IT заметки на разные случаи жизни. Как организовать vlan на порту роутера


VLAN для чайников — asp24.ru

VLANs – это виртуальные сети, которые существуют на втором уровне модели OSI. То есть, VLAN можно настроить на коммутаторе второго уровня. Если смотреть на VLAN, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети. Метка содержит номер VLAN (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Обычно, рабочие станции о VLAN ничего не знают (если не конфигурировать VLAN на карточках специально). О них думают коммутаторы. На портах коммутаторов указывается в каком VLAN они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN. Таким образом каждый порт имеет PVID (port vlan identifier).Этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.

Зачем нужны виланы?

Примеры использования VLAN

 

 

 

 

Достоинства использования VLAN

Тэгированные и нетэгированные порты

Когда порт должен уметь принимать или отдавать трафик из разных VLAN, то он должен находиться в тэгированном или транковом состоянии. Понятия транкового порта и тэгированного порта одинаковые. Транковый или тэгированный порт может передавать как отдельно указанные VLAN, так и все VLAN по умолчанию, если не указано другое. Если порт нетэгирован, то он может передавать только один VLAN (родной). Если на порту не указано в каком он VLAN, то подразумевается, что он в нетэгированном состоянии в первом VLAN (VID 1).

Разное оборудование настраивается по-разному в данном случае. Для одного оборудования нужно на физическом интерфейсе указать в каком состоянии находится этот интерфейс, а на другом в определенном VLAN необходимо указать какой порт как позиционируется – с тэгом или без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько VLAN, то в каждом из этих VLAN нужно прописать данный порт с тэгом. Например, в коммутаторах Enterasys Networks мы должны указать в каком VLAN находится определенный порт и добавить этот порт в egress list этого VLAN для того, чтобы трафик мог проходить через этот порт. Если мы хотим чтобы через наш порт проходил трафик еще одного VLAN, то мы добавляем этот порт в egress list еще и этого VLAN. На оборудовании HP (например, коммутаторах ProCurve)  мы в самом VLAN указываем какие порты могут пропускать трафик этого VLAN и добавляем состояние портов – тэгирован или нетегирован. Проще всего на оборудовании Cisco Systems. На таких коммутаторах мы просто указываем какие порты какими VLAN нетэгированы (находятся в режиме access) и какие порты находятся в тэгированном состоянии (находятся в режиме trunk).

Для настройки портов в режим trunk созданы специальные протоколы. Один из таких имеет стандарт IEEE 802.1Q. Это международный стандарт, который поддерживается всеми производителями и чаще всего используется для настройки виртуальных сетей. Кроме того, разные производители могут иметь свои протоколы передачи данных. Например, Cisco создала для свого оборудования протокол ISL (Inter Switch Lisk).

Межвлановская маршрутизация

Что такое межвлановская маршрутизация? Это обычная маршрутизация подсетей. Разница только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит. Допустим у нас есть два VLAN: VID = 10 и VID = 20. На втором уровне эти VLAN осуществляют разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать между собой, необходимо смаршрутизировать трафик этих VLAN. Для этого нам необходимо на третьем уровне каждому из VLAN присвоить интерфейс, то есть прикрепить к ним IP-адрес. Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address – 10.0.20.1/24. Эти адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы можем трафик хостов с одного VLAN маршрутизировать в другой VLAN. Что дает нам маршрутизация VLAN по сравнению с простой маршрутизацией посетей без использования VLAN? А вот что:

asp24.ru

Маршрутизация между vlan на коммутаторе ~ Сетевые заморочки

В прошлой статье мы обсудили с вами один из способов маршрутизации между vlan. Этот способ хорош всем кроме того факта, что для него нужен отдельный маршрутизатор =) А что если его у вас нет? Что тогда делать? Не стоит отчаиваться, маршрутизацию между vlan можно выполнить и на самом коммутаторе, правда этот коммутатор должен быть коммутатором уровня 3, то есть умеющим выполнять часть функций маршрутизатора.Принцип, по которому осуществляется маршрутизацию между vlan на коммутаторе уровня 3, довольно прост, и в общих чертах представлен на рисунке:
Принцип маршрутизации между vlan на коммутаторе

Для того чтобы продемонстрировать как это осуществляется на практике прибегнем к всеми нам любимому Packet Tracer и соберем в нем следующую простенькую схемку:

Наша схема в Packet Tracer
Компьютеру PC0 зададим IP адрес 192.168.2.2 c маской 255.255.255.0 и шлюзом по умолчанию 192.168.2.1, а компьютеру PC1 IP адрес 192.168.3.2 c маской 255.255.255.0 и шлюзом 192.168.3.1. После чего перейдем к конфигурации коммутатора. Для начала выполним хорошо знакомую нам конфигурацию, создающую vlan 2 и vlan 3, и назначающую им порты Fa0/1 и Fa0/2 соответственно:

  Switch(config)#vlan 2

  Switch(config-vlan)#name net_2  Switch(config-vlan)#name net_3  Switch(config)# interface  fastEthernet 0/1  Switch(config-if)#switchport mode access   Switch(config-if)#switchport access vlan 2  Switch(config)#interface fastEthernet 0/2  Switch(config-if)#switchport mode access   Switch(config-if)#switchport access vlan 3  Switch(config)#interface vlan 2  Switch(config-if)#no shutdown   Switch(config)#interface vlan 3  Switch(config-if)#no shutdownПосле этого по традиции попробуем пропинговать с PC0 PC1, как вы наверное уже догадались, пинги не проходят, так как наши хосты находятся в разных vlan с разной ip адресацией. Для того чтобы настроить маршрутизацию между ними выполним вот такую нехитрую дополнительную конфигурацию:  Switch(config)#interface vlan 2  Switch(config-if)#ip address 192.168.2.1 255.255.255.0  Switch(config)#interface vlan 3  Switch(config-if)#ip address 192.168.3.1 255.255.255.0  Switch(config)#ip routingДанными командами мы назначили ip адреса vlan интерфейсам коммутатора, а после этого командой ip routing включили маршрутизацию между ними. Для интереса можно даже посмотреть таблицу маршрутизации коммутатора выполнив на нем команду show ip route:
Вывод команды show ip route

Если же мы теперь попробуем пропинговать с PC1 PC0, то пинги будут успешно проходить, а это означает что маршрутизация между vlan работает и мы добились поставленной цели.

