - настраиваем интерфейс в сторону sw1.ekt10 r1.ekt10(config-if)#description sw1.ekt10 - описание интерфейсов r1.ekt10(config-if)#no shutdown - включаем интерфейс физически r1.ekt10(config-if)#exit r1.ekt10(config)#interface fa0/0.2 - настраиваем сабинтерфейс для Админа r1.ekt10(config-subif)#description Admin - описание сабинтерфейса r1.ekt10(config-subif)#encapsulation dot1q 2 - тегирование кадров вторым VLAN'ом r1.ekt10(config-subif)#ip address 172.16.0.1 255.255.255.0 - установка шлюза по-умолчанию r1.ekt10(config-subif)#exit r1.ekt10(config)#interface fa0/0.3 - настраиваем сабинтерфейс для Серверов r1.ekt10(config-subif)#description Server - описание сабинтерфейса r1.ekt10(config-subif)#encapsulation dot1q 3 - тегирование кадров третьим VLAN'ом r1.ekt10(config-subif)#ip address 172.16.1.1 255.255.255.0 - установка шлюза по-умолчанию r1.ekt10(config-subif)#exit r1.ekt10(config)#interface fa0/0.10 - настраиваем сабинтерфейс для Офисных ПК r1.ekt10(config-subif)#description Office-PC - описание сабинтерфейса r1.ekt10(config-subif)#encapsulation dot1q 10 - тегирование кадров десятым VLAN'ом r1.ekt10(config-subif)#ip address 172.16.2.1 255.255.255.0 - установка шлюза по-умолчанию r1.ekt10(config-subif)#exit r1.ekt10(config)#interface fa0/0.11 - настраиваем сабинтерфейс для Беспроводных устройств r1.ekt10(config-subif)#description Wireless-DEV - описание сабинтерфейса r1.ekt10(config-subif)#encapsulation dot1q 11 - тегирование кадров одиннадцатым VLAN'ом r1.ekt10(config-subif)#ip address 172.16.3.1 255.255.255.0 - установка шлюза по-умолчанию r1.ekt10(config-subif)#exit r1.ekt10(config)#do write - сохраняем настройки в энергонезависимой памяти
Я предполагаю, что у вас возникли вопросы на счет команды encapsulation dot1q 2. Я смутно написал в комментариях, что это означает “тегирование вторым VLAN’ом”. Иными словами, все кадры, исходящие из виртуального интерфейса fastEthernet 0/0.2 будут помечены тегом 2-го VLAN’a. А кадры, попадающие на физический интерфейс fastEthernet 0/0 с тегом VLAN = 2 будут попадать на виртуальный интерфейс fastEthernet 0/0.2. Таким образом, кадры помеченные тегом VLAN = 2 попадут на “родной” шлюз 172.16.0.1 и маршрутизатор сможет в случае чего сможет послать пакет в другую подсеть.
Например, что будет, если админ хочет пингануть подсеть серверов? Маршрутизатор приняв пакет от него, посмотрит в свою таблицу маршрутизации и поймет, что сервера находятся на сабинтерфейсе fastEthernet 0/0.3. Он пошлет пакет в этот виртуальный интерфейс попутно присвоив пакету VLAN = 3. Таким образом, пакет без проблем дойдет до нужного сервера, и, админ сможет получить ICMP-ответ от него.
Возможно, у некоторых из вас возник вопрос: Вот мы разделили всю сеть на VLAN’ы, а почему же тогда можно без проблем пинговать из одной подсети в другую (получается подсети доступы друг другу)? Ответ на этот вопрос: Во-первых, не всегда требуется жестко отделять одну подсеть от другой. Во-вторых, если уж потребуется отделить подсети друг от друга можно без проблем настроить списки доступа ACL, но это уже совсем другая история (обязательно расскажу о ней в следующих статьях). В-третьих, по факту сети и так отделены друг от друга. Если б не маршрутизатор, главное назначение которого пересылать пакеты из одной подсети в другую.
Поддержите проект
Друзья, сайт Netcloud каждый день развивается благодаря вашей поддержке. Мы планируем запустить новые рубрики статей, а также некоторые полезные сервисы.
У вас есть возможность поддержать проект и внести любую сумму, которую посчитаете нужной.
netclo.ru
Настройка VLAN в Cisco
Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco.
В статье будет рассмотрен вопрос выполнения настроек VLAN в Cisco
Настройка VLAN на коммутаторах Cisco под управлением IOS
Некоторые обозначения:
- access port – это порт, который принадлежит к одному VLAN, и может передавать нетегированный информационный трафик;
- trunk port – это коммутационный порт, посредством которого может передаваться тегированный трафик от одного либо нескольких VLAN.
Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco. Этот протокол позволяет инкапсулировать фрейм с целью передачи данных о причастности к тому или иному VLAN. Современные модели этот протокол не поддерживают, а работают только с 802.1Q.
Создается VLAN с идентификатором 2 и задается для него имя следующим образом:
sw1(config)# vlan 2
sw1(config-vlan)# name test
Для удаления VLAN с идентификатором 2 используется:
sw1(config)# no vlan 2
Настройка Access портов
Для назначения коммутационного порта в VLAN нужно:
sw1(config)# interface fa0/1
sw1(config-if)# switchport mode access
sw1(config-if)# switchport access vlan 2
Диапазон коммутационных портов с fa0/4 до fa0/5 для VLAN 10 выполняется следующим образом:
sw1(config)# interface range fa0/4 — 5
sw1(config-if-range)# switchport mode access
sw1(config-if-range)# switchport access vlan 10
Чтобы просмотреть информацию о состоянии VLAN нужно:
sw1# show vlan brief
VLAN Name Status Ports
—- ——————————— ——— ——————————-
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
Настройка Trunk
Чтобы иметь возможность передачи трафика от нескольких VLAN посредством одного порта, его следует перевести в режим trunk. Конкретные режимы интерфейса (режим умолчания отличаются для разных моделей):
- auto – это автоматический режим порта, из которого переход в режим trunk возможен только в том случае, если порт на другом конце связи будет в режиме desirable или on;
- desirable – это режим, из которого порт может перейти к режиму trunk; в этом состоянии он периодично посылает DTP-кадры к другому порту, запрашивая его перейти в режим trunk; этот режим будет установлен, если другой порт находится в одном из трех режимов: auto, desirable или on;
- trunk – в этом случае порт постоянно пребывает в состоянии trunk, даже если другой порт не может поддерживать такой же режим;
- nonegotiate – это режим, с которого порт готов выполнить переход к режиму trunk; он не выполняет передачу DTP-кадров к другому порту. Этот режим предусмотрен для исключения конфликтных ситуаций с другим оборудованием (не бренда Cisco). В этом случае коммутационное устройство на другом конце связи должно быть настроено в ручном режиме для использования режима trunk.
По умолчанию для режима trunk разрешаются все VLAN. Чтобы через любой из поддерживаемых VLAN выполнялась передача данных, он должен быть активным. В активную фазу он переходит тогда, когда его создали на коммутаторе и один из его портов находится в режиме up/up.
VLAN создается на коммутаторе посредством команды vlan. Также он может формироваться автоматически на коммутаторе, когда к нему добавляются интерфейсы в режиме access.
В схеме, используемой с целью демонстрации настроек для коммутаторов sw1 и sw2, требуемые VLAN создадутся в момент добавления access-портов к соответствующим VLAN:
sw1(config)# interface fa0/3
sw1(config-if)# switchport mode access
sw1(config-if)# switchport access vlan 15
% Access VLAN does not exist. Creating vlan 15
Поскольку на коммутаторе sw3 отсутствуют access-порты, нужно создать все нужные VLAN:
sw3(config)# vlan 2,10,15
Чтобы автоматически создать VLAN на устройствах коммутации, можно применять протокол VTP.
Настройка статического Trunk
Чтобы создать статический trunk нужно:
sw1(config)# interface fa0/22
sw1(config-if)# switchport mode trunk
Модели коммутаторов, которые поддерживают ISL, после попытки перевода интерфейса в режим статического trunk могут выбрасывать следующую ошибку:
sw1(config-if)# switchport mode trunk
Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.
