Налаштування vlan на cisco
Вузли та сервери, підключені до комутаторів 2-го рівня, вважаються частиною мережевого сегмента. Така організація характеризується двома серйозними проблемами:
Комутатори виконують лавинную розсилку широкомовних кадрів з усіх портів, що призводить до невиправданого споживання смуги пропускання. Зі збільшенням числа пристроїв, підключених до комутатора, генерується більше широкомовного трафіка, який займає велику смугу пропускання;
всі пристрої, підключені до комутатора, можуть пересилати і отримувати кадри від всіх інших пристроїв на цьому комутаторі.
При проектуванні мережі рекомендується обмежувати широкомовний трафік областю мережі, в якій він необхідний. Існують причини організаційного характеру, за якими одні вузли можуть отримувати доступ один до одного, а інші ні. Наприклад, в доступі до бухгалтерського сервера можуть потребувати тільки співробітники бухгалтерії. У комутованої мережі для обмеження широкомовних розсилок і об'єднання вузлів в групи за інтересами створюються віртуальні локальні мережі (VLAN).
VLAN - це логічний домен широкомовного розсилання, який може охоплювати кілька фізичних сегментів LAN. Вона дозволяє адміністратору об'єднувати станції по логічної функції, проектній групі або додатком незалежно від фізичного стану користувачів.
Різниця між фізичною та віртуальною (логічної) мережами продемонстрована в наступному прикладі:
призначає порти у VLAN. За замовчуванням всі порти відносяться до VLAN1. Порти можна призначати по одному або діапазонами.
Використовуйте наступні команди для призначення окремих портів в мережі VLAN:
Switch (config) #interface fa # / #
Switch (config-if) #switchport access vlan vlan_number
Switch (config-if) # exit
Використовуйте наступні команди для призначення діапазонів портів в мережі VLAN:
Switch (config) #interface range fa # / start_of_range - end_of_range
Switch (config-if) #switchport access vlan vlan_number
Switch (config-if) #exit
Для перевірки і обслуговування VLAN використовуються наступні команди: show vlan
виводить докладний список номерів та імен VLAN, активних на комутаторі, а також портів, призначених в кожну з них;
виводить статистику протоколу STP, якщо він налаштований, для кожної VLAN.
show vlan brief
виводить зведений список, в якому відображаються тільки активні VLAN і їх порти.
show vlan id номер_id
інформує вас про певну VLAN по її ідентифікатором.
show vlan name імя_vlan
інформує вас про певну VLAN по її імені.
В організації працівники часто додаються, видаляються або переміщуються між відділами та проектами. Це постійний рух вимагає обслуговування VLAN, включаючи їх видалення і перепризначення портів.
Видалення VLAN і перепризначення портів в інші VLAN - це дві різні функції. Коли порт видаляється з певної VLAN, він повертається у VLAN1.
Видалення VLAN:
Switch (config) #no vlan номер_vlan
Видалення порту з певної VLAN:
Switch (config) #interface fa # / #
Switch (config-if) #no switchport access vlan номер_vlan
VLAN виконують три основні функції:
обмеження розміру широкомовних розсилок;
поліпшення продуктивності мережі;
підвищення безпеки.
Щоб повною мірою скористатися перевагами VLAN, необхідно поширити їх на кілька комутаторів.
Для портів комутатора можна задати дві різні ролі. Порт може бути визначений як порт доступу або як магістральний порт.
порт доступу
Порт доступу належить тільки одній VLAN. Як правило, окремі пристрої, такі як комп'ютери та сервери, підключаються до портів такого типу. Якщо кілька комп'ютерів підключаються до одного порту доступу через концентратор, всі пристрої, підключені до концентратора, будуть належати до однієї VLAN.