Как можно заметить принципы маршрутизации между vlan на коммутаторе и на выделенном маршрутизаторе достаточно похожи, только в случае использования коммутатора нам приходится присваивать IP адреса не субинтерфейсам, а vlan интерфейсам (объединяющим группы физических интерфейсов коммутатора), ну и еще приходится отдельно включать маршрутизацию между ними, так как в отличие от маршрутизатора она не выполняется по умолчанию.На сегодня это все. До новых встреч!

www.netza.ru

Маршрутизация vlan при помощи коммутаторов

25 Октября

Маршрутизация  vlan  при помощи коммутаторов

Обычным способом маршрутизации между vlan при помощи маршрутизатора. Но у этого способа есть существенный недостаток – для него надо иметь маршрутизатор. В этой статье мы расскажем, как организовать маршрутизацию между vlan без маршрутизатора. Единственная оговорка – для этого нам понадобится коммутатор 3-го уровня, обладающий частью функций маршрутизации.

 

Данная схема маршрутизации изображена на следующем рисунке:

1_vlan_routing.png

Принцип маршрутизации между vlan на коммутаторе

Построим данную сеть при помощи программы Packet Tracer:

2_vlan_routing.png

Наша схема в Packet Tracer

Настроим сеть следующим образом:

  Switch(config)#vlan 2

  Switch(config-vlan)#name net_2

  Switch(config)#vlan 3

  Switch(config-vlan)#name net_3

  Switch(config)# interface  fastEthernet 0/1

  Switch(config-if)#switchport mode access 

  Switch(config-if)#switchport access vlan 2

  Switch(config)#interface fastEthernet 0/2

  Switch(config-if)#switchport mode access 

  Switch(config-if)#switchport access vlan 3

  Switch(config)#interface vlan 2

  Switch(config-if)#no shutdown 

  Switch(config)#interface vlan 3

  Switch(config-if)#no shutdown

Здесь мы создаем компьютер PC0, задаем ему IP 192.168.2.2 с маской 255.255.255.0 и шлюзом 192.168.2.1.

Создаем компьютер PC1, задаем адрес 192.168.3.1 с маской 255.255.255.0 и шлюзом 192.168.3.1.

Создаем сети vlan2, vlan3, назначаем им соответственно порты Fa0/1 и Fa0/2.

Для проверки работоспособности нашей схемы пропингуем с компьютера PC0 другой компьютер – PC1. Пинги не проходят, потому что компьютеры находятся в разных виртуальных сетях с разной адресацией.

Для настройки маршрутизации между ними, выполним следующие инструкции:

Switch(config)#interface vlan 2

Switch(config-if)#ip address 192.168.2.1 255.255.255.0

Switch(config)#interface vlan 3

Switch(config-if)#ip address 192.168.3.1 255.255.255.0

Switch(config)#ip routing

Этими командами мы определили IP адреса vlan интерфейсам коммутатора, затем командой «ip routing» активировали маршрутизацию между ними. Так же можно посмотреть таблицу маршрутизации для интерфейса при помощи команды «show ip route». Ответ коммутатора будет выглядеть так:

3_show_ip_route.png

Вывод команды show ip route 

Повторите попытку пинга самостоятельно.

Как вы могли убедится, пинг проходит успешно, а это значит, что мы настроили маршрутизацию между vlan сетями.

 

Как видно, маршрутизация при помощи коммутаторов похожа на маршрутизацию при помощи роутера, но есть ряд отличий. При использовании коммутаторов приходится присваивать IP адреса vlan интерфейсам, а не субинтерфейсам, как в случае с маршрутизатором. Кроме того приходится включать маршрутизацию между коммутаторами, когда в случае с маршрутизатором она выполняется по умолчанию.

На этом всё, до следующих встреч.

bouz.ru

Разделяем сеть с помощью VLAN

29.10.2016 09:46

Представим такую ситуацию. У нас есть офис небольшой компании, имеющей в своем арсенале 100 компьютеров и 5 серверов. Вместе с тем, в этой компании работают различные категории сотрудников: менеджеры, бухгалтеры, кадровики, технические специалисты, администраторы. Необходимо, чтобы каждый из отделов работал в своей подсети. Каким образом разграничить трафик этой сети? Вообще есть два таких способа: первый способ — разбить пул IP-адресов на подести и выделить для каждого отдела свою подсеть, второй способ — использование VLAN.

VLAN (Virtual Local Area Network) — группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от трафика других узлов сети. В современных сетях VLAN — главный механизм для создания логической топологии сети, не зависящей от ее физической топологии.

Технология VLAN определена в документе IEEE 802.1q — открытый стандарт, который описывает процедуру тегирования для передачи информации о принадлежности к VLAN. 802.1q помещает внутрь ethernet фрейма тег, который передает информацию о принадлежности трафика к VLAN.

dg_wg_vlan_tag_format

Рассмотрим поля VLAN TAG:

Компьютер при отправке фреймов ничего не знает в каком VLAN он находится — этим занимается коммутатор. Коммутатор знает к какому порту подключен компьютер и на основании этого определит в каком VLAN этот компьютер находится.

