Где хранится конфигурационный файл сети vlan
Обновлено: 06.07.2024
В данном документе описана процедура настройки изолированных сетей PVLAN на коммутаторах Cisco Catalyst с ПО Catalyst OS (CatOS) или Cisco IOS®.
Предварительные условия
Требования
В данном документе предполагается, что сеть уже существует, и с ее помощью можно установить соединение между различными портами в добавление к PVLAN. Если в наличии есть несколько коммутаторов, убедитесь, магистраль между ними функционирует правильно и позволяет работать сетям PVLAN на магистрали.
Не все коммутаторы и версии программного обеспечения поддерживают частные VLAN. Чтобы определить, поддерживает ли платформа или версия ПО сети PVLAN перед началом конфигурации, см. раздел Матрица поддержки коммутаторов Catalyst на частных сетях VLAN.
Примечание. Некоторые коммутаторы (как указано в разделе Матрица поддержки коммутаторов Catalyst на частных сетях VLAN) поддерживают только функцию Edge сетей PVLAN. Термин "защищенные порты" также относится в данной функции. На портах Edge сетей PVLAN есть ограничение, которое предотвращает связь с другими защищенными портами на одном коммутаторе. Однако защищенные порты на отдельных коммутаторах могут взаимодействовать друг с другом. Следует различать данную функцию с конфигурацией обычной PVLAN, которая отображена в данном документе. Дополнительные сведения о защищенных портах см. в разделе Конфигурация безопасности порта документа Конфигурация контроля трафика на уровне порта.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения.
Коммутатор Catalyst 4003 с модулем управления 2, который использует CatOS версии 6.3(5)
Коммутатор Catalyst 4006 с модулем управления 3, который использует ПО Cisco IOS версии 12.1(12c)EW1
Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.
Условные обозначения
Дополнительную информацию о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.
Теоретические сведения
PVLAN – это VLAN с конфигурацией для изоляции уровня 2 от других портов с таким же доменом широковещательной рассылки или подсетью. Можно назначить особый набор портов в PVLAN и таким образом контролировать доступ к портам на уровне 2. А также можно настроить сети PVLAN и обычные VLAN на одном коммутаторе.
Существует три типа портов PVLAN: случайный, изолированный и общий.
Случайный порт взаимодействует с другими портами PVLAN. Изолированный порт – это порт, который используют для взаимодействия с внешними маршрутизаторами, LocalDirectors, устройствами управления сетью, резервными серверами, административными рабочими станциями и другими устройствами. На других коммутаторах порт для модуля маршрутизатора (например плата многоуровневой коммутации [MSFC]) должен быть случайным.
На изолированном порте есть полное разделение уровня 2 от других портов с такой же PVLAN. Данное разделение содержит широковещательные рассылки. Исключением является только случайный порт. Разрешение конфиденциальности на уровне 2 присутствует в блоке исходящего трафика ко всем изолированным портам. Трафик, приходящий из изолированного порта, направляется только на все изолированные порты.
Общие порты могут взаимодействовать друг с другом и со случайными портами. У данных портов есть изоляция уровня 2 от других портов в других сообществах или от изолированных портов в сети PVLAN. Рассылки распространяются только между связанными портами сообщества и разнородными портами.
Примечание. В данном документе не описана конфигурация VLAN сообществ.
Дополнительные сведения о сетях PVLAN см. в разделе Конфигурация частных сетей VLAN документа Общие сведения и конфигурация сетей VLAN.
Правила и ограничения
В данном разделе представлены правила и ограничения, которым необходимо следовать перед внедрением сетей PVLAN. Более полный список см. в разделе Рекомендации по конфигурации частных сетей VLAN документа Конфигурация сетей VLAN.
PVLAN не могут включать в себя сети VLAN 1 или 1002-1005.
Необходимо установить режим протокола VTP на transparent.
Можно только задать одну изолированную VLAN для основной VLAN.
Можно только назначить VLAN в качестве PVLAN, если у данной VLAN есть назначения текущих портов доступа. Удалите порты в данной сети VLAN перед преобразованием VLAN в PVLAN.
Не настраивайте порты PVLAN как EtherChannels.
Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 Fast Ethernet ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL (ASIC) представляет собой следующее.
Назначение анализатора коммутируемого порта (SPAN)
Случайный порт PVLAN
В следующей таблице отображен диапазон портов, которые относятся к одной ASIC на модулях Catalyst 6500/6000 FastEthernet.
Порты 1-12, 13-24, 25-36, 37-48
С помощью команды show pvlan capability (CatOS) также отображается возможность преобразования порта в порт PVLAN. В ПО Cisco IOS нет эквивалентной команды.
Если удалить VLAN, которая используется в конфигурации PVLAN, порты, связанные с VLAN станут неактивными.
Настройте интерфейсы VLAN уровня 3 (L3) только для первичных VLAN. Интерфейсы VLAN для изолированных и общих VLAN являются неактивными, если в сети VLAN проходит процесс конфигурации изолированных или общих VLAN. Дополнительные сведения см. в разделе Конфигурация частных сетей VLAN.
Можно расширить сети PVLAN среди коммутаторов с помощью магистралей.
Примечание. Необходимо вручную вводить конфигурацию одной PVLAN на каждом коммутаторе, так как VTP в режиме transparent не предоставляет данные сведения.
Конфигурация
В этом разделе предоставляются сведения по конфигурации функций, описанных в данном документе.
Схема сети
В данном документе используется следующая схема сети.
