Конфигурация изолированных частных VLAN на коммутаторах

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
      Базовые сведения
      Правила и ограничения
Конфигурация
      Схема сети
      Конфигурация первичных и изолированных сетей VLAN
      Назначение портов для частных сетей VLAN
      Конфигурация уровня 3
      Конфигурации
      Частные сети VLAN в нескольких коммутаторах
Проверка
Поиск и устранение неполадок
      Поиск и устранение неполадок в частных сетях VLAN
Дополнительные сведения

В некоторых случаях необходимо предотвратить соединение уровня 2 (L2) между устройствами на коммутаторе, не поместив устройства в разные подсети IP. С помощью данной установки можно предотвратить потерю IP-адресов. Частные сети VLAN (PVLAN) изолируют устройства уровня 2 в одной подсети IP. Можно направить порты на коммутаторе только на конкретные порты с шлюзом по умолчанию, резервным сервером или подключенным Cisco LocalDirector.

В данном документе описана процедура настройки изолированных сетей PVLAN на коммутаторах Cisco Catalyst с ПО Catalyst OS (CatOS) или Cisco IOS®.

Требования

В данном документе предполагается, что сеть уже существует, и с ее помощью можно установить соединение между различными портами в добавление к PVLAN. Если в наличии есть несколько коммутаторов, убедитесь, магистраль между ними функционирует правильно и позволяет работать сетям PVLAN на магистрали.

Не все коммутаторы и версии программного обеспечения поддерживают частные VLAN. Чтобы определить, поддерживает ли платформа или версия ПО сети PVLAN перед началом конфигурации, см. раздел Матрица поддержки коммутаторов Catalyst на частных сетях VLAN.

Примечание. Некоторые коммутаторы (как указано в разделе Матрица поддержки коммутаторов Catalyst на частных сетях VLAN) поддерживают только функцию Edge сетей PVLAN. Термин «защищенные порты» также относится в данной функции. На портах Edge сетей PVLAN есть ограничение, которое предотвращает связь с другими защищенными портами на одном коммутаторе. Однако защищенные порты на отдельных коммутаторах могут взаимодействовать друг с другом. Следует различать данную функцию с конфигурацией обычной PVLAN, которая отображена в данном документе. Дополнительные сведения о защищенных портах см. в разделе Конфигурация безопасности порта документа Конфигурация контроля трафика на уровне порта.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения.

• Коммутатор Catalyst 4003 с модулем управления 2, который использует CatOS версии 6.3(5)

• Коммутатор Catalyst 4006 с модулем управления 3, который использует ПО Cisco IOS версии 12.1(12c)EW1

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Условные обозначения

Дополнительную информацию о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.

Теоретические сведения

PVLAN – это VLAN с конфигурацией для изоляции уровня 2 от других портов с таким же доменом широковещательной рассылки или подсетью. Можно назначить особый набор портов в PVLAN и таким образом контролировать доступ к портам на уровне 2. А также можно настроить сети PVLAN и обычные VLAN на одном коммутаторе.

Существует три типа портов PVLAN: случайный, изолированный и общий.

• Случайный порт взаимодействует с другими портами PVLAN. Изолированный порт – это порт, который используют для взаимодействия с внешними маршрутизаторами, LocalDirectors, устройствами управления сетью, резервными серверами, административными рабочими станциями и другими устройствами. На других коммутаторах порт для модуля маршрутизатора (например плата многоуровневой коммутации [MSFC]) должен быть случайным.

• На изолированном порте есть полное разделение уровня 2 от других портов с такой же PVLAN. Данное разделение содержит широковещательные рассылки. Исключением является только случайный порт. Разрешение конфиденциальности на уровне 2 присутствует в блоке исходящего трафика ко всем изолированным портам. Трафик, приходящий из изолированного порта, направляется только на все изолированные порты.

• Общие порты могут взаимодействовать друг с другом и со случайными портами. У данных портов есть изоляция уровня 2 от других портов в других сообществах или от изолированных портов в сети PVLAN. Рассылки распространяются только между связанными портами сообщества и разнородными портами.

  Примечание. В данном документе не описана конфигурация VLAN сообществ.

Дополнительные сведения о сетях PVLAN см. в разделе Конфигурация частных сетей VLAN документа Общие сведения и конфигурация сетей VLAN.

Правила и ограничения

В данном разделе представлены правила и ограничения, которым необходимо следовать перед внедрением сетей PVLAN. Более полный список см. в разделе Рекомендации по конфигурации частных сетей VLAN документа Конфигурация сетей VLAN.

• PVLAN не могут включать в себя сети VLAN 1 или 1002-1005.

• Необходимо установить режим протокола VTP на transparent.

• Можно только задать одну изолированную VLAN для основной VLAN.

• Можно только назначить VLAN в качестве PVLAN, если у данной VLAN есть назначения текущих портов доступа. Удалите порты в данной сети VLAN перед преобразованием VLAN в PVLAN.

• Не настраивайте порты PVLAN как EtherChannels.

• Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 Fast Ethernet ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL (ASIC) представляет собой следующее.

  В следующей таблице отображен диапазон портов, которые относятся к одной ASIC на модулях Catalyst 6500/6000 FastEthernet.

  Модуль	Порты по ASIC
  WS-X6224-100FX-MT, WS-X6248-RJ-45, WS-X6248-TEL	Порты 1-12, 13-24, 25-36, 37-48
  WS-X6024-10FL-MT	Порты 1-12, 13-24
  WS-X6548-RJ-45, WS-X6548-RJ-21	Порты 1-48

  С помощью команды show pvlan capability (CatOS) также отображается возможность преобразования порта в порт PVLAN. В ПО Cisco IOS нет эквивалентной команды.

• Если удалить VLAN, которая используется в конфигурации PVLAN, порты, связанные с VLAN станут неактивными.

• Настройте интерфейсы VLAN уровня 3 (L3) только для первичных VLAN. Интерфейсы VLAN для изолированных и общих VLAN являются неактивными, если в сети VLAN проходит процесс конфигурации изолированных или общих VLAN. Дополнительные сведения см. в разделе Конфигурация частных сетей VLAN.

• Можно расширить сети PVLAN среди коммутаторов с помощью магистралей.

  Примечание. Необходимо вручную вводить конфигурацию одной PVLAN на каждом коммутаторе, так как VTP в режиме transparent не предоставляет данные сведения.

В этом разделе предоставляются сведения по конфигурации функций, описанных в данном документе.

Примечание. Чтобы получить дополнительную информацию о применяемых в данном документе командах, используйте Средство поиска команд (только для зарегистрированных пользователей).

Схема сети

В данном документе используется следующая схема сети.

В данном сценарии в устройствах в изолированной VLAN (101) есть ограничения от взаимодействия на уровне 2 друг с другом. Однако устройства не могут подключаться к Интернету. Кроме того, у порта Gig 3/26 на 4006 случайное назначение. Данная дополнительная конфигурация позволяет устройству на порте GigabitEthernet 3/26 соединиться с устройствами в изолированной VLAN. С помощью данной конфигурации также можно, например, делать резервную копию данных от всех устройств хостов PVLAN до рабочей станции администрирования. Другое использование случайных портов подразумевает соединение с внешним маршрутизатором, LocalDirector, устройством управления сетью и другими устройствами.

Конфигурация первичных и изолированных сетей VLAN

Чтобы создать первичные и вторичные сети VLAN, а также связать различные порты с данными VLAN, выполните следующие действия. В данных действиях описаны примеры ПО CatOS и Cisco IOS. Выполните соответствующий набор команд для установки OS.

1. Создайте первичную PVLAN.

2. Создайте одну или несколько изолированных сетей VLAN

3. Свяжите изолированную(ые) сеть(и) VLAN с первичной VLAN.

4. Проверьте конфигурацию частной VLAN.

Назначение портов для сетей PVLAN

Совет. Перед выполнением данной процедуры выполните команду show pvlan capability mod/port (для CatOS), чтобы определить возможность преобразования порта в порт PVLAN.

Примечание. Перед выполнением шага 1 данной процедуры выполните команду switchport в режиме конфигурации интерфейса, чтобы настроить порт в качестве коммутируемого интерфейса уровня 2.

1. Настройте порты хоста на всех соответствующих коммутаторах.

2. Настройте случайный порт на одном из коммутаторов.

   • CatOS

     Switch_CatOS> (enable) set pvlan mapping primary_vlan_id secondary_vlan_id mod/port
     
     !--- Примечание. Эта команда должна вводиться в одной строке.
     
     Successfully set mapping between 100 and 101 on 3/26

     Примечание. Для Catalyst 6500/6000 если модуль управления использует CatOS в качестве системного ПО, порт MSFC на модуле управления (15/1 или 16/1) должен быть случайным, если необходим коммутатор уровня 3 между сетями VLAN.

   • Программное обеспечение Cisco IOS

     Switch_IOS(config)#interface interface_type mod/port
     
     Switch_IOS(config-if)#switchport private-vlan 
     mapping primary_vlan_id secondary_vlan_id
     
      !--- Примечание. Эта команда должна вводиться в одной строке.
     
     Switch_IOS(config-if)#switchport mode private-vlan promiscuous 
     Switch_IOS(config-if)#end
     

Конфигурация уровня 3

В дополнительном разделе описаны шаги конфигурации, чтобы разрешить маршрутизатор входящего трафика PVLAN. Если необходимо только активировать соединение уровня 2, данный этап можно опустить.

1. Настройте интерфейс VLAN также, как и при настройке для обычной маршрутизации уровня 3.

   В данную конфигурацию входит:

   • Конфигурация IP-адреса

   • Активация интерфейса с помощью команды no shutdown

   • Проверка существования сети VLAN в базе данных VLAN

   Примеры конфигурации см. в разделе Техническая поддержка сетей VLAN/протокола VTP.

2. Сопоставьте вторичные сети VLAN, которые необходимо маршрутизировать, первичной VLAN.

   Switch_IOS(config)#interface vlan primary_vlan_id
   
   Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
    
   Switch_IOS(config-if)#end
   

   Примечание. Настройте интерфейсы VLAN уровня 3 (L3) только для первичных VLAN. Интерфейсы VLAN для изолированных и общих VLAN являются неактивными с помощью конфигурации изолированных или общих VLAN.

3. Выполните команду show interfaces private-vlan mapping (ПО Cisco IOS) или show pvlan mapping (CatOS), чтобы проверить сопоставление.

4. Если необходимо изменить список вторичных VLAN после конфигурации сопоставления, используйте ключевое слово add или remove.

   Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list
   
   or
   Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
   
   

Дополнительные сведения см. в разделе Сопоставление вторичных сетей VLAN интерфейсу VLAN уровня 3 первичной VLAN раздела Конфигурация частных сетей VLAN.

Примечание. Для коммутаторов Catalyst 6500/6000 с MSFC убедитесь, что порт от модуля управления до модуля маршрутизации (например порт 15/1 или 16/1) является случайным.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

Выполните команду show pvlan mapping, чтобы проверить сопоставление.

cat6000> (enable) show pvlan mapping 
Port Primary Secondary
---- ------- ---------
15/1  100      101

Конфигурации

В данном документе используются следующие конфигурации.

Access_Layer> (enable) show config
 This command shows non-default configurations only.
 Use 'show config all' to show both default and non-default configurations.
 .............

 !--- Выходные данные команды подавляются.


 #system
 set system name  Access_Layer
 !
 #frame distribution method
 set port channel all distribution mac both
 !
 #vtp
 set vtp domain Cisco
 set vtp mode transparent
 set vlan 1 name default type ethernet mtu 1500 said 100001 state active 
 set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500 
 said 100100 state active 
!--- Это первичная VLAN 100. !--- Примечание. Эта команда должна вводиться в одной строке.

 set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu 
 1500 said 100101 state active 
!--- Это первичная VLAN 101. !--- Примечание. Эта команда должна вводиться в одной строке.

 set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active 

!--- Выходные данные команды подавляются.


 #module 1 : 0-port Switching Supervisor
 !
 #module 2 : 24-port 10/100/1000 Ethernet
 set pvlan 100 101 2/20
!--- Порт 2/20 является портом хоста PVLAN в первичной VLAN 100, изолированной !--- VLAN 101.

 set trunk 2/3  desirable dot1q 1-1005
 set trunk 2/4  desirable dot1q 1-1005
 set trunk 2/20 off dot1q 1-1005
!--- Магистральное соединение автоматически деактивировано на портах хоста PVLAN.

 set spantree portfast    2/20 enable
!--- Магистральное соединение автоматически активировано на портах хоста PVLAN.

 set spantree portvlancost 2/1  cost 3

!--- Выходные данные команды подавляются.


 set spantree portvlancost 2/24 cost 3
 set port channel 2/20 mode off
!--- Режим передачи по каналу для порта автоматически деактивируется на !--- портах хоста PVLAN.

 set port channel 2/3-4 mode desirable silent
 !
 #module 3 : 34-port 10/100/1000 Ethernet
 end

Core#show running-config
 Building configuration...

 !--- Выходные данные команды подавляются.