У коммутатора есть два вида портов:

 

Настройка VLAN на управляемом коммутаторе Dlink DES-3528 

Серия коммутаторов DES-3528/3552 xStack включает в себя стекируемые коммутаторы L2+ уровня доступа, обеспечивающие безопасное подключение конечных пользователей к сети крупных предприятий и предприятий малого и среднего бизнеса (SMB). Коммутаторы обеспечивают физическое стекирование, статическую маршрутизацию, поддержку многоадресных групп и расширенные функции безопасности. Все это делает данное устройство идеальным решением уровня доступа. Коммутатор легко интегрируется с коммутаторами уровня ядра L3 для формирования многоуровневой сетевой структуры с высокоскоростной магистралью и централизованными серверами. Коммутаторы серии DES-3528/3552 снабжены 24 или 48 портами Ethernet 10/100Мбит/с и поддерживают до 4-х uplink-портов Gigabit Ethernet.

des-3528_front

Рассмотрим принципы настройки VLAN на управляемых коммутаторах Dlink. В ходе работы изучим способы создания, удаления, изменения VLAN, добавления различных видов портов (тегированных и нетегированных).

Подключение к коммутатору производится через консольный порт с помощью программы HyperTerminal.

С помощью команды show vlan посмотрим информацию о существующих VLAN.

show-vlan-empty

На рисунке выше видно, что изначально на коммутаторе создан только один VLAN по умолчанию с именем default. Команда show vlan выводит следующие поля:

Создадим новый VLAN, в котором в качестве имени используются инициалы AA, а в качестве идентификатора – номер 22. Для этого воспользуемся командой create vlan.

create-vlan-aa-22

В новый VLAN пока не входит ни одного порта. С помощью config vlan изменим VLAN AA так, чтобы в нем появились тегированные порты 10, 14-17 и нетегированные порты 2-5.

config-vlan

Командой show vlan выведем информацию о созданных VLAN.

show-vlan-add

Известно, что тегированные порты могут входить в несколько VLAN, а нетегированные порты только в один VLAN. В данный момент и тегированные, и нетегированные порты входят в VLAN default и VLAN AA. Командой config vlan удалим все порты, задействованные в VLAN AA из VLAN default.

show-vlan-delete

Из рисунка выше видно, что теперь порты 2-5, 10, 14-17 находятся только в VLAN AA.

Рассмотрим разделение сети на разные VLAN. В коммутационном шкафу собрана схема и настроена подсеть 10.0.0.0 /8.

net

В начальный момент времени все компьютеры находятся в одной подсети и пингуются между собой. Необходимо разделить их так, чтобы PC22, PC20, PC18 находились в одном VLAN, а PC 19, PC21 в другом VLAN. Для этого создаем два VLAN:

Для коммутаторов исходя из схемы был разработан план настройки портов. При этом учитывалось, что для компьютеров необходимо использовать нетегированные порты, а для связей между коммутаторами тегированные порты. При настройке коммутаторов тегированные порты размещались в VLAN=10 и VLAN=20, а нетегированные порты размещались только в том VLAN, к которому принадлежит компьютер.

net-%d0%ba%d0%be%d0%bf%d0%b8%d1%8f

На каждом из коммутаторов необходимо настроить порты в соответствии со схемой. На рисунке ниже показан пример настройки SW5. В начале создается vlan с идентификатором net1 и меткой 10. Далее создаем второй vlan net2 с меткой 20. После чего, добавляем порты коммутатора в соответствующие vlan. Порт 1 подключен к компьютеру PC22, который находится в 10 VLAN’е.  Значит 1 порт будет нетегированным (untagged). Второй порт по схеме подключен к SW4 и должен пропускать через себя 10 и 20 VLAN’ы.

Остальные коммутаторы настраиваются по аналогии.

create-and-add-vlan Командой show vlan просмотрим каждый из созданных нами VLAN.

show-vlan-10

show-vlan-2

Теперь можно посмотреть работу VLAN  в действии. Согласно плану наши компьютеры имеют следующие IP-адреса:

Будем пинговать с PC22.

ping-ws21

ping-ws20

ping-ws19

ping-ws18

Из результатов видно, что PC22 пингуется с PC20, PC18 так как они находятся в одном VLAN 10. PC21, PC19 недоступны, потому что находятся в другом VLAN 20.

 

netclo.ru

Как сделать VLAN: Сегментация маленькой компьютерной сети

Введение

Что такое VLAN? Какая-то дорогостоящая технология виртуальной реальности? На самом деле это относительно простой, но, в то же время, предлагающий широкие возможности способ улучшения вашей сети.

VLAN, или Virtual LAN (виртуальная локальная сеть) это технология позволяющая делить физическую сеть на логические сегменты на 2-м уровне OSI. Функционально, VLAN позволяет сетевому администратору разбивать сеть на отдельные независимые сегменты. Существует много причин делить сеть на VLANы и множество параметров, которые нужно учесть.

VLAN оказывается полезен как в малых, так и в более крупных сетях. В компьютерных сетях среднего и большого размера VLAN иногда используются для объединения физически отделенных сегментов в единый логический сегмент.

В этой статье мы объясним и обсудим основные принципы организации VLAN а так же причины использования в малых сетях. Так же на конкретном примере мы узнаем как конфигурируется реальный свитч с поддержкой технологий VLAN для сегментации сети.

VLAN и коммутаторы

Если у вас есть несколько компьютерных устройств в вашей компьютерной сети, то вы используете для их объединения свитч. Свитч или коммутатор это простое устройство оперирующее данными на 2-м уровне модели OSI, передавая фреймы Ethernet-проткала от одного устройства к другому на основание их аппаратных адресов — так называемых MAC адресов. Простейшие свитчи 2-го уровня ничего не знают о существовании IP адресов (адреса 3 уровня модели OSI) и не учитывают их при операциях над фреймами.

Ваш свитч может быть миниатюрным устройством на 4 порта, встроенным в маршрутизатор, или маленьким неуправляемы (не конфигурируемым) коммутатором как D-Link DGS-2205 на рис. 1. Или это может быть более продвинутый свитч с поддержкой технологий VLAN, иногда называемый управляемым, «умным» или многоуровневым коммутатором. Большие сети обычно состоят из множества коммутаторов, расположенных в разных местах.

Рисунок 1. Свитч D-Link без поддержки VLAN

Как заявлено ранее, свитч передает данные от одного устройства к другому на основе их MAC адреса. Ключевой вопрос – откуда свитч знает на каком порту расположен конкретный MAC адрес?