магістральний порт
Магістральний порт - це канал типу "точка-точка" між комутатором і іншим мережевим пристроєм. Магістральні підключення служать для передачі трафіку декількох VLAN через один канал і забезпечують їм доступ до всієї мережі. Магістральні порти необхідні для передачі трафіку декількох VLAN між пристроями при з'єднанні двох комутаторів, комутатора і маршрутизатора або комутатора і мережевого адаптера вузла з підтримкою транкинга 802.1Q.
Без магістральних портів для кожної VLAN потрібно було б окреме з'єднання між комутаторами.
Наприклад, корпорації зі 100 VLAN потрібно 100 каналів зв'язку. При такій організації мережа не масштабується належним чином і дуже дорога. Магістральні канали дозволяють вирішити цю проблему за рахунок передачі трафіку декількох VLAN через один канал.
IEEE 802.1Q - стандартний і затверджений метод маркування кадрів. Корпорація Cisco розробила власний протокол маркування кадрів під назвою межкоммутаторний канал (ISL). Комутатори більш високого класу, такі як Catalyst 6500, підтримують обидва протоколи маркування, проте більшість комутаторів LAN, таких як 2960, підтримують тільки 802.1Q.
За замовчуванням порти комутатора працюють в режимі доступу. Щоб налаштувати порт комутатора в якості магістрального порту, використовуйте наступні команди:
Switch (config) #interface fa (controler # / port #)
Switch (config-if) #switchport mode trunk
Switch (config-if) #switchport trunk encapsulation
Комутатори, що підтримують і 802.1Q і ISL, вимагають останньої інструкції. Комутатор 2960 не вимагає цієї інструкції, так як підтримує тільки 802.1Q.
Параметр узгодження використовується за умовчанням на багатьох комутаторах Cisco. Він дозволяє пристрою автоматично виявляти тип інкапсуляції сусіднього комутатора.
Нові комутатори можуть виявляти тип каналу, заданий на протилежному боці. Залежно від підключеного пристрою канал налаштовується як магістрального порту або в якості порту доступу.
Switch (config-if) #switchport mode dynamic
В необхідний режим порт стає магістральним, якщо порт на іншій стороні знаходиться в режимі desirable або auto.
В автоматичний режим порт стає магістральним, якщо порт на іншій стороні знаходиться в режимі trunk або desirable.
Щоб повернути магістральний порт в режим доступу, введіть одну з наступних команд:
Switch (config) #interface fa (controler # / port #)
Switch (config-if) #no switchport mode trunk
або
Switch (config-if) #switchport mode access
Транкінг дозволяє декільком VLAN пересилати трафік між комутаторами, використовуючи один порт.
Магістральний канал пропускає трафік з 4-байтним полем мітки в кадрі, якщо на обох сторонах налаштований протокол 802.1Q. Мітка кадру містить ідентифікатор VLAN ID.
Коли комутатор отримує маркований кадр на магістральному порту, він видаляє мітку, перш ніж переслати кадр з порту доступу. Комутатор пересилає кадр, тільки якщо порт доступу відноситься до тієї ж VLAN, що і маркований кадр.
Однак деякі типи трафіку повинні проходити через канал 802.1Q без ідентифікатора VLAN. Трафік без ідентифікатора VLAN називається немаркованих. Приклади немаркованого трафіку: CDP (Cisco Discovery Protocol), VTP і певні типи голосового трафіку. Немаркований трафік зводить до мінімуму затримки, пов'язані з перевіркою мітки ідентифікатора VLAN.
Для підтримки немаркованого трафіку використовується спеціальна VLAN, яка називається власною VLAN. Немарковані кадри, прийняті на порте 802.1Q, передаються в власну VLAN. На комутаторах Cisco Catalyst в якості своєї VLAN за замовчуванням використовується VLAN 1.
Будь-яку VLAN можна налаштувати як власної. Переконайтеся, що власна VLAN для магістрального підключення 802.1Q однакова на обох сторонах каналу. В іншому випадку в топології STP можуть виникнути петлі.