 !
 hostname Core
 !
 vtp domain Cisco
 vtp mode transparent
!--- Режим VTP является прозрачным в соответствии с требованием сетей PVLAN.

 ip subnet-zero
 !
 vlan 2-4,6,10-11,20-22,26,28 
 !
 vlan 100
  name primary_for_101
   private-vlan primary
   private-vlan association 101
 !
 vlan 101
  name isolated_under_100
   private-vlan isolated
 !
 interface Port-channel1
!--- Это — канал портов для интерфейса GigabitEthernet3/1 !--- и интерфейса GigabitEthernet3/2.

  switchport
  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
 !
 interface GigabitEthernet1/1
 !
 interface GigabitEthernet1/2
 !
 interface GigabitEthernet3/1
!--- Это — магистраль к коммутатору Access_Layer.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/2
!--- Это — магистраль к коммутатору Access_Layer.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/3
 !
!--- Имеется пропуск в конфигурации интерфейса, !--- которая не используется.

 !
 interface GigabitEthernet3/26
  
  switchport private-vlan mapping 100 101
  switchport mode private-vlan promiscuous
!--- Укажите случайный порт для PVLAN 101.

 !
!--- Имеется пропуск в конфигурации интерфейса, !--- которая не используется.

 !
!--- Выходные данные команды подавляются.

 interface Vlan25
!--- Это — соединение с Интернетом.

  ip address 10.25.1.1 255.255.255.0
 !
 interface Vlan100
!--- Это — интерфейс уровня 3 для первичной VLAN.

  ip address 10.1.1.1 255.255.255.0
  private-vlan mapping 101
!--- Сопоставьте VLAN 101 с интерфейсом VLAN первичной VLAN (100). !--- Входящий трафик для устройств в изолированных маршрутах VLAN 101 !--- через интерфейс VLAN 100.

Частные сети VLAN в нескольких коммутаторах

Частные сети VLAN можно использовать в нескольких коммутаторах двумя способами. В этом разделе описаны данные способы.

Обычные магистрали

С помощью обычных VLAN сети PVLAN могут взаимодействовать с несколькими коммутаторами. Порт магистрали переносит первичную и вторичные VLAN на соседний коммутатор. Порт магистрали взаимодействует с частной VLAN также, как и с другими сетями VLAN. Функция сетей PVLAN в нескольких коммутаторах состоит в том, чтобы трафик изолированного порта на одном коммутаторе не достигал изолированного порта на другом коммутаторе.

Настройте сети PVLAN на всех промежуточных устройствах, в которых находятся устройства без портов PVLAN, чтобы поддержать безопасность конфигурации PVLAN и избежать другого использования сетей VLAN, настроенных в качестве сетей PVLAN.

Порты магистрали направляют трафик из обычных VLAN, а также из первичных, изолированных и общих VLAN.

Совет. Cisco рекомендует использовать стандартные порты магистрали, если оба коммутатора с магистральным соединением поддерживают сети PVLAN.

Так как протокол VTP не поддерживает сети PVLAN, необходимо настроить их вручную на всех коммутаторах в сети уровня 2. Если не настроить объединение первичной и вторичных сетей VLAN в некоторых коммутаторах в сети, базы данных уровня 2 в данных коммутаторах не объединятся. Это может привести к лавинной маршрутизации трафика PVLAN на данных коммутаторах.

Магистрали частных сетей VLAN

Порт магистрали PVLAN может вмещать несколько вторичных сетей PVLAN, а также сети, отличные от сетей PVLAN. Пакеты получают и передают с помощью тегов вторичных или обычных VLAN на портах магистрали PVLAN.

Поддерживается только инкапсуляция IEEE 802.1q. С помощью изолированных портов магистрали можно объединять трафик всех вторичных портов на магистрали. С помощью случайных портов магистрали можно объединять несколько случайных портов, необходимых в данной топологии, в один порт магистрали, который вмещает несколько первичных сетей VLAN.

Дополнительные сведения см. в разделе Магистрали частных сетей VLAN.

Чтобы настроить интерфейс в качестве порта магистрали PVLAN, см. раздел Конфигурация интерфейса уровня 2 в качестве порта магистрали PVLAN.

Чтобы настроить интерфейс в качестве случайного порта магистрали, см. раздел Конфигурация интерфейса уровня 2 в качестве случайного порта магистрали.

Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.

Средство Интерпретатор выходных данных (только для зарегистрированных клиентов) (OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

CatOS

• show pvlan – отображает конфигурацию PVLAN. Проверьте связь изолированных и первичных сетей VLAN друг с другом. А также проверьте отображение портов хоста.

• show pvlan mapping – отображает сопоставление PVLAN с конфигурацией на случайных портах.

Программное обеспечение Cisco IOS

• show vlan private-vlan – отображает сведения о PVLAN со связанными портами.

• show interface mod/port switchport – отображает сведения об интерфейсах. Проверьте правильность работы рабочего режима, а также рабочие параметры PVLAN.

• show interfaces private-vlan mapping – отображает настроенное сопоставление сетей PVLAN.

Процедура проверки

Выполните следующие шаги:

1. Проверьте конфигурацию PVLAN на коммутаторах.

   Проверьте связь/сопоставление первичных и вторичных сетей PVLAN друг с другом. А также проверьте включение необходимых портов.

   Access_Layer> (enable) show pvlan
   Primary Secondary Secondary-Type   Ports
   ------- --------- ---------------- ------------
    100     101       isolated         2/20
   
   Core#show vlan private-vlan 
   
   Primary Secondary Type              Ports
   ------- --------- ----------------- -----------
   100     101       isolated          Gi3/26

2. Проверьте правильность конфигурации случайного порта.

   Следующие выходные данные указывают, что рабочий режим портов – promiscuous, рабочие сети VLAN – 100 и 101.

   Core#show interface gigabitEthernet 3/26 switchport 
   Name: Gi3/26
   Switchport: Enabled
   Administrative Mode: private-Vlan promiscuous
   Operational Mode: private-vlan promiscuous
   Administrative Trunking Encapsulation: negotiate
   Operational Trunking Encapsulation: native
   Negotiation of Trunking: Off
   Access Mode VLAN: 1 (default)
   Trunking Native Mode VLAN: 1 (default)
   Voice VLAN: none
   Administrative Private VLAN Host Association: none 
   Administrative Private VLAN Promiscuous Mapping: 100 
   (primary_for_101) 101 (isolated_under_100)
   Private VLAN Trunk Native VLAN: none
   Administrative Private VLAN Trunk Encapsulation: dot1q
   Administrative Private VLAN Trunk Normal VLANs: none
   Administrative Private VLAN Trunk Private VLANs: none
   Operational Private VLANs: 
   100 (primary_for_101) 101 (isolated_under_100) 
   Trunking VLANs Enabled: ALL
   Pruning VLANs Enabled: 2-1001
   Capture Mode Disabled
   Capture VLANs Allowed: ALL

3. Запустите пакет запроса ICMP-эхо из порта хоста на случайный порт.

   Помните, что так как оба устройства находятся в первичной VLAN, они могут быть в одной сети.

   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   !--- Таблица разрешения адресов (ARP) на клиентском устройстве указывает, что !--- MAC-адреса, отличные от клиентских адресов, не известны.
   
   host_port#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   .!!!!
   Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
   !--- Запрос "ICMP-эхо" выполнен успешно. Первый запрос "ICMP-эхо" выполнен неудачно при !--- при попытке устройства выполнить с помощью ARP сопоставление с MAC-адресом однорангового узла.
   
   
   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   Internet  10.1.1.254              0   0060.834f.66f0  ARPA   FastEthernet0/24
   !--- Имеется новая запись о MAC-адресе для однорангового узла.
   
   

4. Выполните запрос ICMP-эхо между портами хоста.

   В следующем промере host_port_2 (10.1.1.99) отправляет запрос ICMP-эхо на host_port (10.1.1.100). Выполнение данного запроса не удалось. Однако выполнение запроса ICMP-эхо из другого порта хоста на случайный порт прошло успешно.

   host_port_2#ping 10.1.1.100
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
   .....
   Success rate is 0 percent (0/5)
   !--- Запрос "ICMP-эхо" между портами хоста, как и требовалось, выполнен неудачно.
   
   
   host_port_2#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   !!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
   !--- Запрос "ICMP-эхо" к случайному порту по-прежнему выполняется успешно.
   
   
   host_port_2#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.99               -   0005.7428.1c40  ARPA   Vlan1
   Internet  10.1.1.254              2   0060.834f.66f0  ARPA   Vlan1
   !--- Таблица ARP содержит только запись для данного порта и !--- случайного порта.
   
   

Поиск и устранение неполадок в сетях PVLAN

В данном разделе описаны некоторые основные проблемы, которые возникают во время конфигурации PVLAN.

Проблема 1

Отображается следующее сообщение об ошибке. %PM-SP-3-ERR_INCOMP_PORT: <mod/port> is set to inactive because <mod/port> is a trunk port

Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В таблице раздела Правила и ограничения данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.

Процедура разрешения. Если нет поддержки на порте PVLAN, выберите порт в другой ASIC на данном или на другом модуле. Чтобы возобновить деятельность портов, удалите конфигурацию изолированного или общего порта VLAN и выполните команды shutdown и no shutdown.

Примечание. В ПО Cisco IOS версии 12.2(17a)SX и более поздних ограничение 12 портов не применяется к коммутирующим модулям WS-X6548-RJ-45, WS-X6548-RJ-21 и WS-X6524-100FX-MM Ethernet. Дополнительные сведения об ограничениях конфигураций сетей PVLAN с помощью других функций см. в разделе Ограничения и другие функции документа Конфигурация частных сетей VLAN.

Проблема 2

В процессе конфигурации PVLAN может отобразится одно из следующих сообщений.

• Cannot add a private vlan mapping to a port with another Private port in 
  the same ASIC. 
  Failed to set mapping between <vlan> and <vlan> on <mod/port>

• Port with another Promiscuous port in the same ASIC cannot be made 
  Private port.
  Failed to add ports to association.

Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В таблице раздела Правила и ограничения данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.

Процедура разрешения. Выполните команду show pvlan capability (CatOS), которая указывает преобразование порта в порт PVLAN. Если нет поддержки для PVLAN на определенном порте, выберите порт в другой ASIC на данном или на другом модуле.

Примечание. В ПО Cisco IOS версии 12.2(17a)SX и более поздних ограничение 12 портов не применяется к коммутирующим модулям WS-X6548-RJ-45, WS-X6548-RJ-21 и WS-X6524-100FX-MM Ethernet. Дополнительные сведения об ограничениях конфигураций сетей PVLAN с помощью других функций см. в разделе Ограничения и другие функции документа Конфигурация частных сетей VLAN.

Проблема 3

Не удается настроить PVLAN на некоторых платформах.

Решение. Проверьте, чтобы платформа поддерживала сети PVLAN. Чтобы определить, поддерживает ли платформа или версия ПО сети PVLAN перед началом конфигурации, см. раздел Матрица поддержки коммутаторов Catalyst на частных сетях VLAN.

Проблема 4

На MSFC коммутатора Catalyst 6500/6000 невозможно выполнить запрос ICMP-эхо на устройство, которое соединено с изолированным портом на данном коммутаторе.

Решение. На модуле управления проверьте, чтобы данный порт на MSFC (15/1 или 16/1) является случайным.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

Также настройте интерфейс VLAN на MSFC, как указано в разделе Конфигурация уровня 3 данного документа.

Проблема 5

С помощью команды no shutdown невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN.

Решение. Из-за сущности сетей PVLAN невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN. Можно активировать только тот интерфейс VLAN, который относится к первичной VLAN.

Проблема 6

На устройствах Catalyst 6500/6000 с MSFC/MSFC2 записи ARP, полученные на интерфейсах PVLAN уровня 3 не устаревают.

Решение. Записи ARP, полученные на интерфейсах частных VLAN уровня 3, являются фиксированными и не устаревают. С помощью подключения нового оборудования с помощью IP-адреса создается сообщение. Запись ARP не создается. Таким образом, необходимо удалить ARP-записи порта PVLAN при изменении MAC-адреса. Чтобы добавить или удалить ARP-записи PVLAN вручную, выполните следующие команды.

Router(config)#no arp 11.1.3.30 
IP ARP:Deleting Sticky ARP entry 11.1.3.30 
Router(config)#arp 11.1.3.30 0000.5403.2356 arpa 
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by 
hw:0000.5403.2356

Второй способ – выполнить команду no ip sticky-arp в ПО Cisco IOS версии 12.1(11b)E и более поздних.

Как настроить VLAN’ы на коммутаторах Cisco Catalyst

Вступление

VLAN расшифровывается как Virtual Local Area Network. На одном коммутаторе возможно настроить несколько различных VLAN’ов для разных сетей. Этот документ расскажет как создать VLAN на коммутаторах Cisco Catalyst, работающих на Cisco IOS.

Описание:

У каждого VLAN’а есть номер. Существуют два типа VLAN:

    1) Стандартный диапозон VLAN — от 1 до 1000.

    2) Расширеный диапозон VLAN — от 1025 до 4096.

На каждом коммутаторе существует VLAN 1, все интерфейсы по умолчанию относятся к нему. Процесс настройки практически идентичен для всех коммутаторов Catalyst.