Даже самые простые свитчи умеют «учиться» — они читают MAC адрес устройства в заголовке фрейма и сохраняют его в таблице МАС адресов, расположенных в памяти. Если найден неизвестный МАС адрес в поле «источник», он добавляется в эту таблицы, привязываясь к определенному порту.

Рисунок 2. Таблицы MAC-адресов
Широковещательные сообщения

Важность VLAN особенно заметна, когда дело касается широковещательных сообщений. Широковещательные сообщения, или броадкасты, это фреймы (кадры) посылаемые всем устройствам на свитче. В большинстве случаев это нормальное и частое явление. Широковещательный домен – это набор устройств, которые получают одинаковые широковещательные сообщения. Малые сети обычно состоят из единственного широковещательного домена.

Каждое устройство в сети генерирует солидное количество широковещательного трафика. Широковещательное сообщение генерируется когда устройство пытается послать данные другому устройству, но не знает его МАС адрес назначения. Компьютер, который знает IP адрес другого компьютера но не знает ассоциированные с ним МАС адрес, так же будет посылать широковещательные сообщения. Такие типы броадкасты называются ARP (Address Resolution Protocol – протокол разрешения адресов) броадкастами.

Такие устройства, как компьютеры, будут собирать и поддерживать список IP адресов ассоциированных с МАС адресами в так называемом ARP-кеше. ARP-кеш является временным, может быть переписан и перестраивается каждый раз, когда компьютер включается. Вдобавок, записи устаревают через две минуты после добавления в операционных системах Windows XP и 2000.

На компьютере с ОС Windows вы можете посмотреть содержимое ARP-кеша с помощью команды arp –a выполненной в командной строке. В рис. 3 вы видите содержимое ARP-кеша моего компьютера, полученное с сетевого интерфейса.

Рисунок 3. arp -a показывает содержимое ARP-кеша.

Другой пример броадкастов, генерируемых компьютерами – DHCP запросы. DHCP (Dynamic Host Configuration Protocol) – протокол динамического назначения сетевых адресов. Компьютеры посылают широковещательное сообщение сервису DHCP всякий раз когда они включаются или подключаются к сети что бы получить IP адрес, если их сетевой адрес не был задан вручную.

Еще один источник броадкастов – сами свитчи. Когда на свитч приходит фрейм с неизвестным, т.е. отсутствующим в таблице МАС-адресов адресом назначения, свитч отправляет броадкасты на все порты за исключением того, с которого получен фрейм, ожидая от устройств отклика.

Устройство с соответствующим адресом ответит на броадкаст. Свитч проанализирует пришедший ответ и добавит новую запись в таблицу МАС-адресов для соответствующего порта. Как и на компьютерах, таблица МАС-адресов обычно хранится во временной памяти и перестраивается каждый раз после включения свитча.

IP мультикаст еще один источник броадкастов. Примером может служить потоковое видео, передающееся с использованием такой технологии, которое может занимать бОльшую часть доступной полосы пропускания. По этим соображениям, IP мультикаст зачастую отключен в больших сетях а так же выключен по умолчанию на потребительских маршрутизаторах.

Броадкаст может занимать значительную часть доступной полосы пропускания а так же поглощать драгоценное процессорное время. Каждое устройство в сети принимает броадкасты и должно анализировать и определять – отвечать или нет на каждый такой фрейм. С ростом сети автоматически увеличивается и широковещательный трафик.

И тут на сцену выходят VLAN – средство разбиения броадкаст-доменов. Броадкасты распространяются внутри VLANа и не передаются между ними. Сегментируя сеть на VLANы вы увеличиваете доступную пропускную способность сети, освобождаете ресурсы и улучшаете быстродействии, просто уменьшая количество широковещательного трафика.

Маршрутизаторы

Для деления широковещательных доменов предназначены и маршрутизаторы. Они работают на 3-м уровне, пересылая пакеты на основе их IP адресов, а не МАС-адресов. Получая фрейм на одном из своих Ethernet-интерфейсов (обычный сетевой порт), маршрутизатор отбрасывает заголовок с МАС-адресом и принимает решение о маршрутизации, основываясь на IP адресах отправителя и получателя.

Маршрутизация это неотъемлемая часть любой сети, состоящей из нескольких подсетей и играет ключевую роль в VLANах. VLANы могут быть настроены для каждой подсети в отдельности, требуя для обеспечения межсетевого взаимодействия маршрутизатор.

Например, сеть подсоединенная к интернету обычно использует граничный маршрутизатор — шлюз, обычно предоставляющий сервисы DHCP и NAT (Преобразование сетевых адресов). Если VLANы созданы в разных подсетях, тогда шлюз или другой маршрутизатор должен предоставлять эти сервисы для каждой виртуальной сети – VLAN. В больших локальных сетях, обеспечение маршрутизации между VLANами, а так же сегментации сети зачастую ложится на плечи коммутаторов 3-го уровня (называемых «multilayer» — «многоуровневыми»).

Так же VLANы можно настроить для использования одной подсети с целью изоляции различных устройств друг от друга. Я буду использовать модель с одной подсетью в статье, где SRW – управляемый свитч 2-го уровня и маршрутизатор Linksys RV042 (рис. 4) для доступа в Интернет. Так же маршрутизатор настроен как DHCP сервер и обеспечивает трансляцию адресов посредством NAT.

Рисунок 4. Маршрутизатор Linksys RV042
Практическая реализация

Теперь, когда вы начали понимать основы технологии VLAN, перейдем к веселой части! Я покажу, как разделить локальную сеть с одной подсетью на несколько изолированных сегментов. Это базовая техника использования VLAN добавляет дополнительные меры безопасности для клиентов и серверов, которые содержат конфиденциальные данные. Так же VLAN можно применять для обеспечения общего доступа к интернету в общежитиях или съемных апартаментах, одновременно изолируя сети жильцов друг от друга, позволяя им безопасно использовать собственные сетевые папки и принтеры не беспокоясь о любопытных соседях. Я уверен, вы самостоятельно сможете придумать множество применений.