Ошибка генерируется потому, что процесс динамического определения инкапсуляции (выбор 802.1Q или ISL) может поддерживаться только с динамическим режимом trunk. Для настройки статического trunk нужно процедуру инкапсуляции также сделать статической. Этот тип коммутаторов предусматривает явное указание типа инкапсуляции для конкретного интерфейса:
sw1(config-if)# switchport trunk encapsulation dot1q
После этого повторно выполняется команда для настойки статического trunk – switchport mode trunk.
Динамическое создание Trunk
Dynamic Trunk Protocol (DTP) является проприетарным протоколом Cisco, обеспечивающим коммутационным устройствам возможность определять находится ли в состоянии поднятия trunk соседний коммутатор и какой протокол нужно задействовать ISL или 802.1Q. DTP включается по умолчанию. Он владеет следующими режимами интерфеса:
- auto – порт пребывает в автоматическом режиме и перейдет в trunk, когда на другом конце связи порт будет on или desirable; если на противоположных концах порты в режиме auto, trunk задействован не будет;
- desirable – из этого состояния порт может перейти к trunk; он периодически совершает посылку DTP-кадров к порту на другом конце; trunk будет установлен, если порт на другой стороне будет on, desirable, auto;
- nonegotiate – из этого состояния порт может перейти в trunk, DTP-кадры при этом не передаются; этот режим нужен чтобы предотвратить конфликт межу Cisco и не Cisco оборудованием.
Для перевода интерфейса в режим auto:
sw1(config-if)# switchport mode dynamic auto
Для перевода интерфейса в режим desirable:
sw1(config-if)# switchport mode dynamic desirable
Для перевода интерфейса в режим nonegotiate:
sw1(config-if)# switchport nonegotiate
Для проверки текущего режима DTP:
sw# show dtp interface
Разрешенные VLAN’
Изначально, по умолчанию, в trunk разрешаются все VLAN. Также можно создать ограничение перечня VLAN, которые можно передавать через тот или иной trunk. Чтобы указать список разрешенных VLAN для порта fa0/22 нужно выполнить:
sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk allowed vlan 1-2,10,15
Чтобы добавить еще один разрешенный VLAN:
sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk allowed vlan add 160
Для удаления VLAN из списка разрешенных:
sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk allowed vlan remove 160
Native VLAN
Для стандарта 802.1Q используется понятие native VLAN. Информационный трафик для этого VLAN будет передаваться нетегированным. По умолчанию его роль выполняет VLAN 1, но можно указать и иной VLAN как native.
Для настройки VLAN 5 в native нужно:
sw1(config-if)# switchport trunk native vlan 5
После этого весь трафик, который принадлежит к VLAN 5, передастся посредством trunk-интерфейса нетегированным, а весь трафик, который пришел на trunk-интерфейс будет иметь маркировку, как принадлежащий к VLAN 5.
Настройка процесса маршрутизации между VLAN
Все настройки, касающиеся назначения портов VLAN, которые ранее выполнены для sw1, sw2, sw3 сохраняются. Для дальнейших настроек коммутатор sw3 используется как устройство 3-уровня.
Для этой схемы выполнять дополнительные настройки на маршрутизаторе не нужно. Коммутационная платформа будет реализовывать процесс маршрутизации между сетевыми конфигурациями разных VLAN, а к маршрутизатору будет отправляться трафик, который предназначен для других сетей.
Настройки для коммутатора sw3:
VLAN / интерфейс 3го уровня IP-адрес
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Fa 0/10 192.168.1.2 /24
Ч
тобы включить маршрутизацию на коммутаторе нужно:
sw3(config)# ip routing
Для определения адреса в VLAN, который будет использован, как маршрут по умолчанию для компьютерных систем во VLAN 2:
sw3(config)# interface Vlan2
sw3(config-if)# ip address 10.0.2.1 255.255.255.0
sw3(config-if)# no shutdown
Чтобы задать адрес для VLAN 10:
sw3(config)# interface Vlan10
sw3(config-if)# ip address 10.0.10.1 255.255.255.0
sw3(config-if)# no shutdown
Процесс перевода интерфейсов в режим 3-го уровня
Интерфейс fa0/10 соединяется с маршрутизатором и может переводиться в режим 3-го уровня. Для выполнения этой процедуры с заданием IP-адреса нужно:
sw3(config)#interface FastEthernet 0/10
sw3(config-if)# no switchport
sw3(config-if)# ip address 192.168.1.2 255.255.255.0
sw3(config-if)# no shutdown
R1 будет играть роль шлюза по умолчанию для конкретной сети. Информация, которая не предназначена для сети VLAN будет передаваться к R1.
Для настройки маршрута по умолчанию нужно выполнить:
sw3(config) ip route 0.0.0.0 0.0.0.0 192.168.1.1
Просмотр информации
Для просмотра информации о транке:
Port Mode Encapsulation Status Native vlan
Fa0/22 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/22 1-2,10,15
Port Vlans allowed and active in management domain
Fa0/22 1-2,10,15
Port Vlans in spanning tree forwarding state and not pruned
Fa0/22 1-2,10,15
Чтобы выполнить просмотр информации о настройках интерфейса (trunk) нужно:
sw1# show interface fa0/22 switchport
Name: Fa0/22
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Operational Dot1q Ethertype: 0x8100
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (VLAN_1)
Administrative Native VLAN tagging: enabled
Operational Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Чтобы выполнить просмотр информации о настройках интерфейса (access):
sw1# show interface fa0/3 switchport
Name: Fa0/3
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Operational Dot1q Ethertype: 0x8100
Negotiation of Trunking: Off
Access Mode VLAN: 15 (VLAN0015)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Operational Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Просмотреть информацию о VLAN:
sw1# show vlan brief
VLAN Name Status Ports
—- ——————————— ——— ——————————-
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
Диапазоны VLAN
VLANs Диапазон Использование Передается VTP
0, 4095 Reserved Только для системного использования. —
1 Normal VLAN по умолчанию. Можно использовать, но нельзя удалить. Да
2-1001 Normal Для VLANов Ethernet. Можно создавать, удалять и использовать. Да
1002-1005 Normal Для FDDI и Token Ring. Нельзя удалить. Да
1006-4094 Extended Только для VLANов Ethernet. Версия 1 и 2 нет, версия 3 да
Примеры настройки
Базовая настройка VLAN (без настройки маршрутизации)
Для коммутатора sw3 маршрутизация между VLAN не настроена, поэтому хосты могут передаваться только в области одного VLAN.
Хосты для коммутатора sw1 в VLAN 2 могут взаимодействовать сами с собой и с хостами VLAN 2 коммутатора sw2. Правда они не могут взаимодействовать с хостами других VLAN коммутаторов sw1 и sw2.
Не все возможные настройки являются обязательными. К примеру, перечислять разрешенные VLAN для trunk не обязательно для его работы, но нужно выполнять явную настройку разрешенных VLAN.
Настройка trunk для sw1 и sw2 несколько отличается от sw3. Для него не нужно задавать инкапсуляцию trunk, так как sw3 может поддерживать только режим 802.1Q.
Конфигурация sw1 имеет вид:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 15
!
interface FastEthernet0/4
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/5
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
Конфигурация sw2 имеет вид:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10
!
Конфигурация sw3 имеет вид:
!
vlan 2,10,15
!
interface FastEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
!
interface FastEthernet0/2
switchport mode trunk
switchport trunk allowed vlan 1,2,10
!
Конфигурация с настройкой маршрутизации между VLAN
Для коммутатора sw3 выполнена настройка маршрутизации между VLAN, поэтому для этой схемы хосты могут обмениваться в области одного VLAN и между разными VLAN.
Процедуры настройки коммутаторов sw1 и sw2 аналогичные, как и прошлый раз. Добавлены только некоторые настройки для коммутатора sw3.
Конфигурация sw1 имеет вид:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 15
!
interface FastEthernet0/4
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/5
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
Конфигурация sw2 имеет вид:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10
!
Конфигурация sw3 имеет вид:
!
ip routing
!
vlan 2,10,15
!
interface FastEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
!
interface FastEthernet0/2
switchport mode trunk
switchport trunk allowed vlan 1,2,10
!