Конфигурация VLAN в IOS:

В Cisco IOS VLAN’ы можно настроить двумя путями:

    1) Config-vlan

    2) VLAN database (на сегодняшний день большинство коммутаторов не поддерживают данный способ)

Конфигурация VLAN в режиме Config-vlan:

Процесс конфигурации:

1) Выполните команду «configure terminal» чтобы перейти в режим конфигурации.

2) Создайте VLAN командой «vlan <number>».
2) Выполните команду «interface [type] mod/port>» чтобы перейти в режим конфигурации интерфейса.
3) Выполните команду «switchport mode access» чтобы сокнфигурировать режим порта.
4) Выполните команду «switchport access <vlan-id>» чтобы указать к какому VLAN’у будет относится интерфейс.
5) Чтобы проеврить конфигурацию VLAN, выполните команду «show vlan».

Пример:

SW1(config)#vlan 11
SW1(config-vlan)#name Accounting
SW1(config-vlan)#exit
SW1(config)#int fa1/0
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 11
SW1(config-if)#end

Конфигурация VLAN в режиме VLAN database:

Процесс конфигурации:

1) Выполните команду «vlan database» чтобы перейти в режим редактирования VLAN database.

2) Выполните команду «vlan vlan-id> name vlan-name» чтобы добавить VLAN и назначить ему номер и имя.
3) Примените изменения, выполнив команду «apply», после чего выполните команду «exit» чтобы выйти из режима конфигурации VLAN.   

4) Выполните команду «interface [type] mod/port>» чтобы перейти в режим конфигурации интерфейса.
5) Выполните команду «switchport mode access» чтобы сокнфигурировать режим порта.
6) Выполните команду «switchport access <vlan-id>» чтобы указать к какому VLAN’у будет относится интерфейс.
7) Чтобы проеврить конфигурацию VLAN, выполните команду «show vlan».

Пример:

SW1#vlan database
% Warning: It is recommended to configure VLAN from config mode,
  as VLAN database mode is being deprecated. Please consult user
  documentation for configuring VTP/VLAN in config mode.

SW1(vlan)#vlan 2 name user
VLAN 2 added:
    Name: user
SW1(vlan)#apply
APPLY completed.
SW1(vlan)#exit
APPLY completed.
Exiting….
SW1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SW1(config)#int fa1/0
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 2
SW1(config-if)#end

Base Initial configuration:

Дополнительная информация:

Creating Ethernet VLANs on Catalyst Switches

Configuring VLANs

Оригинал документа — How To Configure VLANs On the Catalyst Switches

Настройка VLAN на Cisco

Подборка инструкций по настройке VLAN на оборудовании Cisco. Примеры конфигурирования, описания возможных проблем, настройки и параметры.

Введение в виртуальные локальные сети VLAN

Если вы совсем новичок в теме, начните с этого видео, посвященного технологии VLAN/ Пожалуй самое доступное объяснение:

Настройка VLAN в Cisco Packet Tracer

В данном уроке мы познакомимся с технологией VLAN, научимся создавать их на коммутаторах, настраивать access и trunk порты.

Одно из лучших объяснений работы VLAN на оборудовании Cisco.

У кого бесконечный «Translating….» нажмите Ctrl + Shift + 6

Добавлять VLAN в транк только «switchport trunk allowed vlan add», чтобы остальные не потерялись.

Учтите, что вы не пробросите VLAN без транка. у коммутаторов есть два режима порта, это access, используется как правило для конечных устройств (компы, принтеры, телефоны) и trunk — настраивается между свичами. Access порт тегирует входящий трафик в коммутатор и растегирует исходящий. Trunk порт не занимается тегированием, он просто прокидывает пакеты основываясь на метках влана (тегах).

Настройка VLAN+NAT+DHCP в Cisco Packet Tracer

Еще одно подробное руководство по настройке VLAN на оборудовании Cisco.

Маршрутизация между Cisco VLAN. Три варианта дизайна

В этом видео рассказывается о том, как работает маршрутизация между виртуальными сетями Virtual LAN или Vlan, которая также называется  Inter vlan routing. Подробно на уровне CCNA рассказывается какой дизайн сети выбрать, в чем преимущества и недостатки каждого варианта дизайна.

Более чем подходит для подготовке к сертификационному тесту CCNA Routing and Switching. Вам нужно разделить сеть на Vlan? Нужно настроить взаимодействие. В видео рассматриваются три варианта построения маршрутизации между Vlan. Обсуждаются плюсы и минусы каждого, а также применимость на практике.

Как настроить VLAN на коммутаторах Cisco Catalyst 2960

В этом видео показано на практике, как создать VLAN на коммутаторе Cisco 2960, переключить порты в определенный VLAN, а также передавать трафик между несколькими коммутаторами.

Настройка Native Vlan на Cisco

Native VLAN — это понятие в стандарте 802.1Q, которое обозначает VLAN на коммутаторе, где все кадры идут без тэга, т.е. трафик передается нетегированным. По умолчанию это VLAN 1. В некоторых моделях коммутаторов Сisco это можно изменить, указав другой VLAN как native.

Если коммутатор получает нетегированные кадры на транковом порту, он автоматически причисляет их к Native VLAN. И точно так же кадры, генерируемые с не распределенных портов, при попадании в транк-порт причисляются к Native VLAN.

Трафик, который принадлежит другим VLANам, тегируется с указанием соответствующего VLAN ID внутри тега.

Пример настройки VLAN 5 как native на коммутаторе Cisco

sw1(config)# interface f0/10

sw1(config-if)# switchport trunk native vlan 5

Теперь весь трафик, принадлежащий VLAN 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN’у 5 (по умолчанию VLAN 1).

Из соображений безопасности (например, для защиты от VLAN Hopping) рекомендуется в транке выполнять тегирование даже для native VLAN. Включить тегирование фреймов для native VLAN глобально можно с помощью команды vlan dot1q tag native, просмотреть текущий статус тегирования можно используя команду show vlan dot1q tag native.

Switch(config)#no vlan dot1q tag native

Switch#sho vlan dot1q tag native

dot1q native vlan tagging is disabled

Настройка Voice VLAN на Cisco

Большинство IP — телефонов, включая Cisco, имеют маленький коммутатор на 3 порта внутри IP — телефона. Телефон подключается «в разрыв».

• Первый порт подключается к коммутатору;
• Второй порт подключается к компьютеру;
• Внутренний порт подключает сам телефон;

Как это все работает? Между коммутатором и телефоном у нас есть так называемый «транк». Порт на телефоне, который подключается к компьютеру, является портом доступа. Телефона передает весь трафик с компьютера на коммутатор без каких — либо меток, непомеченным. Трафик с самого телефона всегда будет помечаться, и в транке будут разрешены только два вышеупомянутых VLANа.

Если вы уже знакомы с настройкой VLANов, то создание голосового VLANа не составит для вас вообще никакого труда. Давайте настроим порт на коммутаторе, где мы будем использовать VLANы 10 и 11.

Сначала мы создаем данные VLANы:

MERION-SW1(config)#vlan 10

MERION-SW1(config-vlan)#name DATA

MERION-SW1(config-vlan)#exit

MERION-SW1(config)#vlan 11

MERION-SW1(config-vlan)#name VOICE

MERION-SW1(config-vlan)#exit

Теперь настроим интерфейс:

MERION-SW1(config)#interface GigabitEthernet 0/1

MERION-SW1(config-if)#switchport mode access

MERION-SW1(config-if)#switchport access vlan 10

MERION-SW1(config-if)#switchport voice vlan 11

MERION-SW1(config-if)#exit

Мы переключили данный порт в режим доступа и настраиваем его для VLAN 10. Команда switchport voice vlan сообщает коммутатору, чтобы он использовал VLAN 11 как голосовой VLAN.

Для того, чтобы телефон понял, какой VLAN нужно использовать, используются два протокола — Cisco Discovery Protocol (CDP) для телефонов Cisco и Link Layer Discovery Protocol (LLDP) для телефонов от других вендоров.

Справочная информация

Номера VLAN (VLAN ID)

Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:

• 1 — 1005 базовый диапазон (normal-range)
• 1002 — 1005 зарезервированы для Token Ring и FDDI VLAN
• 1006 — 4094 расширенный диапазон (extended-range)

Параметры VLAN

При создании или изменении VLAN можно задать следующие параметры:

• VLAN ID — Номер VLAN
• VLAN name (name) — Имя VLAN
• VLAN type (media) — Тип VLAN (Ethernet, Fiber Distributed Data Interface [FDDI], FDDI network entity title [NET], TrBRF, или TrCRF, Token Ring, Token Ring-Net)
• VLAN state (state) — Состояние VLAN (active или suspended)
• VLAN MTU (mtu) — Максимальный размер блока данных, который может быть передан на канальном уровне
• SAID (said) — Security Association Identifier — идентификатор ассоциации безопасности (стандарт IEEE 802.10)
• Remote SPAN (remote-span) — Создание VLAN для удаленного мониторинга трафика (В дальнейшем в такой VLAN можно зеркалировать трафик с какого-нибудь порта, и передать его через транк на другой коммутатор, в котором из этого VLAN трафик отправить на нужный порт с подключенным снифером)
• Bridge identification number для TrBRF VLAN (bridge) — Идентификатор номера моста для функции TrBRF (Token Ring Bridge Relay Function). Цель функции — создание моста из колец.
• Ring number для FDDI и TrCRF VLAN (ring) — Номер кольца для типов VLAN FDDI и TrCRF (Token Ring concentrator relay functions). TrCRF называют кольца, которые включены в мост.
• Parent VLAN number для TrCRF VLAN (parent) — Номер родительского VLAN для типа VLAN FDDI или Token Ring
• Spanning Tree Protocol (STP) type для TrCRF VLAN (stp type) — Тип протокола связующего дерева (STP) для VLAN типа TrCRF
• Translational VLAN number 1 (tb-vlan1) — Номер VLAN для первичного преобразования одного типа VLAN в другой
• Translational VLAN number 2 (tb-vlan2) — Номер VLAN для вторичного преобразования одного типа VLAN в другой

Значения по умолчанию

Основы компьютерных сетей. Тема №6. Понятие VLAN, Trunk и протоколы VTP и DTP / Хабр

Всех с наступившим новым годом! Продолжаем разговор о сетях и сегодня затронем такую важную тему в мире коммутации, как VLAN. Посмотрим, что он из себя представляет и как с ним работать. А также разберем работающие с ним протоколы VTP и DTP.

В предыдущих статьях мы уже работали с многими сетевыми устройствами, поняли, чем они друг от друга отличаются и рассмотрели из чего состоят кадры, пакеты и прочие PDU. В принципе с этими знаниями можно организовать простейшую локальную сеть и работать в ней. Но мир не стоит на месте. Появляется все больше устройств, которые нагружают сеть или что еще хуже — создают угрозу в безопасности. А, как правило, «опасность» появляется раньше «безопасности». Сейчас я на самом простом примере покажу это.

Мы пока не будем затрагивать маршрутизаторы и разные подсети. Допустим все узлы находятся в одной подсети.

Сразу приведу список IP-адресов:

1. PC1 – 192.168.1.2/24
2. PC2 – 192.168.1.3/24
3. PC3 – 192.168.1.4/24
4. PC4 – 192.168.1.5/24
5. PC5 – 192.168.1.6/24
6. PC6 – 192.168.1.7/24

У нас 3 отдела: дирекция, бухгалтерия, отдел кадров. У каждого отдела свой коммутатор и соединены они через центральный верхний. И вот PC1 отправляет ping на компьютер PC2.

Кто хочет увидеть это в виде анимации, открывайте спойлер (там показан ping от PC1 до PC5).

Красиво да? Мы в прошлых статьях уже не раз говорили о работе протокола ARP, но это было еще в прошлом году, поэтому вкратце объясню. Так как PC1 не знает MAC-адрес (или адрес канального уровня) PC2, то он отправляет в разведку ARP, чтобы тот ему сообщил. Он приходит на коммутатор, откуда ретранслируется на все активные порты, то есть к PC2 и на центральный коммутатор. Из центрального коммутатора вылетит на соседние коммутаторы и так далее, пока не дойдет до всех. Вот такой не маленький трафик вызвало одно ARP-сообщение. Его получили все участники сети. Большой и не нужный трафик — это первая проблема. Вторая проблема — это безопасность. Думаю, заметили, что сообщение дошло даже до бухгалтерии, компьютеры которой вообще не участвовали в этом. Любой злоумышленник, подключившись к любому из коммутаторов, будет иметь доступ ко всей сети. В принципе сети раньше так и работали. Компьютеры находились в одной канальной среде и разделялись только при помощи маршрутизаторов. Но время шло и нужно было решать эту проблему на канальном уровне. Cisco, как пионер, придумала свой протокол, который тегировал кадры и определял принадлежность к определенной канальной среде. Назывался он

. Идея эта понравилась всем и IEEE решили разработать аналогичный открытый стандарт. Стандарт получил название

. Получил он огромное распространение и Cisco решила тоже перейти на него.