Используем Linksys SRW2008 (Рис. 5) с 8-ю гигабитными портами и приятным веб-интерфейсом. Это коммутатор устройство 2-го уровня с обширным функционалом и большим количеством, включая поддержку VLAN.

Рисунок 5. Коммутатор Linksys SRW2008

Основные шаги по конфигурации VLAN:

1. Составьте план своей сети

2. Создайте VLANы

3. Установите соответствие портов и VLANов.

4. Проверьте работоспособность VLAN

5. Примените необходимые настройки безопасности

Планирование

Самым важным процессом по внедрению технологии VLAN даже в малой сети является планирование. Необходимо описать все устройства и определить, в каком VLAN будет находиться каждое их них. На этапе планирования cетевой администратор должен тщательно обдумать компоненты, функции и типы трафика каждого элемента сети.

К коммутатору подсоединены 8 устройств, которые я буду использовать для демонстрации примера:

· 1 порт – маршрутизатор RV042

· 2 порт – WiFi маршрутизатор

· 3 порт – Windows Server on port 3

· 4 порт – NAS

· 5 порт – принтер

· 6 порт – сервер Linux VoIP

· 7 порт – шлюз VoIP ATA

· 8 порт – ноутбук

Рис. 6 показывает первоначальное состояние сети.

Рисунок 6. Сеть перед делением на VLANы

Ни один из этих компонентов не поддерживает VLAN, т.е. они никак не помечают фреймы. Устройства с поддержкой VLAN, такие как коммутаторы и продвинутые сетевые карты, могут помечать принадлежность фрейма к определенному VLANу при помощи тегов с номером VLAN. Необходимо учитывать этот фактор при построении сети из нескольких коммутаторов.

Стандартная практика при построении VLAN состоит в том, что все VoIP устройства помещаются в отдельную VLAN что бы исключить интерференцию разнородного типа трафиков. Поэтому у нас будет:

· Data VLAN – для обмена данными

· VoIP VLAN – для голосового трафика

Необходимо предоставить всем устройствам доступ в интернет. Поэтому нужен:

· Internet access VLAN – общий доступ в Интернет.

Возможность включить порты сразу в несколько VLANов является ключевой для нашего примера.

Так же я собираюсь разрешить ноутбуку доступ ко всем VLAN и разрешить ему доступ к функциям управления SRW. Сам коммутатор (управляющий интерфейс) так же является членом сети и имеет IP адрес. Важно об этом помнить и включить его в соответствующий VLAN, что бы иметь доступ к интерфейсу управления коммутатором. Об этом позже.

Создание графического отображения сети – важная часть процесса планирования. Коммутатор SRW позволяет назначить устройствам на каждом порту имена, что является хорошим заделом на будущее при решении проблем возникающих в сети. Я потратил несколько минут что бы описать подключение всех моих устройств по физическим портам коммутатора. Затем на коммутаторе я впечатал в поле Description раздела меню Port Management (рис. 7) понятные имена для упрощения распознавания подключенных устройств.

Рисунок 7. Именование портов

(с) June 20, 2007 Doug Reid

(с) March 2010 перевод tchr

evilsnork.wordpress.com

Настройка VLAN (Virtual Local Area Network) на сетевом оборудовании Mikrotik. Разделение локальной сети с помощью VLAN.

Содержание статьи:

VLAN (Virtual Local Area Network) позволяет в коммутаторах или роутерах создать несколько виртуальных локальных сетей на одном физическом сетевом интерфейсе. Простой и удобный способ разделения трафика между клиентами или базовыми станциями, использование VLAN.

 

Технология VLAN заключается в том, что к сетевому кадру (2-й уровень) прибавляется дополнительный заголовок tag, который содержит служебную информацию и VLAN ID. Значения VLAN ID могут быть от 1 — 4095. При этом 1 зарезервирована как VLAN по умолчанию.

 

При работе с VLAN важно понимать, что такое тегированный и нетегированный трафик. Тегированный трафик (с идентификатором влана) в основном идет между коммутаторами и серверами. Обычные же компьютеры (особенно под управлением ОС Windows) не понимают тегированный трафик. Поэтому на тех портах, которые смотрят непосредственно на рабочие станции или в сеть с неуправляемым коммутатором, выдается нетегированный трафик. Т.е. от сетевого кадра отрезается тег. Это также происходит, если на порту настроен VLAN ID = 1.

 

Также существует понятие, как trunk (Транк). Транком называют порты коммутатора, по которым идет трафик с разными тегами. Обычно транк настраивается между коммутаторами, чтобы обеспечить доступ к VLAN с разных коммутаторов.

 

Использование VLAN на оборудовании Mikrotik

Роутеры и коммутаторы Mikrotik поддерживают до 250 VLANs на одном Ethernet интерфейсе. Создавать VLAN его можно не только на Ethernet интерфейсе, но и на Bridge, и даже на туннеле EoIP. VLAN может быть построен в другом VLAN интерфейсе, по технологии “Q-in-Q”. Можно делать 10 и более вложенных VLAN, только размер MTU уменьшается с каждым разом на 4 байта.

 

Разберем использование VLAN на примере. Задача:

 

 

 

Исходные данные:

 

Создание VLAN интерфейсов

Создаем VLAN2 (ID=2), VLAN3 (ID=3) и назначаем их на Bridge интерфейс LAN. Интерфейс LAN будет выступать в качестве Trunk соединения.