!
interface FastEthernet0/10
no switchport
ip address 192.168.1.2 255.255.255.0
!
!
interface Vlan2
ip address 10.0.2.1 255.255.255.0
!
interface Vlan10
ip address 10.0.10.1 255.255.255.0
!
interface Vlan15
ip address 10.0.15.1 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
Настройка VLAN для маршрутизаторов Cisco
Передача трафика между VLAN поддерживается за счет маршрутизатора. Чтобы он мог передать данные от одного VLAN к другому (между сетями) нужно, чтобы в каждой из сетей он имел свой интерфейс. Чтобы не выделять множество физическихинтерфейсов в этом случае правильно создавать логические подинтерфейсы. Их создают на физических интерфейсах каждого VLAN. Порт коммутатора, который ведет к маршрутизатору, должен настраиваться как тегированный порт (trunk).
Схема, для которой процесс маршрутизации выполняется между VLAN на маршрутизаторе, называется «router on a stick». IP адреса шлюзов по умолчанию для VLAN:
VLAN IP-адрес
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Для логических подинтерфейсов нужно указать, что на интерфейс будет приходить тегированный трафик, а также указать номер соответствующего VLAN. Выполнить эту процедуру можно соответствующей командой при настройке подинтерфейса:
R1(config-if)# encapsulation dot1q
Чтобы создать логический подинтерфейс для VLAN 2:
R1(config)# interface fa0/0.2
R1(config-subif)# encapsulation dot1q 2
R1(config-subif)# ip address 10.0.2.1 255.255.255.0
Чтобы создать логический подинтерфейс для VLAN 10:
R1(config)# interface fa0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 10.0.10.1 255.255.255.0
Порт, ведущий от коммутатора к маршрутизатору должен настраиваться как статический trunk:
interface FastEthernet0/20
switchport trunk encapsulation dot1q
switchport mode trunk
Пример настройки
Конфигурационные файлы для первой схемы:
Для конфигурации sw1:
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/2
switchport mode access
switchport access vlan 2
!
interface FastEthernet0/3
switchport mode access
switchport access vlan 15
!
interface FastEthernet0/4
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/5
switchport mode access
switchport access vlan 10
!
interface FastEthernet0/20
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 2,10,15
!
Для конфигурации R1:
!
interface fa0/0.2
encapsulation dot1q 2
ip address 10.0.2.1 255.255.255.0
!
interface fa0/0.10
encapsulation dot1q 10
ip address 10.0.10.1 255.255.255.0
!
interface fa0/0.15
encapsulation dot1q 15
ip address 10.0.15.1 255.255.255.0
!
Настройка native VLAN
В режиме умолчания информационный трафик VLAN 1 передается нетегированым (VLAN 1 работает, как native). В этом случае для физического интерфейса маршрутизатора устанавливается адрес из сети VLAN 1.
Чтобы задать адрес для физического интерфейса:
R1(config)# interface fa0/0
R1(config-if)# ip address 10.0.1.1 255.255.255.0
Когда нужно создать подинтерфейс передачи нетегированного трафика, в нем указывается, что он принадлежит native VLAN. Как пример, для native VLAN 99:
R1(config)# interface fa0/0.99
R1(config-subif)# encapsulation dot1q 99 native
R1(config-subif)# ip address 10.0.99.1 255.255.255.0
Возврат к списку
linkas.ru
Cisco VLAN — настройка vlan на коммутаторе Cisco
Технология VLAN позволяет разделять сеть на логические сегменты. Каждый такой логический сегмент имеет свой широковещательный домен. Уникастовый, бродкастовый и мультикастовый трафик передается только между устройствами входящими в один VLAN. VLAN часто используется для разделения IP сегментов сети, с последующей маршрутизацией и фильтрацией трафика между разными VLAN на маршрутизаторе или на L3 коммутаторе.
Как настраивать VLAN на Cisco роутере можно посмотреть в статье Cisco VLAN — настройка vlan на маршрутизаторе Cisco. Здесь речь пойдёт о настройке VLAN на коммутаторах Cisco Catalyst.
Перед настройкой VLAN на коммутаторе, необходимо определиться будет ли в сети использоваться протокол VTP (VLAN Trunking Protocol) или нет. Использование VTP облегчает управление (создание, удаление, переименовывание) VLAN-ами в сети. В случае с VTP изменение (информацию о VLAN) можно внести централизованно, на одном коммутаторе, и эти изменения распространятся на другие коммутаторы в сети. Если не использовать VTP, то изменения нужно вносить на каждом коммутаторе.
VTP накладывает свои ограничения: протокол VTP версии 1 и 2 поддерживает только базовый диапазон VLAN (c 1 по 1005), поддержка расширенного диапазона (с 1006 по 4094) возможна только в версии протокола 3. Поддержка протокола VTP 3 версии начинается с Cisco IOS версии 12.2(52)SE и выше. Настройку протокола VTP рассмотрим в другой статье, а в этой будем подразумевать, что не используем VTP.
Настройку VLAN на коммутаторе можно выделить в три этапа: создание VLAN, настройка портов, проверка.
1. Создание VLAN на Cisco Catalyst
Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:
1 — 1005 базовый диапазон (normal-range)
1002 — 1005 зарезервированы для Token Ring и FDDI VLAN
1006 — 4094 расширенный диапазон (extended-range)
При создании или изменении VLAN можно задать следующие параметры:
| VLAN ID | Номер VLAN |
| VLAN name (name) | Имя VLAN |
| VLAN type (media) | Тип VLAN (Ethernet, Fiber Distributed Data Interface [FDDI], FDDI network entity title [NET], TrBRF, или TrCRF, Token Ring, Token Ring-Net) |
| VLAN state (state) | Состояние VLAN (active или suspended) |
| VLAN MTU (mtu) | Максимальный размер блока данных, который может быть передан на канальном уровне |
| SAID (said) | Security Association Identifier — идентификатор ассоциации безопасности (стандарт IEEE 802.10) |
| Remote SPAN (remote-span) | Создание VLAN для удаленного мониторинга трафика (В дальнейшем в такой VLAN можно зеркалировать трафик с какого-нибудь порта, и передать его через транк на другой коммутатор, в котором из этого VLAN трафик отправить на нужный порт с подключенным снифером) |
| Bridge identification number для TrBRF VLAN (bridge) | Идентификатор номера моста для функции TrBRF (Token Ring Bridge Relay Function). Цель функции — создание моста из колец. |
| Ring number для FDDI и TrCRF VLAN (ring) | Номер кольца для типов VLAN FDDI и TrCRF (Token Ring concentrator relay functions). TrCRF называют кольца, которые включены в мост. |
| Parent VLAN number для TrCRF VLAN (parent) | Номер родительского VLAN для типа VLAN FDDI или Token Ring |
| Spanning Tree Protocol (STP) type для TrCRF VLAN (stp type) | Тип протокола связующего дерева (STP) для VLAN типа TrCRF |
| Translational VLAN number 1 (tb-vlan1) | Номер VLAN для первичного преобразования одного типа VLAN в другой |
| Translational VLAN number 2 (tb-vlan2) | Номер VLAN для вторичного преобразования одного типа VLAN в другой |
На практике чаще всего, при создании VLAN задаётся только VLAN ID и VLAN name
Значения по умолчанию:
| VLAN ID | 1 |
| VLAN name | VLANxxxx, где xxxx четыре цифры номера VLAN (Например: VLAN0003, VLAN0200 и т.д.) |
| SAID | 100000 плюс VLAN ID (Например: 100001 для VLAN 1, 100200 для VLAN 200 и т.д.) |
| VLAN MTU | 1500 |
| Translational VLAN number 1 | 0 |
| Translational VLAN number 2 | 0 |
| VLAN state | active |
| Remote SPAN | disabled |
Для создания VLAN нужно:
1. Войти в привилегированный режим и ввести необходимый пароль (команда «enable«)
sw1> sw1>enable Password: sw1#
2. Переключиться в режим глобального конфигурирования (команда «configure terminal«)
sw1# sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#
3. Создать VLAN командой «vlan id«, где id — номер VLAN (После создания, консоль окажется в режиме конфигурирования VLAN, где можно задать перечисленные выше параметры для VLAN)
sw1(config)# sw1(config)#vlan 200 sw1(config-vlan)#
4. Задать необходимые параметры, для созданного VLAN (например имя)
sw1(config-vlan)# sw1(config-vlan)#name TESTVLAN sw1(config-vlan)#
Если, в режиме конфигурирования VLAN, ввести знак вопроса, то отобразятся параметры, которые можно задать для данного VLAN:
sw1(config-vlan)#? VLAN configuration commands: are Maximum number of All Route Explorer hops for this VLAN (or zero if none specified) backupcrf Backup CRF mode of the VLAN bridge Bridging characteristics of the VLAN exit Apply changes, bump revision number, and exit mode media Media type of the VLAN mtu VLAN Maximum Transmission Unit name Ascii name of the VLAN no Negate a command or set its defaults parent ID number of the Parent VLAN of FDDI or Token Ring type VLANs private-vlan Configure a private VLAN remote-span Configure as Remote SPAN VLAN ring Ring number of FDDI or Token Ring type VLANs said IEEE 802.10 SAID shutdown Shutdown VLAN switching state Operational state of the VLAN ste Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified) stp Spanning tree characteristics of the VLAN tb-vlan1 ID number of the first translational VLAN for this VLAN (or zero if none) tb-vlan2 ID number of the second translational VLAN for this VLAN (or zero if none)
5. Выйти из режима конфигурирования vlan (команда «exit«, либо «end» — выход из режима глобального конфигурирования)
sw1(config-vlan)# sw1(config-vlan)#end sw1#
Не забываем сохранять конфигурацию командой «copy running-config startup-config» в привилегированном режиме
sw1# sw1#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK]
Удалить VLAN можно командой «no vlan id» в режиме глобального конфигурирования:
sw1(config)# sw1(config)#no vlan 200 sw1(config)#
2. Настройка портов на Cisco Catalyst
Порт на коммутаторе Cisco может находиться в одном из режимов:
access — порт предназначен для подключения оконечного устройства. Принадлежит только одному VLAN. Входящий трафик от подключенного к порту устройства, маркируется заданным на порту VLAN.