И вот как раз технология VLAN основывается на работе протокола 802.1q. Давайте уже начнем говорить про нее.

В 3-ей части я показал, как выглядит ethernet-кадр. Посмотрите на него и освежите в памяти. Вот так выглядит не тегированный кадр.

Теперь взглянем на тегированный.

Как видим, отличие в том, что появляется некий Тег. Это то, что нам и интересно. Копнем глубже. Состоит он из 4-х частей.

1) TPID (англ. Tag Protocol ID) или Идентификатор тегированного протокола — состоит из 2-х байт и для VLAN всегда равен 0x8100.
2) PCP (англ. Priority Code Point) или значение приоритета — состоит из 3-х бит. Используется для приоритезации трафика. Крутые и бородатые сисадмины знают, как правильно им управлять и оперирует им, когда в сети гуляет разный трафик (голос, видео, данные и т.д.)
3) CFI (англ. Canonical Format Indicator) или индикатор каноничного формата — простое поле, состоящее из одного бита. Если стоит 0, то это стандартный формат MAC-адреса.
4) VID (англ. VLAN ID) или идентификатор VLAN — состоит из 12 бит и показывает, в каком VLAN находится кадр.

Хочу заострить внимание на том, что тегирование кадров осуществляется между сетевыми устройствами (коммутаторы, маршрутизаторы и т.д.), а между конечным узлом (компьютер, ноутбук) и сетевым устройством кадры не тегируются. Поэтому порт сетевого устройства может находиться в 2-х состояниях: access или trunk.

• Access port или порт доступа — порт, находящийся в определенном VLAN и передающий не тегированные кадры. Как правило, это порт, смотрящий на пользовательское устройство.
• Trunk port или магистральный порт — порт, передающий тегированный трафик. Как правило, этот порт поднимается между сетевыми устройствами.

Сейчас я покажу это на практике. Открываю ту же лабу. Картинку повторять не буду, а сразу открою коммутатор и посмотрю, что у него с VLAN.

Набираю команду show vlan.

Выстраиваются несколько таблиц. Нам по сути важна только самая первая. Теперь покажу как ее читать.

1 столбец — это номер VLAN. Здесь изначально присутствует номер 1 — это стандартный VLAN, который изначально есть на каждом коммутаторе. Он выполняет еще одну функцию, о которой чуть ниже напишу. Также присутствуют зарезервированные с 1002-1005. Это для других канальных сред, которые вряд ли сейчас используются. Удалить их тоже нельзя.

Switch(config)#no vlan 1005
Default VLAN 1005 may not be deleted.

При удалении Cisco выводит сообщение, что этот VLAN удалить нельзя. Поэтому живем и эти 4 VLANа не трогаем.

2 столбец — это имя VLAN. При создании VLAN, вы можете на свое усмотрение придумывать им осмысленные имена, чтобы потом их идентифицировать. Тут уже есть default, fddi-default, token-ring-default, fddinet-default, trnet-default.

3 столбец — статус. Здесь показывается в каком состоянии находится VLAN. На данный момент VLAN 1 или default в состоянии active, а 4 следующих act/unsup (хоть и активные, но не поддерживаются).

4 столбец — порты. Здесь показано к каким VLAN-ам принадлежат порты. Сейчас, когда мы еще ничего не трогали, они находятся в default.

Приступаем к настройке коммутаторов. Правилом хорошего тона будет дать коммутаторам осмысленные имена. Чем и займемся. Привожу команду.

Switch(config)#hostname CentrSW
CentrSW(config)#

Остальные настраиваются аналогично, поэтому покажу обновленную схему топологии.

Начнем настройку с коммутатора SW1. Для начала создадим VLAN на коммутаторе.

SW1(config)#vlan 2 -  создаем VLAN 2 (VLAN 1 по умолчанию зарезервирован, поэтому берем следующий).
SW1(config-vlan)#name Dir-ya - попадаем в настройки VLAN и задаем ему имя.

VLAN создан. Теперь переходим к портам. Интерфейс FastEthernet0/1 смотрит на PC1, а FastEthernet0/2 на PC2. Как говорилось ранее, кадры между ними должны передаваться не тегированными, поэтому переведем их в состояние Access.

SW1(config)#interface fastEthernet 0/1 - переходим к настройке 1-ого порта.
SW1(config-if)#switchport mode access - переводим порт в режим access.
SW1(config-if)#switchport access vlan 2 - закрепляем за портом 2-ой VLAN.
SW1(config)#interface fastEthernet 0/2 - переходим к настройке 2-ого порта.
SW1(config-if)#switchport mode access - переводим порт в режим access.
SW1(config-if)#switchport access vlan 2 - закрепляем за портом 2-ой VLAN.

Так как оба порта закрепляются под одинаковым VLAN-ом, то их еще можно было настроить группой.

SW1(config)#interface range fastEthernet 0/1-2 - то есть выбираем пул и далее настройка аналогичная.
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 2

Настроили access порты. Теперь настроим trunk между SW1 и CentrSW.

SW1(config)#interface fastEthernet 0/24 - переходим к настройке 24-ого порта.
SW1(config-if)#switchport mode trunk - переводим порт в режим trunk.
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up

Сразу видим, что порт перенастроился. В принципе для работы этого достаточно. Но с точки зрения безопасности разрешать для передачи нужно только те VLAN, которые действительно нужны. Приступим.

SW1(config-if)#switchport trunk allowed vlan 2 - разрешаем передавать только 2-ой VLAN.

Без этой команды передаваться будут все имеющиеся VLAN. Посмотрим, как изменилась таблица командой

.

Появился 2-ой VLAN с именем Dir-ya и видим принадлежащие ему порты fa0/1 и fa0/2.

Чтобы вывести только верхнюю таблицу, можно воспользоваться командой show vlan brief.

Можно еще укоротить вывод, если указать определенный ID VLANа.

Или его имя.

Вся информациях о VLAN хранится в flash памяти в файле vlan.dat.

Как вы заметили, ни в одной из команд, нет информации о trunk. Ее можно посмотреть другой командой

.

Здесь есть информация и о trunk портах, и о том какие VLAN они передают. Еще тут есть столбец

. Это как раз тот трафик, который не должен тегироваться. Если на коммутатор приходит не тегированный кадр, то он автоматически причисляется к Native Vlan (по умолчанию и в нашем случае это VLAN 1). Native VLAN можно, а многие говорят, что нужно менять в целях безопасности. Для этого в режиме настройки транкового порта нужно применить команду —

, где

— номер присваиваемого VLAN. В этой топологии мы менять не будем, но знать, как это делать полезно.

Осталось настроить остальные устройства.

CentrSW:
Центральный коммутатор является связующим звеном, а значит он должен знать обо всех VLAN-ах. Поэтому сначала создаем их, а потом переводим все интерфейсы в транковый режим.

CentrSW(config)#vlan 2
CentrSW(config-vlan)# name Dir-ya
CentrSW(config)#vlan 3
CentrSW(config-vlan)# name buhgalter
CentrSW(config)#vlan 4
CentrSW(config-vlan)# name otdel-kadrov
CentrSW(config)#interface range fastEthernet 0/1-3
CentrSW(config-if-range)#switchport mode trunk

Не забываем сохранять конфиг. Команда

SW2:

SW2(config)#vlan 3
SW2(config-vlan)#name buhgalter
SW2(config)#interface range fastEthernet 0/1-2 
SW2(config-if-range)#switchport mode access
SW2(config-if-range)#switchport access vlan 3
SW2(config)#interface fastEthernet 0/24
SW2(config-if)#switchport mode trunk
SW2(config-if)#switchport trunk allowed vlan 3

SW3(config)#vlan 4
SW3(config-vlan)#name otdel kadrov
SW3(config)#interface range fastEthernet 0/1-2 
SW3(config-if-range)#switchport mode access
SW3(config-if-range)#switchport access vlan 4
SW3(config)#interface fastEthernet 0/24
SW3(config-if)#switchport mode trunk
SW3(config-if)#switchport trunk allowed vlan 4

Обратите внимание на то, что мы подняли и настроили VLAN, но адресацию узлов оставили такой же. То есть, фактически все узлы в одной подсети, но разделены VLAN-ами. Так делать нельзя. Каждому VLAN надо выделять отдельную подсеть. Я это сделал исключительно в учебных целях. Если бы каждый отдел сидел в своей подсети, то они бы априори были ограничены, так как коммутатор не умеет маршрутизировать трафик из одной подсети в другую (плюс это уже ограничение на сетевом уровне). А нам нужно ограничить отделы на канальном уровне.

Снова отправляю ping с PC1 к PC3.

Идет в ход ARP, который нам и нужен сейчас. Откроем его.

Пока что ничего нового. ARP инкапсулирован в ethernet.

Кадр прилетает на коммутатор и тегируется. Теперь там не обычный ethernet, а 802.1q. Добавились поля, о которых я писал ранее. Это TPID, который равен 8100 и показывающий, что это 802.1q. И TCI, которое объединяет 3 поля PCP, CFI и VID. Число, которое в этом поле — это номер VLAN. Двигаемся дальше.

После тега он отправляет кадр на PC2 (т.к. он в том же VLAN) и на центральный коммутатор по транковому порту.

Так как жестко не было прописано какие типы VLAN пропускать по каким портам, то он отправит на оба коммутатора. И вот здесь коммутаторы, увидев номер VLAN, понимают, что устройств с таким VLAN-ом у них нет и смело его отбрасывают.

PC1 ожидает ответ, который так и не приходит. Можно под спойлером посмотреть в виде анимации.

Теперь следующая ситуация. В состав дирекции нанимают еще одного человека, но в кабинете дирекции нет места и на время просят разместить человека в отделе бухгалтерии. Решаем эту проблему.

Подключили компьютер к порту FastEthernet 0/3 коммутатора и присвою IP-адрес 192.168.1.8/24.

Теперь настрою коммутатор

. Так как компьютер должен находиться во 2-ом VLAN, о котором коммутатор не знает, то создам его на коммутаторе.

SW2(config)#vlan 2
SW2(config-vlan)#name Dir-ya

Дальше настраиваем порт FastEthernet 0/3, который смотрит на PC7.

SW2(config)#interface fastEthernet 0/3
SW2(config-if)#switchport mode access 
SW2(config-if)#switchport access vlan 2

И последнее — настроить транковый порт.

SW2(config)#interface fastEthernet 0/24
SW2(config-if)#switchport trunk allowed vlan add 2 - обратите внимание на эту команду. 
А именно на ключевое слово "add". Если не дописать это слово, то вы сотрете все остальные разрешенные к передаче VLAN на этом порту. 
Поэтому если у вас уже был поднят транк на порту и передавались другие VLAN, то добавлять надо именно так.

Чтобы кадры ходили красиво, подкорректирую центральный коммутатор

CentrSW(config)#interface fastEthernet 0/1
CentrSW(config-if)#switchport trunk allowed vlan 2
CentrSW(config)#interface fastEthernet 0/2
CentrSW(config-if)#switchport trunk allowed vlan 2,3
CentrSW(config)#interface fastEthernet 0/3
CentrSW(config-if)#switchport trunk allowed vlan 4

Время проверки. Отправляю ping с PC1 на PC7.

Пока что весь путь аналогичен предыдущему. Но вот с этого момента (с картинки ниже) центральный коммутатор примет другое решение. Он получает кадр и видит, что тот протегирован 2-ым VLAN-ом. Значит отправлять его надо только туда, где это разрешено, то есть на порт fa0/2.

И вот он приходит на SW2. Открываем и видим, что он еще тегированный. Но следующим узлом стоит компьютер и тег надо снимать. Нажимаем на «Outbound PDU Details», чтобы посмотреть в каком виде кадр вылетит из коммутатора.

И действительно. Коммутатор отправит кадр в «чистом» виде, то есть без тегов.

Доходит ARP до PC7. Открываем его и убеждаемся, что кадр не тегированный PC7 узнал себя и отправляет ответ.

Открываем кадр на коммутаторе и видим, что на отправку он уйдет тегированным. Дальше кадр будет путешествовать тем же путем, что и пришел.

ARP доходит до PC1, о чем свидетельствует галочка на конверте. Теперь ему известен MAC-адрес и он пускает в ход ICMP.

Открываем пакет на коммутаторе и наблюдаем такую же картину. На канальном уровне кадр тегируется коммутатором. Так будет с каждым сообщением.

Видим, что пакет успешно доходит до PC7. Обратный путь я показывать не буду, так как он аналогичен. Если кому интересно, можно весь путь увидеть на анимации под спойлером ниже. А если охота самому поковырять эту топологию, прикладываю

на лабораторку.

Вот в принципе самое популярное применение VLAN-ов. Независимо от физического расположения, можно логически объединять узлы в группы, там самым изолируя их от других. Очень удобно, когда сотрудники физически работают в разных местах, но должны быть объединены. И конечно с точки зрения безопасности VLAN не заменимы. Главное, чтобы к сетевым устройствам имели доступ ограниченный круг лиц, но это уже отдельная тема.