/interface vlan add name=VLAN2 vlan-id=2 interface=LAN /interface vlan add name=VLAN3 vlan-id=3 interface=LAN

 

Создание Bridge интерфейсов

Создаем BridgeVLAN2, BridgeVLAN3 интерфейсы под VLAN:

/interface bridge add name=BridgeVLAN2 /interface bridge add name=BridgeVLAN3

 

Связь VLAN интерфейсов с Bridge соединениями

Связываем интерфейсы VLAN (VLAN2, VLAN3) с Bridge (BridgeVLAN2, BridgeVLAN3) соединениями:

/interface bridge port add interface=VLAN2 bridge=BridgeVLAN2 /interface bridge port add interface=VLAN3 bridge=BridgeVLAN3

 

Создание IP-адресации

Присваиваем каждому BridgeVLAN2/BridgeVLAN3 интерфейсу IP-адрес — 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3):

/ip address add address=172.20.22.1/24 interface=BridgeVLAN2 /ip address add address=172.21.22.1/24 interface=BridgeVLAN3

 

Создание пула адресов

Задаем диапазон выдаваемых IP-адресов, для сетей (172.20.22.0/24,  172.21.22.0/24):

/ip pool add name=poolVLAN2 ranges=172.20.22.2-172.20.22.254 /ip pool add name=poolVLAN3 ranges=172.21.22.2-172.21.22.254

 

Настройка DHCP сервера

Для того чтобы устройства получали сетевые настройки, автоматически, настроим DHCP сервер, для локальных сетей (172.20.22.0/24, 172.21.22.0/24):

/ip dhcp-server add name=dhcpVLAN2 interface=BridgeVLAN2 address-pool=poolVLAN2 disabled=no /ip dhcp-server add name=dhcpVLAN3 interface=BridgeVLAN3 address-pool=poolVLAN3 disabled=no /ip dhcp-server network add address=172.20.22.0/24 gateway=172.20.22.1 /ip dhcp-server network add address=172.21.22.0/24 gateway=172.21.22.1

 

Настройка Firewall. Доступ к интернет для VLAN сетей

У меня выполнена настройка безопасности, по этой статье. Поэтому для того чтобы устройства из локальных сетей (172.20.22.0/24, 172.21.22.0/24), имели выход в интернет, добавляем для них правило:

/ip firewall filter add chain=forward action=accept src-address=172.20.22.0/24 comment="Access Internet From LAN" /ip firewall filter add chain=forward action=accept src-address=172.21.22.0/24 comment="Access Internet From LAN"

 

Изолирование VLAN сетей

Необходимо чтобы сети VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24), были изолированы друг от друга и от доступа в основную локальную сеть 10.5.5.0/24. Создаем списки локальных сетей (LOCAL):

/ip firewall address-list add list=LOCAL address=10.5.5.0/24 /ip firewall address-list add list=LOCAL address=172.20.22.0/24 /ip firewall address-list add list=LOCAL address=172.21.22.0/24

 

Создаем правила блокировки доступа к локальным сетям (LOCAL) из сетей 172.20.22.0/24, 172.21.22.0/24. Запрещающие правила, обязательно ставим выше разрешающих:

/ip firewall filter add chain=forward action=drop src-address=172.20.22.0/24 dst-address-list=LOCAL /ip firewall filter add chain=forward action=drop src-address=172.21.22.0/24 dst-address-list=LOCAL

 

Распределение VLAN по портам роутера Mikrotik

Назначаем порты роутера, на работу в том или ином VLAN. Порт ether2 — BridgeVLAN2, порты ether3, ether4 — BridgeVLAN3:

/interface bridge port add interface=ether2 bridge=BridgeVLAN2 /interface bridge port add interface=ether3 bridge=BridgeVLAN3 /interface bridge port add interface=ether4 bridge=BridgeVLAN3

Информация: не обязательно назначать Bridge соединение на каждый порт, для принадлежности к тому или иному VLAN. Достаточно задать Bridge соединение, только на один порт, а затем используя Master port указывать принадлежность к VLAN, другие порты.

 

 

На этом добавление и настройка VLAN окончена. В итоге получили две изолированные сети, с доступом в интернет. Поместили созданные VLAN сети в Trunk соединение, что позволит в случае необходимости сегментирования VLAN сетей на другой роутер, легко это сделать. Назначили необходимые порты роутера на работу в соответствующих VLAN сетях.

 

 

Понравилась или оказалась полезной статья, поблагодари автора

 

jakondo.ru

Vlan в Cisco IOS — IT заметки на разные случаи жизни

Удаление VLAN’а с идентификатором 2:

sw1(config)# no vlan 2

Настройка access портов

Назначение порта коммутатора в VLAN:

sw1(config)# interface fa0/1 sw1(config-if)# switchport mode access sw1(config-if)# switchport access vlan 2

Назначение диапазона портов с fa0/4 до fa0/5 в vlan 10:

sw1(config)# interface range fa0/4 - 5 sw1(config-if-range)# switchport mode access sw1(config-if-range)# switchport access vlan 10

Просмотр информации о VLAN’ах:

sw1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 2 test active Fa0/1, Fa0/2 10 VLAN0010 active Fa0/4, Fa0/5 15 VLAN0015 active Fa0/3

Настройка транка (trunk)

Для того чтобы передать через порт трафик нескольких VLAN, порт переводится в режим транка.

Режимы интерфейса (режим по умолчанию зависит от модели коммутатора):

По умолчанию в транке разрешены все VLAN. Для того чтобы через соответствующий VLAN в транке передавались данные, как минимум, необходимо чтобы VLAN был активным. Активным VLAN становится тогда, когда он создан на коммутаторе и в нём есть хотя бы один порт в состоянии up/up.

VLAN можно создать на коммутаторе с помощью команды vlan. Кроме того, VLAN автоматически создается на коммутаторе в момент добавления в него интерфейсов в режиме access.

В схеме, которая используется для демонстрации настроек, на коммутаторах sw1 и sw2, нужные VLAN будут созданы в момент добавления access-портов в соответствующие VLAN:

sw1(config)# interface fa0/3 sw1(config-if)# switchport mode access sw1(config-if)# switchport access vlan 15 % Access VLAN does not exist. Creating vlan 15

На коммутаторе sw3 access-портов нет. Поэтому необходимо явно создать все необходимые VLAN:

sw3(config)# vlan 2,10,15

Для автоматического создания VLAN на коммутаторах, может использоваться протокол VTP.