Введіть наступну команду для магістрального підключення 802.1Q, щоб призначити ідентифікатор власної VLAN фізичному інтерфейсу:
Switch (config-if) # dot1q native vlan vlan-id
Хоча VLAN можуть охоплювати кілька комутаторів, тільки пристрої, що відносяться до однієї VLAN, можуть взаємодіяти один з одним.
Для з'єднання між VLAN необхідний пристрій 3-го рівня. Така організація дозволяє адміністратору мережі здійснювати строгий контроль над типами трафіку, які передаються з однієї VLAN в іншу.
Один з методів маршрутизації між VLAN вимагає окремого підключення інтерфейсу до пристрою 3-го рівня для кожної VLAN.
Інший метод з'єднання між VLAN вимагає функції, яка називається подинтерфейсах. Подинтерфейсах дозволяють логічно розділити один фізичний інтерфейс на кілька логічних шляхів. Для кожної VLAN налаштовується окремий шлях або подинтерфейсах.
Взаємодія між VLAN з використанням подинтерфейсах вимагає настройки як маршрутизатора, так і комутатора.
комутатор
Налаштуйте інтерфейс комутатора в якості магістрального каналу 802.1Q.
маршрутизатор
виберіть інтерфейс маршрутизатора не нижче FastEthernet 100 Мбіт / с;
налаштуйте подинтерфейсах з підтримкою інкапсуляції 802.1Q;
для кожної VLAN налаштовується один подинтерфейсах.
Подинтерфейсах дозволяє кожній VLAN мати власний логічний шлях і шлюз за замовчуванням до маршрутизатора.
Щоб налаштувати маршрутизацію між VLAN, виконайте наступні дії:
Налаштуйте магістральний порт на комутаторі.
Switch (config) #interface fa0 / 2
Switch (config-if) #switchport mode trunk
Перевірте конфігурацію і працездатність маршрутизації між VLAN за допомогою наступних команд.
Switch # show trunk
Router # show ip interfaces
Router # show ip interfaces brief
Router # show ip route
Зі збільшенням розміру і складності мережі централізоване управління структурою VLAN стає критично важливим. Протокол VTP (VLAN Trunking Protocol) - це протокол обміну повідомленнями 2-го рівня, який надає метод управління базою даних VLAN з центрального сервера в мережевому сегменті. Маршрутизатори не пересилають поновлення VTP.
Без автоматизованого методу управління корпоративною мережею з сотнями VLAN потрібна була б ручне налаштування кожної VLAN на кожному комутаторі. Будь-яка зміна структури VLAN зажадало додаткової ручної настройки. Один невірно набраний номер може стати причиною нестійкості з'єднань по всій мережі.
Щоб вирішити цю проблему, корпорація Cisco створила протокол VTP, який автоматизує багато завдань конфігурації VLAN. VTP гарантує узгоджене обслуговування конфігурації VLAN по всій мережі і зменшує необхідність в управлінні та моніторингу VLAN.
Номер версії продовжує збільшуватися, поки не досягає 2 147 483 648. При досягненні цього значення лічильник скидається в нуль. Крім того, номер версії скидається при перезавантаженні комутатора.
Проблема, пов'язана з номером версії, може виникнути, якщо хтось додасть в мережу комутатор з більш високим номером версії, що не перезагрузив його. Оскільки за замовчуванням комутатор знаходиться в серверному режимі, нові, але невірні дані можуть перезаписати коректні дані VLAN на всіх інших комутаторах.
Один із способів забезпечити захист від цієї критичної ситуації полягає в завданні паролів VTP для перевірки комутаторів. Перед додаванням нового комутатора в існуючу мережу завжди перезавантажувати його, щоб скинути номер версії. Крім того, при додаванні комутатора в мережу, в якій вже є комутатор в серверному режимі, переконайтеся, що новий комутатор налаштований в прозорому або клієнтському режимі.
Зробимо налаштування vlan на мережевому інтерфейсі комутатора:
Створюємо віртуальну мережу
#interface range FatEthernet 0/13 - 14
#switchport mode access