Добились ограничения на канальном уровне. Трафик теперь не гуляет где попало, а ходит строго по назначению. Но теперь встает вопрос в том, что отделам между собой нужно общаться. А так как они в разных канальных средах, то в дело вступает маршрутизация. Но перед началом, приведем топологию в порядок. Самое первое к чему приложим руку — это адресация узлов. Повторюсь, что каждый отдел должен находиться в своей подсети. Итого получаем:

• Дирекция — 192.168.1.0/24
• Бухгалтерия — 192.168.2.0/24
• Отдел кадров — 192.168.3.0/24

Раз подсети определены, то сразу адресуем узлы.

1. PC1:
   IP: 192.168.1.2
   Маска: 255.255.255.0 или /24
   Шлюз: 192.168.1.1
2. PC2:
   IP: 192.168.1.3
   Маска: 255.255.255.0 или /24
   Шлюз: 192.168.1.1
3. PC3:
   IP: 192.168.2.2
   Маска: 255.255.255.0 или /24
   Шлюз: 192.168.2.1
4. PC4:
   IP: 192.168.2.3
   Маска: 255.255.255.0 или /24
   Шлюз: 192.168.2.1
5. PC5:
   IP: 192.168.3.2
   Маска: 255.255.255.0 или /24
   Шлюз: 192.168.3.1
6. PC6:
   IP: 192.168.3.3
   Маска: 255.255.255.0 или /24
   Шлюз: 192.168.3.1
7. PC7:
   IP: 192.168.1.4
   Маска: 255.255.255.0 или /24
   Шлюз: 192.168.1.1

Теперь про изменения в топологии. Видим, что добавился маршрутизатор. Он как раз и будет перекидывать трафик с одного VLAN на другой (иными словами маршрутизировать). Изначально соединения между ним и коммутатором нет, так как интерфейсы выключены.

У узлов добавился такой параметр, как адрес шлюза. Этот адрес они используют, когда надо отправить сообщение узлу, находящемуся в другой подсети. Соответственно у каждой подсети свой шлюз.

Осталось настроить маршрутизатор, и я открываю его CLI. По традиции дам осмысленное имя.

Router(config)#hostname Gateway
Gateway(config)#

Далее переходим к настройке интерфейсов.

Gateway(config)#interface fastEthernet 0/0 - переходим к требуемому интерфейсу.
Gateway(config-if)#no shutdown - включаем его.
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Теперь внимание! Мы включили интерфейс, но не повесили на него IP-адрес. Дело в том, что от физического интерфейса (fastethernet 0/0) нужен только линк или канал. Роль шлюзов будут выполнять виртуальные интерфейсы или сабинтерфейсы (англ. subinterface). На данный момент 3 типа VLAN. Значит и сабинтерфейсов будет 3. Приступаем к настройке.

Gateway(config)#interface fastEthernet 0/0.2
Gateway(config-if)#encapsulation dot1Q 2
Gateway(config-if)#ip address 192.168.1.1 255.255.255.0
Gateway(config)#interface fastEthernet 0/0.3
Gateway(config-if)#encapsulation dot1Q 3
Gateway(config-if)#ip address 192.168.2.1 255.255.255.0
Gateway(config)#interface fastEthernet 0/0.4
Gateway(config-if)#encapsulation dot1Q 4
Gateway(config-if)#ip address 192.168.3.1 255.255.255.0

Маршрутизатор настроен. Переходим к центральному коммутатору и настроим на нем транковый порт, чтобы он пропускал тегированные кадры на маршрутизатор.

CentrSW(config)#interface fastEthernet 0/24
CentrSW(config-if)#switchport mode trunk
CentrSW(config-if)#switchport trunk allowed vlan 2,3,4

Конфигурация закончена и переходим к практике. Отправляю ping с PC1 на PC6 (то есть на 192.168.3.3).

PC1 понятия не имеет, кто такой PC6 или 192.168.3.3, но знает, что они находятся в разных подсетях (как он это понимает описано в

статье). Поэтому он отправит сообщение через основной шлюз, адрес которого указан в его настройках. И хоть PC1 знает IP-адрес основного шлюза, для полного счастья не хватает MAC-адреса. И он пускает в ход ARP.

Обратите внимание. Как только кадр прибывает на CentrSW, коммутатор не рассылает его кому попало. Он рассылает только на те порты, где разрешен пропуск 2-го VLAN. То есть на маршрутизатор и на SW2 (там есть пользователь, сидящий во 2-ом VLAN).

Маршрутизатор узнает себя и отправляет ответ (показан стрелочкой). И обратите внимание на нижний кадр. Когда SW2 получил ARP от центрального коммутатора, он аналогично не стал рассылать его на все компьютеры, а отправил только PC7, который сидит во 2-ом VLAN. Но PC7 его отбрасывает, так как он не для него. Смотрим дальше.

ARP дошел до PC1. Теперь ему все известно и можно отправлять ICMP. Еще раз обращу внимание на то, что в качестве MAC-адреса назначения (канальный уровень), будет адрес маршрутизатора, а в качестве IP-адреса назначения (сетевой уровень), адрес PC6.

Доходит ICMP до маршрутизатора. Он смотрит в свою таблицу и понимает, что не знает никого под адресом 192.168.3.3. Отбрасывает прибывший ICMP и пускает разведать ARP.

PC6 узнает себя и отправляет ответ.

Доходит до маршрутизатора ответ и он добавляет запись в своей таблице. Посмотреть таблицу ARP можно командой

.

Двигаемся дальше. PC1 недоволен, что ему никто не отвечает и отправляет следующее ICMP-сообщение.

На этот раз ICMP доходит без проблем. Обратно он проследует тем же маршрутом. Я лишь покажу конечный результат.

Первый пакет затерялся (в результате работы ARP), а второй дошел без проблем.

Кому интересно увидеть в анимации, добро пожаловать под спойлер.

Итак. Мы добились того, что если узлы находятся в одной подсети и в одном VLAN, то ходить они будут напрямую через коммутаторы. В случае, когда нужно передать сообщение в другую подсеть и VLAN, то передавать будут через роутер Gateway, который осуществляет «межвлановую» маршрутизацию. Данная топология получила название

или

. Как вы поняли она очень удобна. Мы создали 3 виртуальных интерфейса и по одному проводу гоняли разные тегированные кадры. Без использования сабинтерфейсов и VLAN-ов, пришлось бы для каждой подсети задействовать отдельный физический интерфейс, что совсем не выгодно.

Кстати очень хорошо этот вопрос разобран в этом видео (видео идет около 3-х часов, поэтому ссылка с привязкой именно к тому моменту времени). Если после прочтения и просмотра видео захочется добить все собственными руками, прикладываю ссылку на скачивание.

Разобрались с VLAN-ами и переходим к одному из протоколов, работающего с ним.
DTP (англ. Dynamic Trunking Protocol) или на русском динамический транковый протокол — проприетарный протокол компании Cisco, служащий для реализации trunk режима между коммутаторами. Хотя в зависимости от состояния, они могут согласоваться и в режим access.

В DTP есть 4 режима: Dynamic auto, Dynamic desirable, Trunk, Access. Рассмотрим как они согласуются.

То есть левая колонка это 1-ое устройство, а верхняя строка 2-ое устройство. По-умолчанию коммутаторы находятся в режиме «dynamic auto». Если посмотреть таблицу сопоставления, то два коммутатора в режиме «dynamic auto» согласуются в режим «access». Давайте это и проверим. Создаю я новую лабораторную работу и добавлю 2 коммутатора.

Соединять их пока не буду. Мне надо убедиться, что оба коммутатора в режиме «dynamic auto». Проверять буду командой

.

Результат этой команды очень большой, поэтому я его обрезал и выделил интересующие пункты. Начнем с

. Эта строка показывает, в каком из 4-режимов работает данный порт на коммутаторе. Убеждаемся, что на обоих коммутаторах порты в режиме «Dynamic auto». А строка

показывает, в каком режиме работы они согласовали работу. Мы пока их не соединяли, поэтому они в состоянии «down».

Сразу дам вам хороший совет. При тестировании какого либо протокола, пользуйтесь фильтрами. Отключайте показ работы всех ненужных вам протоколов.

Перевожу CPT в режим simulation и отфильтрую все протоколы, кроме DTP.

Думаю здесь все понятно. Соединяю коммутаторы кабелем и, при поднятии линков, один из коммутаторов генерирует DTP-сообщение.

Открываю и вижу, что это DTP инкапсулированный в Ethernet-кадр. Отправляет он его на мультикастовый адрес «0100.0ccc.cccc», который относится к протоколам DTP, VTP, CDP.

И обращу внимание на 2 поля в заголовке DTP.

1) DTP Type — сюда отправляющий вставляет предложение. То есть в какой режим он хочет согласоваться. В нашем случае он предлагает согласовать «access».
2) Neighbor MAC-address — в это поле он записывает MAC-адрес своего порта.

Отправляет он и ждет реакции от соседа.

Доходит до SW1 сообщение и он генерирует ответный. Где также согласует режим «access», вставляет свой MAC-адрес и отправляет в путь до SW2.

Успешно доходит DTP. По идее они должны были согласоваться в режиме «access». Проверю.

Как и предполагалось, согласовались они в режим «access».

Кто то говорит, что технология удобная и пользуется ею. Но я крайне не рекомендую использовать этот протокол в своей сети. Рекомендую это не только я, и сейчас объясню почему. Смысл в том, что этот протокол открывает большую дыру в безопасности. Я открою лабораторку, в которой разбиралась работа «Router on a stick» и добавлю туда еще один коммутатор.

Теперь зайду в настройки нового коммутатора и жестко пропишу на порту работу в режиме trunk.

New_SW(config)#interface fastEthernet 0/1
New_SW(config-if)#switchport mode trunk

Соединяю их и смотрю, как они согласовались.

Все верно. Режимы «dynamic auto» и «trunk» согласуются в режим

. Теперь ждем, когда кто- то начнет проявлять активность. Допустим PC1 решил кому то отправить сообщение. Формирует ARP и выпускает в сеть.

Пропустим его путь до того момента, когда он попадет на SW2.

И вот самое интересное.

Он отправляет его на вновь подключенный коммутатор. Объясняю, что произошло. Как только мы согласовали с ним trunk, он начинает отправлять ему все пришедшие кадры. Хоть на схеме и показано, что коммутатор отбрасывает кадры, это ничего не значит. К коммутатору или вместо коммутатора можно подключить любое перехватывающее устройство (sniffer) и спокойно просматривать, что творится в сети. Вроде перехватил он безобидный ARP. Но если взглянуть глубже, то можно увидеть, что уже известен MAC-адрес «0000.0C1C.05DD» и IP-адрес «192.168.1.2». То есть PC1 не думая выдал себя. Теперь злоумышленник знает о таком компьютере. Вдобавок он знает, что он сидит во 2-ом VLAN. Дальше он может натворить многого. Самое банальное — это подменить свой MAC-адрес, IP-адрес, согласоваться быстро в Access и и выдавать себя за PC1. Но самое интересное. Ведь сразу можно этого не понять. Обычно, когда мы прописываем режим работы порта, он сразу отображается в конфигурации. Ввожу

.

Но здесь настройки порта пустые. Ввожу

и проматываю до fa0/4.

А вот здесь видим, что согласован trunk. Не всегда show running-config дает исчерпывающую информацию. Поэтому запоминайте и другие команды.

Думаю понятно почему нельзя доверять этому протоколу. Он вроде облегчает жизнь, но в то же время может создать огромную проблему. Поэтому полагайтесь на ручной метод. При настройке сразу же обозначьте себе какие порты будут работать в режиме trunk, а какие в access. И самое главное — всегда отключайте согласование. Чтобы коммутаторы не пытались ни с кем согласоваться. Делается это командой «switchport nonegotiate».

Переходим к следующему протоколу.

VTP (англ. VLAN Trunking Protocol) — проприетарный протокол компании Cisco, служащий для обмена информацией о VLAN-ах.

Представьте ситуацию, что у вас 40 коммутаторов и 70 VLAN-ов. По хорошему нужно вручную на каждом коммутаторе их создать и прописать на каких trunk-ых портах разрешать передачу. Дело это муторное и долгое. Поэтому эту задачу может взвалить на себя VTP. Вы создаете VLAN на одном коммутаторе, а все остальные синхронизируются с его базой. Взгляните на следующую топологию.

Здесь присутствуют 4 коммутатора. Один из них является VTP-сервером, а 3 остальных клиентами. Те VLAN, которые будут созданы на сервере, автоматически синхронизируются на клиентах. Объясню как работает VTP и что он умеет.

Итак. VTP может создавать, изменять и удалять VLAN. Каждое такое действие влечет к тому, что увеличивается номер ревизии (каждое действие увеличивает номер на +1). После он рассылает объявления, где указан номер ревизии. Клиенты, получившие это объявление, сравнивают свой номер ревизии с пришедшим. И если пришедший номер выше, они синхронизируют свою базу с ней. В противном случае объявление игнорируется.

Но это еще не все. У VTP есть роли. По-умолчанию все коммутаторы работают в роли сервера. Расскажу про них.