Настройка статического транка

Создание статического транка:

sw1(config)# interface fa0/22 sw1(config-if)# switchport mode trunk

На некоторых моделях коммутаторов (на которых поддерживается ISL) после попытки перевести интерфейс в режим статического транка, может появится такая ошибка:

sw1(config-if)# switchport mode trunk Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.

Это происходит из-за того, что динамическое определение инкапсуляции (ISL или 802.1Q) работает только с динамическими режимами транка. И для того, чтобы настроить статический транк, необходимо инкапсуляцию также настроить статически.

Для таких коммутаторов необходимо явно указать тип инкапсуляции для интерфейса:

sw1(config-if)# switchport trunk encapsulation dot1q

И после этого снова повторить команду настройки статического транка (switchport mode trunk).

Динамическое создание транков (DTP)

Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.

Режимы DTP на интерфейсе:

Перевести интерфейс в режим auto:

sw1(config-if)# switchport mode dynamic auto

Перевести интерфейс в режим desirable:

sw1(config-if)# switchport mode dynamic desirable

Перевести интерфейс в режим nonegotiate:

sw1(config-if)# switchport nonegotiate

Проверить текущий режим DTP:

sw# show dtp interface
Разрешённые VLAN’ы

По умолчанию в транке разрешены все VLAN. Можно ограничить перечень VLAN, которые могут передаваться через конкретный транк.

Указать перечень разрешенных VLAN для транкового порта fa0/22:

sw1(config)# interface fa0/22 sw1(config-if)# switchport trunk allowed vlan 1-2,10,15

Добавление ещё одного разрешенного VLAN:

sw1(config)# interface fa0/22 sw1(config-if)# switchport trunk allowed vlan add 160

Удаление VLAN из списка разрешенных:

sw1(config)# interface fa0/22 sw1(config-if)# switchport trunk allowed vlan remove 160
Native VLAN

В стандарте 802.1Q существует понятие native VLAN. Трафик этого VLAN передается нетегированным. По умолчанию это VLAN 1. Однако можно изменить это и указать другой VLAN как native.

Настройка VLAN 5 как native:

sw1(config-if)# switchport trunk native vlan 5

Теперь весь трафик принадлежащий VLAN’у 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN’у 5 (по умолчанию VLAN 1).

Настройка маршрутизации между VLAN

Передача трафика между VLANами с помощью коммутатора Cisco

Все настройки по назначению портов в VLAN, сделанные ранее для sw1, sw2 и sw3, сохраняются. Дальнейшие настройки подразумевают использование sw3 как коммутатора 3 уровня.

При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети.

Настройки на коммутаторе sw3:

VLAN / ИНТЕРФЕЙС 3ГО УРОВНЯ IP-АДРЕС
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Fa 0/10 192.168.1.2 /24

Включение маршрутизации на коммутаторе:

sw3(config)# ip routing

Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в VLAN 2:

sw3(config)# interface Vlan2 sw3(config-if)# ip address 10.0.2.1 255.255.255.0 sw3(config-if)# no shutdown

Задание адреса в VLAN 10:

sw3(config)# interface Vlan10 sw3(config-if)# ip address 10.0.10.1 255.255.255.0 sw3(config-if)# no shutdown

Перевод интерфейса в режим 3го уровня

Интерфейс fa0/10 соединен с маршрутизатором. Этот интерфейс можно перевести в режим 3 уровня.

Перевод fa0/10 в режим интерфейса 3 уровня и задание IP-адреса:

sw3(config)#interface FastEthernet 0/10 sw3(config-if)# no switchport sw3(config-if)# ip address 192.168.1.2 255.255.255.0 sw3(config-if)# no shutdown

R1 используется как шлюз по умолчанию для рассматриваемой сети. Трафик не предназначенный сетям VLAN’ов будет передаваться на R1.

Настройка маршрута по умолчанию:

sw3(config) ip route 0.0.0.0 0.0.0.0 192.168.1.1

Просмотр информации

Просмотр информации о транке:

sw1# show interface fa0/22 trunk Port Mode Encapsulation Status Native vlan Fa0/22 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/22 1-2,10,15 Port Vlans allowed and active in management domain Fa0/22 1-2,10,15 Port Vlans in spanning tree forwarding state and not pruned Fa0/22 1-2,10,15

Просмотр информации о настройках интерфейса (о транке):

sw1# show interface fa0/22 switchport Name: Fa0/22 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Operational Dot1q Ethertype: 0x8100 Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (VLAN_1) Administrative Native VLAN tagging: enabled Operational Native VLAN tagging: disabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL

Просмотр информации о настройках интерфейса (об access-интерфейсе):

sw1# show interface fa0/3 switchport Name: Fa0/3 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Operational Dot1q Ethertype: 0x8100 Negotiation of Trunking: Off Access Mode VLAN: 15 (VLAN0015) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Operational Native VLAN tagging: disabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL

Просмотр информации о VLAN’ах:

sw1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 2 test active Fa0/1, Fa0/2 10 VLAN0010 active Fa0/4, Fa0/5 15 VLAN0015 active Fa0/3

Диапазоны VLAN

VLANS ДИАПАЗОН ИСПОЛЬЗОВАНИЕ ПЕРЕДАЕТСЯ VTP
0, 4095 Reserved Только для системного использования.
1 Normal VLAN по умолчанию. Можно использовать, но нельзя удалить. Да
2-1001 Normal Для VLANов Ethernet. Можно создавать, удалять и использовать. Да
1002-1005 Normal Для FDDI и Token Ring. Нельзя удалить. Да
1006-4094 Extended Только для VLANов Ethernet. Версия 1 и 2 нет, версия 3 да

Пример настройки

Пример базовой настройки VLAN, без настройки маршрутизации
Vlan sw cisco ver2.png

В этом разделе приведены конфигурационные файлы коммутаторов для изображенной схемы. На коммутаторе sw3 не настроена маршрутизация между VLAN, поэтому в данной схеме хосты могут общаться только в пределах одного VLAN.