trunk — порт предназначен для подключения к другому коммутатору или маршрутизатору. Порт передаёт тегированный трафик. Может передавать трафик как одного, так и нескольких VLAN через один физический кабель.
На Cisco Catalyst можно самому задать режим порта (trunk или access), либо задать автоопределение. При автоопределении режима, порт будет согласовываться с соседом (подключенным к этому порту коммутатором или иным устройством). Согласование режима порта происходит путём передачи DTP (Dynamic Trunking Protocol) фреймов. Для успешной работы протокола DTP, необходимо, что бы интерфейсы были в одном VTP домене (либо один из VTP доменов был null, неточно)
Автоопределение режима порта задаётся командой «switchport mode dynamic auto» или «switchport mode dynamic desirable» в режиме конфигурации интерфейса.
Если на интерфейсе установлено «switchport mode dynamic auto» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или «dynamic desirable«
Если на интерфейсе установлено «switchport mode dynamic desirable» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или «dynamic desirable» или «dynamic auto«
Не все устройства поддерживают DTP, либо могут некорректно передавать DTP фреймы, в таком случае лучше задать режим (access или trunk) принудительно командами «switchport mode access» или «switchport mode trunk» в режиме конфигурации интерфейса, и отключить передачу DTP фреймов командой «switchport nonegotiate«.
Конфигурация порта по умолчанию:
| Режим порта/интерфейса | switchport mode dynamic auto |
| Разрешённые VLAN, если порт в режиме trunk | с 1 по 4094 |
| VLAN по умолчанию, если порт в режиме access | 1 |
| Native VLAN, если порт в режиме trunk (IEEE 802.1q) | 1 |
Настройка порта в режим автоопределения.
Действия:
— войти в привилегированный режим (команда: «enable«)
— войти в режим глобального конфигурирования (команда: «configure terminal«)
— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса, например «interface GigabitEthernet0/21″)
— задать динамический режим порта/интерфейса (команда: «switchport mode dynamic auto» или «switchport mode dynamic desirable«)
— (не обязательно) задать VLAN, который будет на интерфейсе, если порт перейдёт из режима trunk в режим access, по умолчанию VLAN 1 (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)
— (не обязательно) задать Native VLAN, для IEEE 802.1q транка, по умолчанию Native VLAN 1 (команда: «switchport trunk native vlan vlan-id«, где vlan-id — номер Native VLAN)
— добавить/удалить VLAN в транке, по умолчанию все номера VLAN разрешены (команды: «switchport trunk allowed vlan add vlan-list» — добавить в транк VLAN-ы перечисленные в vlan-list, «switchport trunk allowed vlan remove vlan-list» — удалить из транка VLAN-ы, перечисленные в vlan-list, в vlan-list вланы перечисляются через запятую без пробелов, а диапазоны через дефис, например 2,20,30-40,50 ). Можно сразу задать список необходимых VLAN (командой: «switchport trunk allowed vlan vlan-list«)
— включить порт/интерфейс (команда: «no shutdown«)
— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )
Пример:
sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#interface gigabitEthernet 0/23 sw1(config-if)#switchport mode dynamic desirable sw1(config-if)#switchport access vlan 50 sw1(config-if)#switchport trunk native vlan 100 sw1(config-if)#switchport trunk allowed vlan 2,30-35,40 sw1(config-if)#no shutdown sw1(config-if)#end sw1#
В данном примере порт 23 переведётся в режим trunk, если порт на соседнем коммутаторе установлен в режиме dynamic auto или dynamic disirable или trunk . В транке будут передаваться только VLAN 2, VLAN с 30 по 35 и VLAN 40. При работе порта в режиме trunk, приходящий на него не тегированный (native) трафик будет помещаться (маркироваться) в VLAN 100. Если порт на соседнем коммутаторе работает в режиме access, то интерфейс будет помещён в VLAN 50.
Настройка access порта.
VLAN на access порту может задаваться статически либо автоматически. Автоматическое назначение VLAN основывается на МАК адресе источника, используя протокол VQP (VLAN Query Protocol) и сервер VMPS (VLAN Management Policy Server). Сервером VMPS могут выступать коммутаторы только старших моделей, такие серии как Catalyst 4000, 5000 и 6500. Автоматическую настройку access порта через VQP в данной статье рассматривать не будем. Здесь будет показано только статическое задание VLAN на access порту.
Для включения access порта в необходимый VLAN, нужно сделать:
— войти в привилегированный режим (команда: «enable«)
— войти в режим глобального конфигурирования (команда: «configure terminal«)
— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса)
— задать режим порта/интерфейса «access» (команда: «switchport mode access«)
— задать VLAN на порту/интерфейсе (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)
— включить порт/интерфейс (команда: «no shutdown«)
— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )
Пример:
Пусть к 22-му порту коммутатора подключен сервер, который необходимо поместить в 200-й VLAN
Настройка порта:
sw1> sw1>enable Password: sw1# sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#interface GigabitEthernet0/22 sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 200 sw1(config-if)#no shutdown sw1(config-if)#exit sw1(config)#exit sw1#
Настройка trunk порта.
Настройка порта в режиме trunk идентична настройки порта в режиме автоопределения, за исключением того, что режим нужно указать не dynamic а trunk.