1. VTP Server. Умеет все. То есть создает, изменяет, удаляет VLAN. Если получает объявление, в которых ревизия старше его, то синхронизируется. Постоянно рассылает объявления и ретранслирует от соседей.
2. VTP Client — Эта роль уже ограничена. Создавать, изменять и удалять VLAN нельзя. Все VLAN получает и синхронизирует от сервера. Периодически сообщает соседям о своей базе VLAN-ов.
3. VTP Transparent — эта такая независимая роль. Может создавать, изменять и удалять VLAN только в своей базе. Никому ничего не навязывает и ни от кого не принимает. Если получает какое то объявление, передает дальше, но со своей базой не синхронизирует. Если в предыдущих ролях, при каждом изменении увеличивался номер ревизии, то в этом режиме номер ревизии всегда равен 0.

Это все, что касается VTP версии 2. В VTP 3-ей версии добавилась еще одна роль —

. Он не передает никакие объявления. В остальном работа аналогична режиму

.

Начитались теории и переходим к практике. Проверим, что центральный коммутатор в режиме Server. Вводим команду show vtp status.

Видим, что VTP Operating Mode: Server. Также можно заметить, что версия VTP 2-ая. К сожалению, в CPT 3-ья версия не поддерживается. Версия ревизии нулевая.

Теперь настроим нижние коммутаторы.

SW1(config)#vtp mode client 
Setting device to VTP CLIENT mode.

Видим сообщение, что устройство перешло в клиентский режим. Остальные настраиваются точно также.

Чтобы устройства смогли обмениваться объявлениями, они должны находиться в одном домене. Причем тут есть особенность. Если устройство (в режиме Server или Client) не состоит ни в одном домене, то при первом полученном объявлении, перейдет в объявленный домен. Если же клиент состоит в каком то домене, то принимать объявления от других доменов не будет. Откроем SW1 и убедимся, что он не состоит ни в одном домене.

Убеждаемся, что тут пусто.

Теперь переходим центральному коммутатору и переведем его в домен.

CentrSW(config)#vtp domain cisadmin.ru
Changing VTP domain name from NULL to cisadmin.ru

Видим сообщение, что он перевелся в домен cisadmin.ru.

Проверим статус.

И действительно. Имя домена изменилось. Обратите внимание, что номер ревизии пока что нулевой. Он изменится, как только мы создадим на нем VLAN. Но перед созданием надо перевести симулятор в режим simulation, чтобы посмотреть как он сгенерирует объявления. Создаем 20-ый VLAN и видим следующую картинку.

Как только создан VLAN и увеличился номер ревизии, сервер генерирует объявления. У него их два. Сначала откроем тот, что левее. Это объявление называется «Summary Advertisement» или на русском «сводное объявление». Это объявление генерируется коммутатором раз в 5 минут, где он рассказывает о имени домена и текущей ревизии. Смотрим как выглядит.

В Ethernet-кадре обратите внимание на Destination MAC-адрес. Он такой же, как и выше, когда генерировался DTP. То есть, в нашем случае на него отреагируют только те, у кого запущен VTP. Теперь посмотрим на следующее поле.

Здесь как раз вся информация. Пройдусь по самым важным полям.

• Management Domain Name — имя самого домена (в данном случае cisadmin.ru).
• Updater Identity — идентификатор того, кто обновляет. Здесь, как правило, записывается IP-адрес. Но так как адрес коммутатору не присваивали, то поле пустое
• Update Timestamp — время обновления. Время на коммутаторе не менялось, поэтому там стоит заводское.
• MD5 Digest — хеш MD5. Оно используется для проверки полномочий. То есть, если на VTP стоит пароль. Мы пароль не меняли, поэтому хэш по-умолчанию.

Теперь посмотрим на следующее генерируемое сообщение (то, что справа). Оно называется «Subset Advertisement» или «подробное объявление». Это такая подробная информация о каждом передаваемом VLAN.

Думаю здесь понятно. Отдельный заголовок для каждого типа VLAN. Список настолько длинный, что не поместился в экран. Но они точно такие, за исключением названий. Заморачивать голову, что означает каждый код не буду. Да и в CPT они тут больше условность.

Смотрим, что происходит дальше.

Получают клиенты объявления. Видят, что номер ревизии выше, чем у них и синхронизируют базу. И отправляют сообщение серверу о том, что база VLAN-ов изменилась.

Вот так в принципе работает протокол VTP. Но у него есть очень большие минусы. И минусы эти в плане безопасности. Объясню на примере этой же лабораторки. У нас есть центральный коммутатор, на котором создаются VLAN, а потом по мультикасту он их синхронизирует со всеми коммутаторами. В нашем случае он рассказывает про VLAN 20. Предлагаю еще раз глянуть на его конфигурацию.

И тут в сеть мы добавляем новый коммутатор. У него нет новых VLAN-ов, кроме стандартных и он не состоит ни в одном VTP-домене, но подкручен номер ревизии.

И перед тем как его воткнуть в сеть, переводим порт в режим trunk.

Теперь переключаю CPT в «Simulation Mode» и отфильтровываю все, кроме VTP. Подключаюсь и смотрю, что происходит.

Через какое то время до NewSW доходит VTP сообщение, откуда он узнает, что в сети есть VTP-домен «cisadmin.ru». Так как он не состоял до этого в другом домене, он автоматически в него переходит. Проверим.

Теперь он в том же домене, но с номером ревизии выше. Он формирует VTP-сообщение, где рассказывает об этом.

Первым под раздачу попадет SW1.

Заметьте, что на SW1 приходят сразу 2 VTP-сообщения (от NewSW и от CentrSW). В сообщении от NewSW он видит, что номер ревизии выше, чем его и синхронизирует свою базу. А вот сообщение от CentrSW для него уже устарело, и он отбрасывает его. Проверим, что изменилось на SW1.

Обновился номер ревизии и, что самое интересное, база VLAN. Теперь она пустая. Смотрим дальше.

Обратите внимание. До сервера доходит VTP-сообщение, где номер ревизии выше, чем у него. Он понимает, что сеть изменилась и надо под нее подстроиться. Проверим конфигурацию.

Конфигурация центрального сервера изменилась и теперь он будет вещать именно ее.

А теперь представьте, что у нас не один VLAN, а сотни. Вот таким простым способом можно положить сеть. Конечно домен может быть запаролен и злоумышленнику будет тяжелее нанести вред. А представьте ситуацию, что у вас сломался коммутатор и срочно надо его заменить. Вы или ваш коллега бежите на склад за старым коммутатором и забываете проверить номер ревизии. Он оказывается выше чем у остальных. Что произойдет дальше, вы уже видели. Поэтому я рекомендую не использовать этот протокол. Особенно в больших корпоративных сетях. Если используете VTP 3-ей версии, то смело переводите коммутаторы в режим «Off». Если же используется 2-ая версия, то переводите в режим «Transparent».

Кому интересно посмотреть это в виде анимации, открывайте спойлер.

Для желающих поработать с этой лабораторкой, прикладываю

.

Ну вот статья про VLAN подошла к концу. Если остались какие то вопросы, смело задавайте. Спасибо за прочтение.

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S

Обновлено 03.06.2017

Добрый день уважаемые читатели, сегодня я вам расскажу как как происходит создание vlan, что такое VLAn написано по ссылке слева, теперь давайте его создадим, так как только практика позволяет все осознать на сто процентов.  Для начала посмотрим список vlan, делается в обычном режиме командной строки. Для этого воспользуемся командой.

Cоздание vlan

Переходим от слов к делу и делаем vlan на cisco,

sh vlan

Видим что есть vlan 1 и все порты по умолчанию в нем.

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-01

Создадим vlan 2 для отдела бухгалтерии. Заходим в режим конфигурирования.

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-02

Общая схема такая

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-03

Теперь подключим интерфейсы Fa0/1  и Fa0/2 к которым подключены компьютеры бухгалтерии к vlan2

interface fastEthernet 0/1

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-04

Теперь переключим vlan для данного интерфейса.

switchport access vlan 2

end

wr

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-05

Вводим sh vlan и видим появился vlan 2 и в нем нужный интерфейс.

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-06

Сделаем тоже самое для Fa0/2

interface fastEthernet 0/2

switchport access vlan 2
end

wr

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-07

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-08

Создадим vlan 3 для user

name user

exit

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S-09

Добавим  vlan 3  ip адрес 192.168.3.254

interface vlan 3

ip address 192.168.3.254 255.255.255.0

end

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S10

Теперь проверим наш ip на vlan3 на vlan 2 я настраивал аналогично

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S11

Теперь подключим интерфейсы Fa0/3  и Fa0/4 к которым подключены компьютеры пользователей к vlan3

interface fastEthernet 0/3

switchport access vlan 3
exit

interface fastEthernet 0/4

switchport mode access

switchport access vlan 3
wr

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S12

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S13

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S14

Посмотрим конфиг

do sh run

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S15

На этом все vlan настроены в следующей части мы поговорим про trunk порты которые позволяют настроить коммутатор в коммутатор

Настройка VLAN на коммутаторах Cisco

Взято: http://xgu.ru/wiki/VLAN_%D0%B2_Cisco

Настройка VLAN на коммутаторах Cisco

Терминология Cisco:

• access port — порт принадлежащий одному VLAN’у и передающий нетегированный трафик
• trunk port — порт передающий тегированный трафик одного или нескольких VLAN’ов

Коммутаторы Cisco ранее поддерживали два протокола 802.1Q и ISL. ISL — проприетарный протокол использующийся в оборудовании Cisco. ISL полностью инкапсулирует фрейм для передачи информации о принадлежности к VLAN’у.

В современных моделях коммутаторов Cisco ISL не поддерживается.

Создание VLAN’а и задание имени:

sw1(config)# vlan 2
sw1(config-vlan)# name test

Назначение порта коммутатора в VLAN:

sw1(config)# interface fa0/1
sw1(config-if)# switchport mode access
sw1(config-if)# switchport access vlan 2

Назначение диапазона портов c fa0/4 до fa0/5 в vlan 10:

sw1(config)# interface range fa0/4 - 5
sw1(config-if-range)# switchport mode access
sw1(config-if-range)# switchport access vlan 10

Просмотр информации о VLAN’ах:

switch# show vlan brief
VLAN Name                             Status    Ports

---- -------------------------------- --------- -------------------------------

1    default                          active    Fa0/6, Fa0/7, Fa0/8, Fa0/9, 
                                                Fa0/10, Fa0/11, Fa0/12, Fa0/13,
                                                Fa0/14, Fa0/15, Fa0/16, Fa0/17,  
                                                Fa0/18, Fa0/19, Fa0/20, Fa0/21,
                                                Fa0/22, Fa0/23, Fa0/24

2    test                             active    Fa0/1, Fa0/2
    
10   VLAN0010                         active    Fa0/4, Fa0/5

15   VLAN0015                         active    Fa0/3, Fa0/2, 
 

Создание статического транка:

sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk encapsulation dot1q
sw1(config-if)# switchport mode trunk

Если еще задать:

sw1(config-if)# switchport trunk native vlan 5

то весь трафик принадлежащий VLAN’у 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN’у 5 (по умолчанию VLAN 1)

Просмотр информации о транке:

sw1# show interface fa0/22 trunk

или

sw1# show interface fa0/22 switchport

Конфигурация sw1:

!
interface FastEthernet0/1
 switchport mode access
 switchport access vlan 2
!
interface FastEthernet0/2
 switchport mode access
 switchport access vlan 2
!
interface FastEthernet0/3
 switchport mode access
 switchport access vlan 15
!
interface FastEthernet0/4
 switchport mode access
 switchport access vlan 10
!
interface FastEthernet0/5
 switchport mode access
 switchport access vlan 10
!
interface FastEthernet0/22
 switchport trunk encapsulation dot1q
 switchport mode trunk
!

[править] Настройка маршрутизации между VLAN

Все настройки по назначению портов в VLAN, сделанные ранее для sw1, сохраняются. Дальнейшие настройки подразумевают использование коммутатора 3 уровня.

При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети.

Включение маршрутизации на коммутаторе:

sw1(config)#ip routing

Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в VLAN 2:

sw1(config)#interface Vlan2
sw1(config-if)#ip address 10.0.2.1 255.255.255.0
sw1(config-if)#no shutdown

Задание адреса в VLAN 10:

sw1(config)#interface Vlan10
sw1(config-if)#ip address 10.0.10.1 255.255.255.0
sw1(config-if)#no shutdown

Интерфейс fa0/10 соединен с маршрутизатором, который является маршрутизатором по умолчанию для сети. Трафик не предназначенный сетям VLAN’ов будет маршрутизироваться на R1.

Перевод fa0/10 в режим интерфейса 3 уровня и задание адреса:

sw1(config)#interface FastEthernet 0/10
sw1(config-if)#no switchport
sw1(config-if)#ip address 192.168.1.2 255.255.255.0
sw1(config-if)#no shutdown

Конфигурация sw1:

!
ip routing
!
interface FastEthernet0/1
 switchport mode access
 switchport access vlan 2
!
interface FastEthernet0/2
 switchport mode access
 switchport access vlan 2
!
interface FastEthernet0/3
 switchport mode access
 switchport access vlan 15
!
interface FastEthernet0/4
 switchport mode access
 switchport access vlan 10
!
interface FastEthernet0/5
 switchport mode access
 switchport access vlan 10
!
!
interface FastEthernet0/10
 no switchport
 ip address 192.168.1.2 255.255.255.0
!
!
interface FastEthernet0/22
 switchport trunk encapsulation dot1q
 switchport mode trunk
!