Например, хосты на коммутаторе sw1 в VLAN 2 могут взаимодействовать между собой и с хостами в VLAN 2 на коммутаторе sw2. Однако, они не могут взаимодействовать с хостами в других VLAN на коммутаторах sw1 и sw2.

Не все настройки являются обязательными. Например, перечисление разрешенных VLAN в транке не является обязательным для работы транка, однако, рекомендуется настраивать разрешенные VLAN явно.

Настройки транка на sw1 и sw2 немного отличаются от sw3. На sw3 не задается инкапсуляция для транка (команда switchport trunk encapsulation dot1q), так как в используемой модели коммутатора поддерживается только режим 802.1Q.

Конфигурация sw1:

! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10,15 !

Конфигурация sw2:

! interface FastEthernet0/1 switchport mode access switchport access vlan 10 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 2 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10 !

Конфигурация sw3:

! vlan 2,10,15 ! interface FastEthernet0/1 switchport mode trunk switchport trunk allowed vlan 1,2,10,15 ! interface FastEthernet0/2 switchport mode trunk switchport trunk allowed vlan 1,2,10 !
Пример конфигураций с настройкой маршрутизации между VLAN
Vlan sw cisco routing ver2.png

В этом разделе приведены конфигурационные файлы коммутаторов для изображенной схемы. На коммутаторе sw3 настроена маршрутизация между VLAN, поэтому в данной схеме хосты могут общаться как в пределах одного VLAN, так и между различными VLAN.

Например, хосты на коммутаторе sw1 в VLAN 2 могут взаимодействовать между собой и с хостами в VLAN 2 на коммутаторе sw2. Кроме того, они могут взаимодействовать с хостами в других VLAN на коммутаторах sw1 и sw2.

Настройки коммутаторов sw1 и sw2 остались точно такими же, как и в предыдущем разделе. Добавились дополнительные настройки только на коммутаторе sw3.

Конфигурация sw1:

! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10,15 !

Конфигурация sw2:

! interface FastEthernet0/1 switchport mode access switchport access vlan 10 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 2 ! interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10 !

Конфигурация sw3:

! ip routing ! vlan 2,10,15 ! interface FastEthernet0/1 switchport mode trunk switchport trunk allowed vlan 1,2,10,15 ! interface FastEthernet0/2 switchport mode trunk switchport trunk allowed vlan 1,2,10 ! ! interface FastEthernet0/10 no switchport ip address 192.168.1.2 255.255.255.0 ! ! interface Vlan2 ip address 10.0.2.1 255.255.255.0 ! interface Vlan10 ip address 10.0.10.1 255.255.255.0 ! interface Vlan15 ip address 10.0.15.1 255.255.255.0 ! ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 !

Настройка VLAN на маршрутизаторах Cisco

Передача трафика между VLANами с помощью маршрутизатора

Передача трафика между VLAN может осуществляться с помощью маршрутизатора. Для того чтобы маршрутизатор мог передавать трафик из одного VLAN в другой (из одной сети в другую), необходимо, чтобы в каждой сети у него был интерфейс. Для того чтобы не выделять под сеть каждого VLAN отдельный физический интерфейс, создаются логические подынтерфейсы[1] на физическом интерфейсе для каждого VLAN.

На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как тегированный порт (в терминах Cisco — транк).

Изображенная схема, в которой маршрутизация между VLAN выполняется на маршрутизаторе, часто называется router on a stick.

IP-адреса шлюза по умолчанию для VLAN (эти адреса назначаются на подынтерфейсах маршрутизатора R1):

VLAN IP-АДРЕС
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24

Для логических подынтерфейсов[1] необходимо указывать то, что интерфейс будет получать тегированный трафик и указывать номер VLAN соответствующий этому интерфейсу. Это задается командой в режиме настройки подынтерфейса:

R1(config-if)# encapsulation dot1q <vlan-id>

Создание логического подынтерфейса для VLAN 2:

R1(config)# interface fa0/0.2 R1(config-subif)# encapsulation dot1q 2 R1(config-subif)# ip address 10.0.2.1 255.255.255.0

Создание логического подынтерфейса для VLAN 10:

R1(config)# interface fa0/0.10 R1(config-subif)# encapsulation dot1q 10 R1(config-subif)# ip address 10.0.10.1 255.255.255.0
Note-icon.gif Соответствие номера подынтерфейса и номера VLAN не является обязательным условием. Однако обычно номера подынтерфейсов задаются именно таким образом, чтобы упростить администрирование.

На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как статический транк:

interface FastEthernet0/20 switchport trunk encapsulation dot1q switchport mode trunk

Пример настройки

Конфигурационные файлы устройств для схемы изображенной в начале раздела.

Конфигурация sw1:

! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/20 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 2,10,15 !

Конфигурация R1:

! interface fa0/0.2 encapsulation dot1q 2 ip address 10.0.2.1 255.255.255.0 ! interface fa0/0.10 encapsulation dot1q 10 ip address 10.0.10.1 255.255.255.0 ! interface fa0/0.15 encapsulation dot1q 15 ip address 10.0.15.1 255.255.255.0 !

Настройка native VLAN

По умолчанию трафик VLAN’а 1 передается не тегированым (то есть, VLAN 1 используется как native), поэтому на физическом интерфейсе маршрутизатора задается адрес из сети VLAN 1.

Задание адреса на физическом интерфейсе:

R1(config)# interface fa0/0 R1(config-if)# ip address 10.0.1.1 255.255.255.0

Если необходимо создать подынтерфейс для передачи не тегированного трафика, то в этом подынтерфейсе явно указывается, что он принадлежит native VLAN. Например, если native VLAN 99:

R1(config)# interface fa0/0.99 R1(config-subif)# encapsulation dot1q 99 native R1(config-subif)# ip address 10.0.99.1 255.255.255.0

slipsoad.wordpress.com


Смотрите также