Пример:
sw6# sw6#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw6(config)#interface gigabitEthernet 0/23 sw6(config-if)#switchport mode trunk sw6(config-if)#switchport trunk allowed vlan 2,30-35,40 sw6(config-if)#no shutdown sw6(config-if)#end sw6#
В примере задаётся транк на 23-м порту, в транке разрешены только VLAN 2, VLAN с 30 по 35 и VLAN 40
Добавление VLAN в транковый порт выполняет команда: «switchport trunk allowed vlan add VLAN_NUM«
Пример добавления вланов 100 и 200 к существующим, в транковом порту 23:
sw6# sw6#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk allowed vlan add 100,200 sw6(config-if)# sw6(config-if)#end sw6#
УдалениеVLAN из транкового порта выполняет команда: «switchport trunk allowed vlan remove VLAN_NUM«
Пример удаления вланов 100 и 200 из существующих, в транковом порту 23:
sw6# sw6#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw6(config)#interface Gi0/23 sw6(config-if)#switchport trunk allowed vlan remove 100,200 sw6(config-if)# sw6(config-if)#end sw6#
Некоторые cisco коммутаторы поддерживают два протокола для работы с VLAN это IEEE 802.1q и ISL. Протокол ISL уже устарел и на многих современных коммутаторах не поддерживается. Поэтому предпочтительнее использовать протокол IEEE 802.1q
На таких коммутаторах, перед настройкой порта в режиме транка, нужно выбрать тип инкапсуляции dot1q (комана: «switchport trunk encapsulation dot1q» в режиме конфигурации интерфейса)
3. Проверка настройки VLAN
Посмотреть информацию о VTP протоколе: «show vtp status«
Показать информацию обо всех VLAN на коммутаторе: «show vlan«
Посмотреть информацию об конкретном VLAN, и узнать на каких он портах: «show vlan id vlan-id«
Посмотреть режим работы порта, native vlan, access vlan и прочее: «show interfaces interface-id switchport«
Иногда, необходимо на коммутаторе создать интерфейс 3-го уровня для VLAN. Например, для маршрутизации и фильтрации IP трафика между разными VLAN (должна быть поддержка L3 уровня как самой моделью коммутатора так и версией IOS). Либо просто создать интерфейс для управления этим коммутатором в специальном VLAN.
Сетевой интерфейс для VLAN создаётся в режиме глобального конфигурирования командой: «interface vlan-id«, где vlan-id — это номер VLAN.
Далее консоль переходит в режим конфигурирования интерфейса, где можно задать необходимые сетевые настройки ip адрес, маску сети, повесить ACL и прочее.
Пример создания L3 интерфейса для VLAN 200:
sw1# sw1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#interface vlan 200 sw1(config-if)#ip address 192.168.200.1 255.255.255.0 sw1(config-if)#end sw1#
www.skleroznik.in.ua
Настройка Vlan на Cisco (на примере коммутатора Catalyst 2960)
Перед тем, как что-то делать, Вы должны понимать что делаете. Поэтому в начале — немного теории.
Что такое VLAN?!
Vlan это аббревиатура от Virtual Local Area Network, что в переводе означает «виртуальная локальная компьютерная сеть». Это логически объединенная группа хостов имеющая общий набор определенных требований и взаимодействующая таким образом, что независимо от их физического местонахождения, хосты видят друг друга так, как если бы они были подключены к широковещательному домену. При этом трафик тегируется в соответствии с правилами стандарта IEEE 802.1Q, т.е. внутрь фрейма помещается тег, содержащий информацию о принадлежности трафика к конкретному Vlan. Фактически, с помощью «влан» или «вилан» (тут уж кто как называет) можно делить сеть на логические сегменты и даже больше — технология позволяет группировать рабочие станции станциям в одну логическую сеть, даже если они находятся в разных сетях физически. При этом между ними спокойно ходит любой трафик — Юникаст, Бродкаст или Мультикаст, но только в пределах этой логической сети.
На коммутаторах Cisco для управления Vlan используется специальный протокол VTP. Он позволяет создавая, переименовывая или удаляя влан на устройстве сервере — Вы автоматически делаете то же самое и на всех коммутаторах, подключенных в домен VTP. В небольшой сети это может быть и удобно, а вот в крупных сетях где коммутаторов уже десятки и сотни VTP переводят в состояние Transparent.
У каждой виртуальной сети есть свой идентификатор Vlan ID или VID, который используется в стандарте 802.1Q. Стандартный для сетевых устройств диапазон значений Vlan ID — от 0 до 4095. При этом, как правило, VID’ы 0 и 4095 использовать нельзя, так как они зарезервированы для иных задач и доступными остаются номера он 1 до 4094. Кстати, какое бы ни было ограничение на количество поддерживаемых вланов (10, 100 или 1000), их идентификаторы, тем не менее, можно брать из всего диапазона.
На оборудовании Циско различают две группы Vlan — normal-range и extended-range. По русски — обычный и расширенный диапазоны соответственно. В стандартный диапазон входят Vlan — от 1 до 1005, а в расширенный — от 1006 до 4094. При этом надо учитывать, что VID 1002 — 1005 зарезервированы для Token Ring и FDDI Vlan и их занять не получится.
Теперь давайте посмотрим на коммутатор Cisco Catalyst. В своем примере я рассмотрю 2960 c версией IOS 12.2(35)SE5). Заходим на свитч в режим Enable. Набираем команду:
switch#show vlan
Результатом будет список всех созданных на устройстве влан:
Как Вы можете заметить первым в списке идет Vlan 1 с именем «Defaut». В конфигурации по умолчанию в него включены все порты.
Теперь , чтобы создать свой влан надо зайти в режим конфигурации:
switch#configure terminal
После этого набираем команду:
switch#vlan <vid>
В моём примере я создаю 11й влан:
Заметьте, что виртуальной сети можно дать имя с помощью команды name.
Удалить влан можно с помощью команды:
switch#no vlan <vid>
Примечание:
На древних версиях IOS все манипуляции с вланами приходилось осуществлять в отдельно базе — vlan database. К счастью, сейчас от этого анахронизма ушли.
Для того, чтобы добавить порт в созданный влан, нужно так же, в режиме конфигурации выбрать нужный порт:
switch#interface gigabitEthernet <номер_порта>
И набрать команду:
switch#switchport access vlan <vid>
Вот как это выглядит на «живом» коммутаторе:
Для управления коммутаторами cisco используется специальный управляющий Vlan. Для его настройки надо создать его в списке вланов, как описано выше, затем в режиме конфигурации набрать команду:
switch#interface vlan <vid>
Этим Вы создадите управляющую виртуальную сеть на коммутаторе. Теперь устройству надо присвоить IP-адрес:
switch(config-if)#ip address <IP_коммутатора> <маска сети>
После этого не забудьте поднять интерфейс, так как он по умолчанию выключен:
switch(config-if)#no shutdown
Пример настройки управления на коммутаторе Cisco 2960:
Не забудьте — для того, чтобы управление коммутатором было доступно, необходимо добавить в этот Vlan хотя бы один порт, либо, создать на других коммутаторах, с которых Вы хотите управлять этим устройством.
nastroisam.ru
Cisco VLAN — настройка vlan на коммутаторе Cisco
Технология VLAN позволяет разделять сеть на логические сегменты. Каждый такой логический сегмент имеет свой широковещательный домен. Уникастовый, бродкастовый и мультикастовый трафик передается только между устройствами входящими в один VLAN. VLAN часто используется для разделения IP сегментов сети, с последующей маршрутизацией и фильтрацией трафика между разными VLAN на маршрутизаторе или на L3 коммутаторе.
Как настраивать VLAN на Cisco роутере можно посмотреть в статье Cisco VLAN — настройка vlan на маршрутизаторе Cisco. Здесь речь пойдёт о настройке VLAN на коммутаторах Cisco Catalyst.
Перед настройкой VLAN на коммутаторе, необходимо определиться будет ли в сети использоваться протокол VTP (VLAN Trunking Protocol) или нет. Использование VTP облегчает управление (создание, удаление, переименовывание) VLAN-ами в сети. В случае с VTP изменение (информацию о VLAN) можно внести централизованно, на одном коммутаторе, и эти изменения распространятся на другие коммутаторы в сети. Если не использовать VTP, то изменения нужно вносить на каждом коммутаторе.
VTP накладывает свои ограничения: протокол VTP версии 1 и 2 поддерживает только базовый диапазон VLAN (c 1 по 1005), поддержка расширенного диапазона (с 1006 по 4094) возможна только в версии протокола 3. Поддержка протокола VTP 3 версии начинается с Cisco IOS версии 12.2(52)SE и выше. Настройку протокола VTP рассмотрим в другой статье, а в этой будем подразумевать, что не используем VTP.
Настройку VLAN на коммутаторе можно выделить в три этапа: создание VLAN, настройка портов, проверка.