!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan2
 ip address 10.0.2.1 255.255.255.0
!
interface Vlan10
 ip address 10.0.10.1 255.255.255.0
!
interface Vlan15
 ip address 10.0.15.1 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!

[править] Настройка VLAN на маршрутизаторах Cisco

По умолчанию трафик VLAN’а 1 передается не тегированым (то есть, VLAN 1 используется как native), поэтому на физическом интерфейсе маршрутизатора задается адрес из сети VLAN 1.

Задание адреса на физическом интерфейсе:

R1(config)#interface fa0/0
R1(config-if)#ip address 10.0.1.1 255.255.255.0

Если необходимо создать подынтерфейс для передачи не тегированного трафика, то в этом подынтерфейсе явно указывается, что он принадлежит native VLAN. Например, если native VLAN 99:

R1(config)# interface fa0/0.99
R1(config-if)# encapsulation dot1q 99 native
R1(config-if)# ip address 10.0.99.1 255.255.255.0

Для логических подынтерфейсов необходимо указывать то, что интерфейс будет получать тегированный трафик и указывать номер VLAN соответствующий этому интерфейсу. Это задается командой в режиме настройки подынтерфейса:

R1(config-if)#encapsulation dot1q {vlan-id}

Создание логического подынтерфейса для VLAN 2:

R1(config)#interface fa0/0.2
R1(config-if)#encapsulation dot1q 2
R1(config-if)#ip address 10.0.2.1 255.255.255.0

Создание логического подынтерфейса для VLAN 10:

R1(config)#interface fa0/0.10
R1(config-if)#encapsulation dot1q 10
R1(config-if)#ip address 10.0.10.1 255.255.255.0

Соответствие номера подынтерфейса и номера VLAN не является обязательным условием. Однако обычно номера подынтерфейсов задаются именно таким образом, чтобы упростить администрирование.

Cisco VLAN — настройка vlan на коммутаторе Cisco

Технология VLAN позволяет разделять сеть на логические сегменты. Каждый такой логический сегмент имеет свой широковещательный домен. Уникастовый, бродкастовый и мультикастовый трафик передается только между устройствами входящими в один VLAN. VLAN часто используется для разделения IP сегментов сети, с последующей маршрутизацией и фильтрацией трафика между разными VLAN на маршрутизаторе или на L3 коммутаторе.

Как настраивать VLAN на Cisco роутере можно посмотреть в статье Cisco VLAN — настройка vlan на маршрутизаторе Cisco. Здесь речь пойдёт о настройке VLAN на коммутаторах  Cisco Catalyst.

Перед настройкой VLAN на коммутаторе, необходимо определиться будет ли в сети использоваться протокол VTP (VLAN Trunking Protocol) или нет. Использование VTP облегчает управление (создание, удаление, переименовывание) VLAN-ами в сети. В случае с VTP изменение (информацию о VLAN) можно внести централизованно, на одном коммутаторе, и эти изменения распространятся на другие коммутаторы в сети. Если не использовать VTP, то изменения нужно вносить на каждом коммутаторе.

VTP накладывает свои ограничения: протокол VTP версии 1 и 2 поддерживает только базовый диапазон VLAN (c 1 по 1005), поддержка расширенного диапазона (с 1006 по 4094) возможна только в версии протокола 3. Поддержка протокола  VTP 3 версии начинается с  Cisco IOS версии 12.2(52)SE и выше. Настройку протокола VTP рассмотрим в другой статье, а в этой будем подразумевать, что не используем VTP.

Настройку VLAN на коммутаторе можно выделить в три этапа: создание VLAN, настройка портов, проверка.

1. Создание VLAN на Cisco Catalyst

Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:

 1 — 1005  базовый диапазон (normal-range)

 1002 — 1005 зарезервированы для Token Ring и FDDI VLAN

 1006 — 4094 расширенный диапазон (extended-range)

 При создании или изменении VLAN можно задать следующие параметры:

На практике чаще всего, при создании VLAN задаётся только VLAN ID и VLAN name

Значения по умолчанию:

Для создания VLAN нужно:

1. Войти в привилегированный режим и ввести необходимый пароль (команда «enable«)

sw1>
sw1>enable
 Password:
sw1#

2. Переключиться в режим глобального конфигурирования (команда «configure terminal«)

sw1#
sw1#configure terminal
   Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#

 3. Создать VLAN командой «vlan id«, где id — номер VLAN (После создания, консоль окажется в режиме конфигурирования VLAN, где можно задать перечисленные выше параметры для VLAN)

sw1(config)#
sw1(config)#vlan 200
sw1(config-vlan)#

4. Задать необходимые параметры, для созданного VLAN (например имя)

sw1(config-vlan)#
sw1(config-vlan)#name TESTVLAN
sw1(config-vlan)#

Если, в режиме конфигурирования VLAN, ввести знак вопроса, то отобразятся параметры, которые можно задать для данного VLAN:

sw1(config-vlan)#?
 VLAN configuration commands:
   are          Maximum number of All Route Explorer hops for this VLAN (or zero if none specified)
   backupcrf    Backup CRF mode of the VLAN
   bridge       Bridging characteristics of the VLAN
   exit         Apply changes, bump revision number, and exit mode
   media        Media type of the VLAN
   mtu          VLAN Maximum Transmission Unit
   name         Ascii name of the VLAN
   no           Negate a command or set its defaults
   parent       ID number of the Parent VLAN of FDDI or Token Ring type VLANs
   private-vlan Configure a private VLAN
   remote-span  Configure as Remote SPAN VLAN
   ring         Ring number of FDDI or Token Ring type VLANs
   said         IEEE 802.10 SAID
   shutdown     Shutdown VLAN switching
   state        Operational state of the VLAN
   ste          Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified)
   stp          Spanning tree characteristics of the VLAN
   tb-vlan1     ID number of the first translational VLAN for this VLAN (or zero if none)
   tb-vlan2     ID number of the second translational VLAN for this VLAN (or zero if none)

5. Выйти из режима конфигурирования vlan (команда «exit«, либо «end» — выход из режима глобального конфигурирования)

sw1(config-vlan)#
sw1(config-vlan)#end
sw1#

Не забываем сохранять конфигурацию командой «copy running-config  startup-config» в привилегированном режиме

sw1#
sw1#copy running-config startup-config
  Destination filename [startup-config]?
  Building configuration…
[OK]

 Удалить VLAN можно командой «no vlan id» в режиме глобального конфигурирования:

sw1(config)#
sw1(config)#no vlan 200
sw1(config)#

2. Настройка портов на Cisco Catalyst

Порт на коммутаторе Cisco может находиться в одном из режимов:

 access — порт предназначен для подключения оконечного устройства. Принадлежит только одному VLAN. Входящий трафик от подключенного к порту устройства, маркируется заданным на порту VLAN. 

 trunk — порт предназначен для подключения к другому коммутатору или маршрутизатору. Порт передаёт тегированный трафик. Может передавать  трафик как одного, так и нескольких VLAN через один физический кабель.

На Cisco Catalyst можно самому задать режим порта (trunk или access), либо задать автоопределение. При автоопределении режима, порт будет согласовываться с соседом (подключенным к этому порту коммутатором или иным устройством). Согласование режима порта происходит путём передачи DTP (Dynamic Trunking Protocol) фреймов. Для успешной работы протокола DTP, необходимо, что бы интерфейсы были в одном VTP домене (либо один из VTP доменов был null, неточно)

Автоопределение режима порта задаётся командой «switchport mode dynamic auto» или «switchport mode dynamic desirable» в режиме конфигурации интерфейса.

Если на интерфейсе установлено «switchport mode dynamic auto» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или  «dynamic desirable«

Если на интерфейсе установлено «switchport mode dynamic desirable» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или  «dynamic desirable» или «dynamic auto« 

Не все устройства поддерживают DTP, либо могут некорректно передавать DTP фреймы, в таком случае лучше задать режим (access или trunk) принудительно командами «switchport mode access» или «switchport mode trunk» в режиме конфигурации интерфейса, и отключить передачу DTP фреймов командой «switchport nonegotiate«.

Конфигурация порта по умолчанию:

Настройка порта в режим автоопределения. 

Действия:

— войти в привилегированный режим (команда: «enable«)

— войти в режим глобального конфигурирования (команда: «configure terminal«)

— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса, например «interface GigabitEthernet0/21»)

— задать динамический режим порта/интерфейса (команда: «switchport mode dynamic auto» или «switchport mode dynamic desirable«)

— (не обязательно) задать VLAN, который будет на интерфейсе, если порт перейдёт из режима trunk в режим access, по умолчанию VLAN 1 (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)

— (не обязательно) задать Native VLAN, для IEEE 802.1q транка, по умолчанию Native VLAN 1 (команда: «switchport trunk native vlan vlan-id«, где vlan-id — номер Native VLAN)

— добавить/удалить VLAN в транке, по умолчанию все номера VLAN разрешены (команды: «switchport trunk allowed vlan add vlan-list» — добавить в транк VLAN-ы перечисленные в vlan-list, «switchport trunk allowed vlan remove vlan-list» — удалить из транка VLAN-ы, перечисленные в vlan-list, в vlan-list вланы перечисляются через запятую без пробелов, а диапазоны через дефис, например 2,20,30-40,50 ). Можно сразу задать список необходимых VLAN (командой: «switchport trunk allowed vlan vlan-list«)

— включить порт/интерфейс (команда: «no shutdown«) 

— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )

 Пример:

sw1#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface gigabitEthernet 0/23
sw1(config-if)#switchport mode dynamic desirable
sw1(config-if)#switchport access vlan 50
sw1(config-if)#switchport trunk native vlan 100
sw1(config-if)#switchport trunk allowed vlan 2,30-35,40
sw1(config-if)#no shutdown
sw1(config-if)#end
sw1#

В данном примере порт 23 переведётся в режим trunk, если порт на соседнем коммутаторе установлен в режиме dynamic auto или dynamic disirable или trunk . В транке будут передаваться только VLAN 2, VLAN с 30 по 35 и VLAN 40. При работе порта в режиме trunk, приходящий на него не тегированный (native) трафик будет помещаться (маркироваться) в VLAN 100. Если порт на соседнем коммутаторе работает в режиме access, то интерфейс будет помещён в VLAN 50.

Настройка access порта.

VLAN на access порту может задаваться статически либо автоматически. Автоматическое назначение VLAN основывается на МАК адресе источника, используя протокол VQP (VLAN Query Protocol) и сервер VMPS (VLAN Management Policy Server). Сервером VMPS могут выступать коммутаторы только старших моделей, такие серии как Catalyst 4000, 5000 и 6500. Автоматическую настройку access порта через VQP в данной статье рассматривать не будем. Здесь будет показано только статическое задание VLAN на access порту.

Для включения access порта в необходимый VLAN, нужно сделать:

— войти в привилегированный режим (команда: «enable«)

— войти в режим глобального конфигурирования (команда: «configure terminal«)

— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса)

— задать режим порта/интерфейса «access» (команда: «switchport mode access«)

— задать VLAN на порту/интерфейсе (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)

— включить порт/интерфейс (команда: «no shutdown«)

— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )

Пример:

Пусть к 22-му порту коммутатора подключен сервер, который необходимо поместить в 200-й VLAN

Настройка порта:

sw1>
sw1>enable
 Password:
sw1#
sw1#configure terminal
 Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface GigabitEthernet0/22
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 200
sw1(config-if)#no shutdown
sw1(config-if)#exit
sw1(config)#exit
sw1#

Настройка trunk порта.

Настройка порта в режиме trunk идентична настройки порта в режиме автоопределения, за исключением того, что режим нужно указать не dynamic а trunk.

Пример:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface gigabitEthernet 0/23
sw6(config-if)#switchport mode trunk
sw6(config-if)#switchport trunk allowed vlan 2,30-35,40
sw6(config-if)#no shutdown
sw6(config-if)#end
sw6#

В примере задаётся транк на 23-м порту, в транке разрешены только VLAN 2, VLAN с 30 по 35 и VLAN 40

Добавление VLAN в транковый порт выполняет команда: «switchport trunk allowed vlan add VLAN_NUM«

Пример добавления вланов 100 и 200 к существующим, в транковом порту 23:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface Gi0/23
sw6(config-if)#switchport trunk allowed vlan add 100,200
sw6(config-if)#
sw6(config-if)#end
sw6#

УдалениеVLAN из транкового порта выполняет команда: «switchport trunk allowed vlan remove VLAN_NUM«

Пример удаления вланов 100 и 200 из существующих, в транковом порту 23:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface Gi0/23
sw6(config-if)#switchport trunk allowed vlan remove 100,200
sw6(config-if)#
sw6(config-if)#end
sw6#

Некоторые cisco коммутаторы поддерживают два протокола для работы с VLAN это IEEE 802.1q и ISL. Протокол ISL уже устарел и на многих современных коммутаторах не поддерживается. Поэтому предпочтительнее использовать протокол IEEE 802.1q

На таких коммутаторах, перед настройкой порта в режиме транка, нужно выбрать тип инкапсуляции dot1q (комана: «switchport trunk encapsulation dot1q» в режиме конфигурации интерфейса)

3. Проверка настройки VLAN

Посмотреть информацию о VTP  протоколе: «show vtp status«

Показать информацию обо всех VLAN на коммутаторе: «show vlan«

Посмотреть информацию об конкретном VLAN, и узнать на каких он портах: «show vlan id vlan-id«

Посмотреть режим работы порта, native vlan, access vlan и прочее: «show interfaces interface-id  switchport«

Иногда, необходимо на коммутаторе создать интерфейс 3-го уровня для VLAN. Например, для маршрутизации и фильтрации IP трафика между разными VLAN (должна быть поддержка L3 уровня как самой моделью коммутатора так и версией IOS). Либо просто создать интерфейс для управления этим коммутатором в специальном VLAN.