1. Создание VLAN на Cisco Catalyst
Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:
1 — 1005 базовый диапазон (normal-range)
1002 — 1005 зарезервированы для Token Ring и FDDI VLAN
1006 — 4094 расширенный диапазон (extended-range)
При создании или изменении VLAN можно задать следующие параметры:
| VLAN ID | Номер VLAN |
| VLAN name (name) | Имя VLAN |
| VLAN type (media) | Тип VLAN (Ethernet, Fiber Distributed Data Interface [FDDI], FDDI network entity title [NET], TrBRF, или TrCRF, Token Ring, Token Ring-Net) |
| VLAN state (state) | Состояние VLAN (active или suspended) |
| VLAN MTU (mtu) | Максимальный размер блока данных, который может быть передан на канальном уровне |
| SAID (said) | Security Association Identifier — идентификатор ассоциации безопасности (стандарт IEEE 802.10) |
| Remote SPAN (remote-span) | Создание VLAN для удаленного мониторинга трафика (В дальнейшем в такой VLAN можно зеркалировать трафик с какого-нибудь порта, и передать его через транк на другой коммутатор, в котором из этого VLAN трафик отправить на нужный порт с подключенным снифером) |
| Bridge identification number для TrBRF VLAN (bridge) | Идентификатор номера моста для функции TrBRF (Token Ring Bridge Relay Function). Цель функции — создание моста из колец. |
| Ring number для FDDI и TrCRF VLAN (ring) | Номер кольца для типов VLAN FDDI и TrCRF (Token Ring concentrator relay functions). TrCRF называют кольца, которые включены в мост. |
| Parent VLAN number для TrCRF VLAN (parent) | Номер родительского VLAN для типа VLAN FDDI или Token Ring |
| Spanning Tree Protocol (STP) type для TrCRF VLAN (stp type) | Тип протокола связующего дерева (STP) для VLAN типа TrCRF |
| Translational VLAN number 1 (tb-vlan1) | Номер VLAN для первичного преобразования одного типа VLAN в другой |
| Translational VLAN number 2 (tb-vlan2) | Номер VLAN для вторичного преобразования одного типа VLAN в другой |
На практике чаще всего, при создании VLAN задаётся только VLAN ID и VLAN name
Значения по умолчанию:
| VLAN ID | 1 |
| VLAN name | VLANxxxx, где xxxx четыре цифры номера VLAN (Например: VLAN0003, VLAN0200 и т.д.) |
| SAID | 100000 плюс VLAN ID (Например: 100001 для VLAN 1, 100200 для VLAN 200 и т.д.) |
| VLAN MTU | 1500 |
| Translational VLAN number 1 | 0 |
| Translational VLAN number 2 | 0 |
| VLAN state | active |
| Remote SPAN | disabled |
Для создания VLAN нужно:
1. Войти в привилегированный режим и ввести необходимый пароль (команда «enable«)
sw1>
sw1>enable
Password:
sw1#
2. Переключиться в режим глобального конфигурирования (команда «configure terminal«)
sw1#
sw1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#
3. Создать VLAN командой «vlan id«, где id — номер VLAN (После создания, консоль окажется в режиме конфигурирования VLAN, где можно задать перечисленные выше параметры для VLAN)
sw1(config)#
sw1(config)#vlan 200
sw1(config-vlan)#
4. Задать необходимые параметры, для созданного VLAN (например имя)
sw1(config-vlan)#
sw1(config-vlan)#name TESTVLAN
sw1(config-vlan)#
Если, в режиме конфигурирования VLAN, ввести знак вопроса, то отобразятся параметры, которые можно задать для данного VLAN:
sw1(config-vlan)#?
VLAN configuration commands:
are Maximum number of All Route Explorer hops for this VLAN (or zero if none specified)
backupcrf Backup CRF mode of the VLAN
bridge Bridging characteristics of the VLAN
exit Apply changes, bump revision number, and exit mode
media Media type of the VLAN
mtu VLAN Maximum Transmission Unit
name Ascii name of the VLAN
no Negate a command or set its defaults
parent ID number of the Parent VLAN of FDDI or Token Ring type VLANs
private-vlan Configure a private VLAN
remote-span Configure as Remote SPAN VLAN
ring Ring number of FDDI or Token Ring type VLANs
said IEEE 802.10 SAID
shutdown Shutdown VLAN switching
state Operational state of the VLAN
ste Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified)
stp Spanning tree characteristics of the VLAN
tb-vlan1 ID number of the first translational VLAN for this VLAN (or zero if none)
tb-vlan2 ID number of the second translational VLAN for this VLAN (or zero if none)
5. Выйти из режима конфигурирования vlan (команда «exit«, либо «end» — выход из режима глобального конфигурирования)
sw1(config-vlan)#
sw1(config-vlan)#end
sw1#
Не забываем сохранять конфигурацию командой «copy running-config startup-config» в привилегированном режиме
sw1#
sw1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration…
[OK]
Удалить VLAN можно командой «no vlan id» в режиме глобального конфигурирования:
sw1(config)#
sw1(config)#no vlan 200
sw1(config)#
2. Настройка портов на Cisco Catalyst
Порт на коммутаторе Cisco может находиться в одном из режимов:
access — порт предназначен для подключения оконечного устройства. Принадлежит только одному VLAN. Входящий трафик от подключенного к порту устройства, маркируется заданным на порту VLAN.
trunk — порт предназначен для подключения к другому коммутатору или маршрутизатору. Порт передаёт тегированный трафик. Может передавать трафик как одного, так и нескольких VLAN через один физический кабель.
На Cisco Catalyst можно самому задать режим порта (trunk или access), либо задать автоопределение. При автоопределении режима, порт будет согласовываться с соседом (подключенным к этому порту коммутатором или иным устройством). Согласование режима порта происходит путём передачи DTP (Dynamic Trunking Protocol) фреймов. Для успешной работы протокола DTP, необходимо, что бы интерфейсы были в одном VTP домене (либо один из VTP доменов был null, неточно)
Автоопределение режима порта задаётся командой «switchport mode dynamic auto» или «switchport mode dynamic desirable» в режиме конфигурации интерфейса.
Если на интерфейсе установлено «switchport mode dynamic auto» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или «dynamic desirable«
Если на интерфейсе установлено «switchport mode dynamic desirable» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или «dynamic desirable» или «dynamic auto«
Не все устройства поддерживают DTP, либо могут некорректно передавать DTP фреймы, в таком случае лучше задать режим (access или trunk) принудительно командами «switchport mode access» или «switchport mode trunk» в режиме конфигурации интерфейса, и отключить передачу DTP фреймов командой «switchport nonegotiate«.
Конфигурация порта по умолчанию:
| Режим порта/интерфейса | switchport mode dynamic auto |
| Разрешённые VLAN, если порт в режиме trunk | с 1 по 4094 |
| VLAN по умолчанию, если порт в режиме access | 1 |
| Native VLAN, если порт в режиме trunk (IEEE 802.1q) | 1 |
Настройка порта в режим автоопределения.
Действия:
— войти в привилегированный режим (команда: «enable«)
— войти в режим глобального конфигурирования (команда: «configure terminal«)
— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса, например «interface GigabitEthernet0/21»)
— задать динамический режим порта/интерфейса (команда: «switchport mode dynamic auto» или «switchport mode dynamic desirable«)
— (не обязательно) задать VLAN, который будет на интерфейсе, если порт перейдёт из режима trunk в режим access, по умолчанию VLAN 1 (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)
— (не обязательно) задать Native VLAN, для IEEE 802.1q транка, по умолчанию Native VLAN 1 (команда: «switchport trunk native vlan vlan-id«, где vlan-id — номер Native VLAN)
— добавить/удалить VLAN в транке, по умолчанию все номера VLAN разрешены (команды: «switchport trunk allowed vlan add vlan-list» — добавить в транк VLAN-ы перечисленные в vlan-list, «switchport trunk allowed vlan remove vlan-list» — удалить из транка VLAN-ы, перечисленные в vlan-list, в vlan-list вланы перечисляются через запятую без пробелов, а диапазоны через дефис, например 2,20,30-40,50 ). Можно сразу задать список необходимых VLAN (командой: «switchport trunk allowed vlan vlan-list«)
— включить порт/интерфейс (команда: «no shutdown«)
— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )
Пример:
sw1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface gigabitEthernet 0/23
sw1(config-if)#switchport mode dynamic desirable
sw1(config-if)#switchport access vlan 50
sw1(config-if)#switchport trunk native vlan 100
sw1(config-if)#switchport trunk allowed vlan 2,30-35,40
sw1(config-if)#no shutdown
sw1(config-if)#end
sw1#
В данном примере порт 23 переведётся в режим trunk, если порт на соседнем коммутаторе установлен в режиме dynamic auto или dynamic disirable или trunk . В транке будут передаваться только VLAN 2, VLAN с 30 по 35 и VLAN 40. При работе порта в режиме trunk, приходящий на него не тегированный (native) трафик будет помещаться (маркироваться) в VLAN 100. Если порт на соседнем коммутаторе работает в режиме access, то интерфейс будет помещён в VLAN 50.