Сетевой интерфейс для VLAN создаётся в режиме глобального конфигурирования командой: «interface vlan-id«, где vlan-id — это номер VLAN. 

Далее консоль переходит в режим конфигурирования интерфейса, где можно задать необходимые сетевые настройки ip адрес, маску сети, повесить ACL и прочее.

Пример создания L3 интерфейса для VLAN 200:

sw1#
sw1#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface vlan 200
sw1(config-if)#ip address 192.168.200.1 255.255.255.0
sw1(config-if)#end
sw1#

vlans.fm

% PDF-1.4 % 1 0 объект > эндобдж 9 0 объект > эндобдж 2 0 obj > эндобдж 3 0 obj > эндобдж 4 0 obj > ручей Acrobat Distiller 7.0 (Windows) FrameMaker 7.22011-05-02T13: 11: 04Z1999-06-15T14: 05: 19Zapplication / pdf

Catalyst 4500 Руководство по настройке программного обеспечения Cisco IOS, 12.2 (25) EW — Общие сведения и настройка виртуальных локальных сетей [Коммутаторы Cisco Catalyst серии 4500]

Общие сведения и настройка сетей VLAN

В этой главе описываются сети VLAN на коммутаторах серии Catalyst 4500. Он также предоставляет инструкции, процедуры и примеры конфигурации.

Эта глава включает следующие основные разделы:

• Обзор сетей VLAN

• Рекомендации и ограничения по настройке VLAN

• Конфигурация VLAN по умолчанию

• Настройка VLAN

Примечание Для получения полной информации о синтаксисе и использовании команд коммутатора, используемых в этой главе, обратитесь к справочнику по командам Cisco IOS Catalyst серии 4500 Series и связанным публикациям по адресу
http: // www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/index.htm.

Обзор сетей VLAN

VLAN — это группа устройств в одной или нескольких локальных сетях, которые настроены для связи, как если бы они были подключены к одному проводу, хотя на самом деле они расположены в нескольких разных сегментах локальной сети. Поскольку VLAN основаны на логических, а не физических соединениях, они чрезвычайно гибкие.

VLAN определяют широковещательные домены в сети уровня 2.Широковещательный домен — это набор всех устройств, которые будут получать широковещательные кадры, исходящие от любого устройства в этом наборе. Домены широковещательной рассылки обычно ограничиваются маршрутизаторами, поскольку маршрутизаторы не пересылают широковещательные кадры. Коммутаторы уровня 2 создают широковещательные домены на основе конфигурации коммутатора. Коммутаторы — это многопортовые мосты, которые позволяют создавать несколько широковещательных доменов. Каждый широковещательный домен похож на отдельный виртуальный мост в коммутаторе.

В коммутаторе можно определить один или несколько виртуальных мостов.Каждый виртуальный мост, который вы создаете в коммутаторе, определяет новый широковещательный домен (VLAN). Трафик не может проходить напрямую в другую VLAN (между широковещательными доменами) внутри коммутатора или между двумя коммутаторами. Чтобы соединить две разные сети VLAN, необходимо использовать маршрутизаторы или коммутаторы уровня 3. См. Раздел «Обзор интерфейсов уровня 3» для получения информации о маршрутизации между VLAN на коммутаторах серии Catalyst 4500.

На рис. 10-1 показан пример трех VLAN, которые создают логически определенные сети.

Рисунок 10-1 Примеры сетей VLAN

VLAN часто связаны с IP-подсетями. Например, все конечные станции в определенной IP-подсети принадлежат одной и той же VLAN. Трафик между VLAN должен быть маршрутизирован. Вы должны назначить членство в VLAN интерфейса LAN на основе интерфейса за интерфейсом (это известно как членство в VLAN на основе интерфейса или статическое членство в VLAN).

При создании VLAN в домене управления вы можете установить следующие параметры:

• Номер VLAN

• Имя VLAN

• Тип VLAN

• Состояние VLAN (активен или приостановлен)

• Максимальный блок передачи (MTU) для VLAN

• Идентификатор ассоциации безопасности (SAID)

• Номер VLAN для использования при преобразовании из одного типа VLAN в другой

Примечание Когда программное обеспечение выполняет преобразование из одного типа VLAN в другой, ему требуется другой номер VLAN для каждого типа носителя.

Рекомендации и ограничения по настройке VLAN

Следуйте этим рекомендациям и ограничениям при создании и изменении VLAN в вашей сети:

• Перед созданием VLAN переведите коммутатор Catalyst серии 4500 в режим сервера VTP или прозрачный режим VTP. Если коммутатор серии Catalyst 4500 является сервером VTP, необходимо определить домен VTP. Для получения информации о настройке VTP см. «Общие сведения и настройка VTP».

• Команда Cisco IOS end не поддерживается в режиме базы данных VLAN.

• Вы не можете использовать Ctrl-Z для выхода из режима базы данных VLAN.

Диапазоны VLAN

Примечание Для использования 4094 VLAN необходимо включить расширенный идентификатор системы. См. Раздел «Общие сведения об идентификаторе моста».

С Cisco IOS Release 12.2 (25) EW и более поздних версий коммутаторы серии Catalyst 4500 поддерживают 4096 сетей VLAN в соответствии со стандартом IEEE 802.1Q. Эти сети VLAN подразделяются на три диапазона: зарезервированные, обычные и расширенные.

Некоторые из этих VLAN распространяются на другие коммутаторы в сети при использовании протокола VLAN Trunking Protocol (VTP). VLAN с расширенным диапазоном не распространяются, поэтому вам необходимо вручную настроить VLAN с расширенным диапазоном на каждом сетевом устройстве.

Таблица 10-1 описывает использование диапазонов VLAN.

Настраиваемые параметры VLAN нормального диапазона

Примечание Ethernet VLAN 1 и 1006–4094 используют только значения по умолчанию.

Вы можете настроить следующие параметры для сетей VLAN от 2 до 1001:

• Имя VLAN

• Тип VLAN

• Состояние VLAN (активен или приостановлен)

• SAID

• Тип STP для VLAN

Конфигурация VLAN по умолчанию

В таблице 10-2 показаны значения конфигурации VLAN по умолчанию.

Примечание. Коммутаторы серии Catalyst 4500 не поддерживают Token Ring или FDDI media.Коммутатор не пересылает трафик FDDI, FDDI-NET, TrCRF или TrBRF, но распространяет конфигурацию VLAN через VTP. Программное обеспечение резервирует параметры для этих типов носителей, но они на самом деле не поддерживаются.

Настройка VLAN

Примечание Перед настройкой сетей VLAN необходимо использовать протокол VLAN Trunking Protocol (VTP) для сохранения информации о глобальной конфигурации VLAN для вашей сети. Для получения полной информации о VTP см. «Общие сведения и настройка VTP.«

Примечание. Сети VLAN поддерживают ряд параметров, которые не обсуждаются подробно в этом разделе. Для получения полной информации см. Справочник по командам Cisco IOS коммутатора серии Catalyst 4500.

Примечание Конфигурация VLAN хранится в файле vlan.dat , который хранится в энергонезависимой памяти. Вы можете вызвать несогласованность в базе данных VLAN, если вручную удалите vlan.dat файл. Если вы хотите изменить конфигурацию VLAN или VTP, используйте команды, описанные в следующих разделах и в Справочнике команд Cisco IOS коммутатора Catalyst серии 4500.

В этих разделах описывается, как настроить VLAN:

• Настройка VLAN в режиме глобальной конфигурации

• Настройка VLAN в режиме базы данных VLAN

• Назначение интерфейса LAN уровня 2 для VLAN

Настройка VLAN в режиме глобальной конфигурации

Если коммутатор находится в режиме VTP-сервера или в прозрачном режиме (см. Раздел «Настройка VTP»), вы можете настроить VLAN в глобальном режиме и в режиме конфигурации VLAN.Когда вы настраиваете VLAN в режимах глобальной конфигурации и config-vlan, конфигурация VLAN сохраняется в файлах vlan.dat , а не в файлах running-config или startup-config . Чтобы отобразить конфигурацию VLAN, введите команду show vlan .

Если коммутатор находится в прозрачном режиме VLAN, используйте команду copy running-config startup-config , чтобы сохранить конфигурацию VLAN в файл startup-config .После сохранения текущей конфигурации в качестве начальной конфигурации команды show running-config и show startup-config отображают конфигурацию VLAN.

Примечание Если при загрузке коммутатора имя домена VTP и режим VTP в файлах startup-config и vlan.dat не совпадают, коммутатор использует конфигурацию из файла vlan.dat .

Командный режим конфигурации интерфейса используется для определения режима членства портов, а также добавления и удаления портов из VLAN.Результаты этих команд записываются в файл running-config , и вы можете отобразить содержимое файла, введя команду show running-config .

Настроенные пользователем VLAN имеют уникальные идентификаторы от 1 до 4094. Чтобы создать VLAN, введите команду vlan с неиспользуемым идентификатором. Чтобы проверить, используется ли конкретный идентификатор, введите команду show vlan id ID. Чтобы изменить VLAN, введите команду vlan для существующей VLAN.

См. В разделе «Конфигурация VLAN по умолчанию» список параметров по умолчанию, которые назначаются при создании VLAN. Если вы не используете ключевое слово media при указании типа VLAN, эта VLAN будет Ethernet VLAN.

Чтобы создать VLAN, выполните следующую задачу:

 Switch #  настроить терминал 
 

 Коммутатор (конфигурация) #  vlan   vlan_ID 
 

 Коммутатор (config-vlan) #
 

 Коммутатор (config-vlan) #  конец 
 

 Switch # показать vlan [id |  имя ] vlan_name
 

При создании или изменении Ethernet VLAN обратите внимание на следующее:

• Поскольку для портов уровня 3 и некоторых функций программного обеспечения требуются внутренние VLAN, выделенные от 1006 и выше, настройте VLAN с расширенным диапазоном, начиная с 4094 и двигайтесь вниз.

• Вы можете настроить VLAN с расширенным диапазоном только в режиме глобальной конфигурации. Вы не можете настроить VLAN с расширенным диапазоном в режиме базы данных VLAN.

• Порты уровня 3 и некоторые программные функции используют сети VLAN с расширенным диапазоном. Если VLAN, которую вы пытаетесь создать или изменить, используется портом уровня 3 или функцией программного обеспечения, коммутатор отображает сообщение и не изменяет конфигурацию VLAN.

В этом примере показано, как создать Ethernet VLAN в режиме глобальной конфигурации и проверить конфигурацию:

 Switch #  настроить терминал
  

 Коммутатор (конфигурация) #  vlan 3
  

 Коммутатор (config-vlan) #  конец 
 

 Switch #  показать vlan id 3 
 

 Имя VLAN Статус Порты
 

 ---- -------------------------------- --------- ---- ---------------------------
 

 3 VLAN0003 активен
 

 Тип VLAN SAID MTU Родительское кольцо Нет Моста Нет Stp BrdgMode Trans1 Trans2
 

 ---- ----- ---------- ----- ------ ------ -------- ---- - ------- ------ ------
 

 3 энэт 100003 1500 - - - - - 0 0
 

 ------- --------- ----------------- ---------------- ---------------------------
 

 Переключатель #
 

 Switch #  база данных vlan
  

 Коммутатор (vlan) #  vlan   vlan_ID 
 

 Коммутатор (vlan) #  выход 
 

 Switch #  показать vlan  [ id  |  имя ]  vlan_name 
 

 Коммутатор #  База данных vlan 
 

 Коммутатор (vlan) #  vlan 3
  

 VLAN 3 добавлен:
 

 Имя: VLAN0003
 

 Коммутатор (vlan) #  выход 
 

 APPLY завершено.
 

 Выход ....

 Коммутатор №  показывает имя vlan VLAN0003 
 

 Имя VLAN Статус Порты
 

 ---- -------------------------------- --------- ---- -----------------
 

 3 VLAN0003 активен
 

 Тип VLAN SAID MTU Родительское кольцо Нет моста Нет Stp Trans1 Trans2
 

 ---- ----- ---------- ----- ------ ------ -------- ---- - ----- ------
 

 3 энэт 100003 1500 - - - - 0 0
 

 Переключатель #