Настройка access порта.
VLAN на access порту может задаваться статически либо автоматически. Автоматическое назначение VLAN основывается на МАК адресе источника, используя протокол VQP (VLAN Query Protocol) и сервер VMPS (VLAN Management Policy Server). Сервером VMPS могут выступать коммутаторы только старших моделей, такие серии как Catalyst 4000, 5000 и 6500. Автоматическую настройку access порта через VQP в данной статье рассматривать не будем. Здесь будет показано только статическое задание VLAN на access порту.
Для включения access порта в необходимый VLAN, нужно сделать:
— войти в привилегированный режим (команда: «enable«)
— войти в режим глобального конфигурирования (команда: «configure terminal«)
— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса)
— задать режим порта/интерфейса «access» (команда: «switchport mode access«)
— задать VLAN на порту/интерфейсе (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)
— включить порт/интерфейс (команда: «no shutdown«)
— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )
Пример:
Пусть к 22-му порту коммутатора подключен сервер, который необходимо поместить в 200-й VLAN
Настройка порта:
sw1>
sw1>enable
Password:
sw1#
sw1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface GigabitEthernet0/22
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 200
sw1(config-if)#no shutdown
sw1(config-if)#exit
sw1(config)#exit
sw1#
Настройка trunk порта.
Настройка порта в режиме trunk идентична настройки порта в режиме автоопределения, за исключением того, что режим нужно указать не dynamic а trunk.
Пример:
sw6#
sw6#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface gigabitEthernet 0/23
sw6(config-if)#switchport mode trunk
sw6(config-if)#switchport trunk allowed vlan 2,30-35,40
sw6(config-if)#no shutdown
sw6(config-if)#end
sw6#
В примере задаётся транк на 23-м порту, в транке разрешены только VLAN 2, VLAN с 30 по 35 и VLAN 40
Добавление VLAN в транковый порт выполняет команда: «switchport trunk allowed vlan add VLAN_NUM«
Пример добавления вланов 100 и 200 к существующим, в транковом порту 23:
sw6#
sw6#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface Gi0/23
sw6(config-if)#switchport trunk allowed vlan add 100,200
sw6(config-if)#
sw6(config-if)#end
sw6#
УдалениеVLAN из транкового порта выполняет команда: «switchport trunk allowed vlan remove VLAN_NUM«
Пример удаления вланов 100 и 200 из существующих, в транковом порту 23:
sw6#
sw6#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface Gi0/23
sw6(config-if)#switchport trunk allowed vlan remove 100,200
sw6(config-if)#
sw6(config-if)#end
sw6#
Некоторые cisco коммутаторы поддерживают два протокола для работы с VLAN это IEEE 802.1q и ISL. Протокол ISL уже устарел и на многих современных коммутаторах не поддерживается. Поэтому предпочтительнее использовать протокол IEEE 802.1q
На таких коммутаторах, перед настройкой порта в режиме транка, нужно выбрать тип инкапсуляции dot1q (комана: «switchport trunk encapsulation dot1q» в режиме конфигурации интерфейса)
3. Проверка настройки VLAN
Посмотреть информацию о VTP протоколе: «show vtp status«
Показать информацию обо всех VLAN на коммутаторе: «show vlan«
Посмотреть информацию об конкретном VLAN, и узнать на каких он портах: «show vlan id vlan-id«
Посмотреть режим работы порта, native vlan, access vlan и прочее: «show interfaces interface-id switchport«
Иногда, необходимо на коммутаторе создать интерфейс 3-го уровня для VLAN. Например, для маршрутизации и фильтрации IP трафика между разными VLAN (должна быть поддержка L3 уровня как самой моделью коммутатора так и версией IOS). Либо просто создать интерфейс для управления этим коммутатором в специальном VLAN.
Сетевой интерфейс для VLAN создаётся в режиме глобального конфигурирования командой: «interface vlan-id«, где vlan-id — это номер VLAN.
Далее консоль переходит в режим конфигурирования интерфейса, где можно задать необходимые сетевые настройки ip адрес, маску сети, повесить ACL и прочее.
Пример создания L3 интерфейса для VLAN 200:
sw1#
sw1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface vlan 200
sw1(config-if)#ip address 192.168.200.1 255.255.255.0
sw1(config-if)#end
sw1#
www.adminia.ru
Настройка Private VLANs на Cisco / Habr
В данной статье рассмотрим такую интересную, на мой взгляд, технологию, как Private VLANs в теории и практике.Для начала вспомним, что такое VLANы. VLAN – отдельная подсеть, отдельный домен бродкаста, используется для логической сегментации сети, ограничения домена широковещательной рассылки, безопасности и т.д.
Обычно сеть делится на VLANы, далее c помощью router-on-the-stick либо многоуровнего свича (любого устройства 3 уровня) включается маршрутизация (разрешается весь трафик), а потом, с помощью списков контроля доступа, прописывается кому, с кем и по какому протоколу разрешено “общаться” (или применяется контроль трафика исходя из требований политики безопасности вашей организации, как было бы написано в учебнике Cisco).
Но что же делать когда, например, сеть уже разделена, сегментирована, но возникла необходимость изолировать серверы либо группы хостов друг от друга?
У Cisco, как и других вендоров, есть дополнительные инструменты, помогающие ограничивать пересылку трафика между хостами, находящимися в пределах одной подсети или контроля трафика внутри VLAN. Для этого чаще всего используются Private VLANs (частные VLANы), VLAN access list и protected ports.
Следует отметить, что Private VLANы на Cisco поддерживаются на моделях Nexus, а так же Catalyst начиная с 3560 и старше.
Первый пример.
На свичах младших моделей есть такое понятие как private vlan edge. Настраивается очень просто – из режима конфигурации интерфейса прописываем команду (config-if)#switchport protected, в результате чего, хосты подключенные к этим портам буду изолированы друг от друга на 2 уровне (т.е. физически они будут подключены к одному свичу, находиться в одной подсети, но не будут “видеть” друг друга, при этом будут “видеть” все остальные хосты). Один из недостатков этого механизма, это то, что он имеет локальное значение для свича, и не масштабируется.( т.е. если мы соединим свич А и свич В транком, например, то protected порт свича А сможет “увидеть” protected порт свича B).
Остановимся более подробнее на частных VLANах. Основная цель статьи – научить настраивать частные VLANы, разобраться с терминологией, а так же получить общее представление, где их использовать.
Второй пример.
В первом примере, сеть уже разбита на VLANы, но вдруг потребовалась изоляция хостов, что делать? Вы скажете, что всё очень просто: выносим хосты, которые требуется изолировать в отдельные VLANы, включаем маршрутизацию, с помощью списков контроля доступа изолируем их друг от друга. Для этого просто создаем еще несколько подсетей и всё. Но, вдруг вы работаете в организации, где очень строгая иерархия IP-адресации и просто получить еще одну частную подсеть не так легко либо у вас нет свободных VLANов?
| VLAN Support Matrix for Catalyst Swithes | ||
| Type of Switch | Maximum No. of VLANs | VLAN IDs Range |
| Catalyst 2940 | 4 | 1-1005 |
| Catalyst 2960 / 2955 | 250 | 1-4094. |
| Catalyst 2960 | 255 | 1-4094. |
| Catalyst 2970/2550/3560/3750 | 1005 | 1-4094. |
| Catalyst 2848G/2980G/4000/4500 | 4094 | 1-4094. |
| Catalyst 6500 | 4094 | 1-4094. |
Рис. – Изоляция серверов в DMZ.
Третий пример.
Вы работаете в провайдере и предоставляете услуги web-хостинга для большого количества клиентов, вы поместили веб-серверы в одну сеть, при этом получается, что нет никакой изоляции, все они могут “слышать” броадкасты друг друга, т.е. передавать трафик без фильтрации через межсетевой экран. Если хакер сможет попасть на один из серверов, то он сможет развернуть атаку на все серверы, ”положить” всю серверную ферму. И, конечно же, клиенты хотят изоляции своих серверов друг от друга. Особенно PVLANы актуальны для провайдеров, предоставляющих layer 2 подключения как вид услуги, для разделения клиентов, клиент А конечно же не захочет, что бы его широковещательная рассылка попадала к клиенту Б, сами понимаете, какая дыра в безопасности здесь открывается. Традиционный выход из положения методом добавления нового VLANа здесь не подойдет (метод один VLAN на клиента), “упираемся” в масштабируемость максимальное количество VLANов 4094 минус зарезервированные. Вторая проблема, т.к. VLAN – отдельная подсеть, нужно заниматься subnetting и откидывать еще по 2 адреса на каждую подсеть (subnet и broadcast) жалко, так как это “белые” адреса :).
В данных ситуациях на помощь приходят частные VLANы.
Немного терминологии. Частные VLANы делятся на:
- Primary – основная, главная VLAN
- Secondary – второстепенные VLANы (бывают 2 видов isolated и community), все они должны принадлежать primary VLAN
Порты делятся на:
- Promiscuous – этот порт “видят” все и он “видит” всех, должен быть привязан к основному и всем второстепенным VLANам.
- Private vlan host может принадлежать:
- Isolated VLAN- “видит” только promiscuous порт, не “видит” другие порты даже в своей isolated vlan. Должен быть привязан к своему isolated VLANу и primary VLANу
- Community VLAN- “видит” только порты в данной community vlan, которой он принадлежит и promiscuous порт. Должен быть привязан к своему community VLANу и primary VLANу.
Общие правила
Только один isolated vlan может быть привязан к одному promiscuous порту. Если хотите несколько isolated vlan, тогда к каждому vlan должен быть привязан отдельный promiscuous порт.
Обычно создается только один isolated vlan, не важно, сколько там хостов, все равно они не будут видеть друг друга.
В отличие от isolated VLAN, несколько community VLAN может быть привязано к одному promiscuous порту.
Рассмотрим следующую топологию:
— Все устройства находятся в одной подсети 10.0.0.0/24 VLAN 10.
— R4 и R5 должны быть изолированы друг от друга и R2, R3 – т.е. должны иметь доступ только к интерфейсу маршрутизатора.
— R2 и R3 должны быть изолированы от R4, R5, но видеть друг друга и маршрутизатор.
Сперва создадим 2 второстепенных VLANа, 101 community VLAN и 102 isolated VLAN. VLAN 10 сделаем основной и привяжем к ней второстепенные( порядок ввода команд не имеет значения).
SW1 (config)#
vlan 101
private-vlan community
!
vlan 102
private-vlan isolated
!
vlan 10
private-vlan primary
private-vlan association 101-102
Проверим:
SW1#sh vlan private-vlan
Primary Secondary Type Ports
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
10 101 community
10 102 isolated
Далее, мы должны ассоциировать порты c VLANами.
Из режима конфигурации интерфейса делаем его сначала private vlan host (говорим ему, что он необычный порт), второй командой привязываем его к isolated и primary VLANам
interface FastEthernet1/0/11
description SW1 <-> R2
switchport private-vlan host-association 10 101
switchport mode private-vlan host
spanning-tree portfast
end
По аналогии настраиваем интерфейс fa1/0/4
interface FastEthernet1/0/4
description SW1 <-> R3
switchport private-vlan host-association 10 101
switchport mode private-vlan host
spanning-tree portfast
end
То же самое прописываем на fa1/0/9 – сначала говорим ему, что он private vlan host и для того, что бы он понял, что он принадлежит community vlan 102, привязываем его к ней, а так же не забываем привязать его к основному VLANу.
interface FastEthernet2/0/2
description SW1 <-> R6
switchport private-vlan mapping 10 101-102
switchport mode private-vlan promiscuous
Аналогично настраиваем fa1/0/9
interface FastEthernet2/0/11
description SW1 <-> R5
switchport private-vlan host-association 10 102
switchport mode private-vlan host
spanning-tree portfast
Интерфейсу fa2/0/2, так как мы хотим, что бы все хосты его “видели” и он всех “видел”, задаем режим promiscuous и по правилу привязываем его к основному и всем второстепенным VLANам.
interface FastEthernet2/0/2
description SW1 <-> R6
switchport private-vlan mapping 10 101-102
switchport mode private-vlan promiscuous
Проверяем ассоциацию портов:
SW1#sh vlan private-vlan
Primary Secondary Type Ports
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
10 101 community Fa1/0/4, Fa1/0/11, Fa2/0/2
10 102 isolated Fa1/0/9, Fa2/0/2, Fa2/0/11
Следующее действие не обязательное, создаем L3 SVI, для проверки, что isolated и community хосты могут его “видеть” так же, как и promiscuous port.
SW#sh run int vlan 10 | beg int
interface Vlan10
ip address 10.0.0.1 255.255.255.0
private-vlan mapping 101-102
end
SW#sh int vlan 10 private-vlan mapping
Interface Secondary VLANs
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
vlan 10 101,102
SW1#
И теперь самое интересное – как это все работает.
Взглянем на таблицу MAC-адресов на свиче, выглядит она необычно. Оказывается, MAC-адреса хостов на портах, с которых они были получены, одновременно ассоциируются с основным и второстепенным VLANами!
Почему хосты R4 и R5 в isolated vlan 102 не могут ничего “видеть” кроме интерфейса маршрутизатора? Обратите внимание, что MAC-адреса этих хостов в пределах 102 isolated vlan свич пометил, как BLOCKED, в то же время MAC-адрес promiscuous интерфейса маршрутизатора в пределах vlan 102, как обычный DYNAMIC.
Теперь давайте посмотрим, почему интерфейс маршрутизатора, помеченный, как promiscuous может “общаться” со всеми интерфейсами, дело в том, что он их может видеть через primary VLAN 10 (первые 5 строчек в таблице MAC-адресов).
SW#sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.0.0.2 8 0014.a925.72a0 ARPA Vlan10 pv 101
Internet 10.0.0.3 5 0014.a925.4cd8 ARPA Vlan10 pv 101
Internet 10.0.0.1 - 0014.a98c.87c1 ARPA Vlan10
Internet 10.0.0.6 70 0014.a909.78d1 ARPA Vlan10
Internet 10.0.0.4 4 0014.a909.7870 ARPA Vlan10 pv 102
Internet 10.0.0.5 4 0014.a925.6460 ARPA Vlan10 pv 102
SW#sh mac-address-table
Mac Address Table
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Vlan Mac Address Type Ports
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
All 0100.0ccc.cccc STATIC CPU
....
10 0014.a909.7870 DYNAMIC pv Fa1/0/9
10 0014.a909.78d1 DYNAMIC Fa2/0/2
10 0014.a925.4cd8 DYNAMIC pv Fa1/0/4
10 0014.a925.6460 DYNAMIC pv Fa2/0/11
10 0014.a925.72a0 DYNAMIC pv Fa1/0/11
101 0014.a909.78d1 DYNAMIC pv Fa2/0/2
101 0014.a925.4cd8 DYNAMIC Fa1/0/4
101 0014.a925.72a0 DYNAMIC Fa1/0/11
102 0014.a909.7870 BLOCKED Fa1/0/9
102 0014.a909.78d1 DYNAMIC pv Fa2/0/2
102 0014.a925.6460 BLOCKED Fa2/0/11
SW1#
В следующей статье рассмотрим тонкости масштабируемости частных VLANов, как между свичами поддерживающими эту технологию, так и на / через обычные свичи, которые даже и не знают такого понятия, как частный VLAN (нет, нет никакого двойного тегирования фрэйма) и типы “специальных” транков.
habr.com