В данном сценарии в устройствах в изолированной VLAN (101) есть ограничения от взаимодействия на уровне 2 друг с другом. Однако устройства не могут подключаться к Интернету. Кроме того, у порта Gig 3/26 на 4006 случайное назначение. Данная дополнительная конфигурация позволяет устройству на порте GigabitEthernet 3/26 соединиться с устройствами в изолированной VLAN. С помощью данной конфигурации также можно, например, делать резервную копию данных от всех устройств хостов PVLAN до рабочей станции администрирования. Другое использование случайных портов подразумевает соединение с внешним маршрутизатором, LocalDirector, устройством управления сетью и другими устройствами.
Конфигурация первичных и изолированных сетей VLAN
Чтобы создать первичные и вторичные сети VLAN, а также связать различные порты с данными VLAN, выполните следующие действия. В данных действиях описаны примеры ПО CatOS и Cisco IOS. Выполните соответствующий набор команд для установки OS.
Создайте первичную PVLAN.
Программное обеспечение Cisco IOS
Создайте одну или несколько изолированных сетей VLAN
Программное обеспечение Cisco IOS
Свяжите изолированную(ые) сеть(и) VLAN с первичной VLAN.
Программное обеспечение Cisco IOS
Проверьте конфигурацию частной VLAN.
Программное обеспечение Cisco IOS
Назначение портов для сетей PVLAN
Совет. Перед выполнением данной процедуры выполните команду show pvlan capability mod/port (для CatOS), чтобы определить возможность преобразования порта в порт PVLAN.
Примечание. Перед выполнением шага 1 данной процедуры выполните команду switchport в режиме конфигурации интерфейса, чтобы настроить порт в качестве коммутируемого интерфейса уровня 2.
Настройте порты хоста на всех соответствующих коммутаторах.
Программное обеспечение Cisco IOS
Настройте случайный порт на одном из коммутаторов.
Примечание. Для Catalyst 6500/6000 если модуль управления использует CatOS в качестве системного ПО, порт MSFC на модуле управления (15/1 или 16/1) должен быть случайным, если необходим коммутатор уровня 3 между сетями VLAN.
Программное обеспечение Cisco IOS
Конфигурация уровня 3
В дополнительном разделе описаны шаги конфигурации, чтобы разрешить маршрутизатор входящего трафика PVLAN. Если необходимо только активировать соединение уровня 2, данный этап можно опустить.
Настройте интерфейс VLAN также, как и при настройке для обычной маршрутизации уровня 3.
В данную конфигурацию входит:
Активация интерфейса с помощью команды no shutdown
Проверка существования сети VLAN в базе данных VLAN
Сопоставьте вторичные сети VLAN, которые необходимо маршрутизировать, первичной VLAN.
Примечание. Настройте интерфейсы VLAN уровня 3 (L3) только для первичных VLAN. Интерфейсы VLAN для изолированных и общих VLAN являются неактивными с помощью конфигурации изолированных или общих VLAN.
Выполните команду show interfaces private-vlan mapping (ПО Cisco IOS) или show pvlan mapping (CatOS), чтобы проверить сопоставление.
Если необходимо изменить список вторичных VLAN после конфигурации сопоставления, используйте ключевое слово add или remove.
Примечание. Для коммутаторов Catalyst 6500/6000 с MSFC убедитесь, что порт от модуля управления до модуля маршрутизации (например порт 15/1 или 16/1) является случайным.
Выполните команду show pvlan mapping, чтобы проверить сопоставление.
Конфигурации
В данном документе используются следующие конфигурации.
Access_Layer (Коммутатор Catalyst 4003. ПО CatOS)
Ядро (Коммутатор Catalyst 4006. ПО Cisco IOS)
Частные сети VLAN в нескольких коммутаторах
Частные сети VLAN можно использовать в нескольких коммутаторах двумя способами. В этом разделе описаны данные способы.
Обычные магистрали
С помощью обычных VLAN сети PVLAN могут взаимодействовать с несколькими коммутаторами. Порт магистрали переносит первичную и вторичные VLAN на соседний коммутатор. Порт магистрали взаимодействует с частной VLAN также, как и с другими сетями VLAN. Функция сетей PVLAN в нескольких коммутаторах состоит в том, чтобы трафик изолированного порта на одном коммутаторе не достигал изолированного порта на другом коммутаторе.
Настройте сети PVLAN на всех промежуточных устройствах, в которых находятся устройства без портов PVLAN, чтобы поддержать безопасность конфигурации PVLAN и избежать другого использования сетей VLAN, настроенных в качестве сетей PVLAN.
Порты магистрали направляют трафик из обычных VLAN, а также из первичных, изолированных и общих VLAN.
Совет. Cisco рекомендует использовать стандартные порты магистрали, если оба коммутатора с магистральным соединением поддерживают сети PVLAN.
Так как протокол VTP не поддерживает сети PVLAN, необходимо настроить их вручную на всех коммутаторах в сети уровня 2. Если не настроить объединение первичной и вторичных сетей VLAN в некоторых коммутаторах в сети, базы данных уровня 2 в данных коммутаторах не объединятся. Это может привести к лавинной маршрутизации трафика PVLAN на данных коммутаторах.
Магистрали частных сетей VLAN
Порт магистрали PVLAN может вмещать несколько вторичных сетей PVLAN, а также сети, отличные от сетей PVLAN. Пакеты получают и передают с помощью тегов вторичных или обычных VLAN на портах магистрали PVLAN.
Поддерживается только инкапсуляция IEEE 802.1q. С помощью изолированных портов магистрали можно объединять трафик всех вторичных портов на магистрали. С помощью случайных портов магистрали можно объединять несколько случайных портов, необходимых в данной топологии, в один порт магистрали, который вмещает несколько первичных сетей VLAN.
Дополнительные сведения см. в разделе Магистрали частных сетей VLAN.
Чтобы настроить интерфейс в качестве порта магистрали PVLAN, см. раздел Конфигурация интерфейса уровня 2 в качестве порта магистрали PVLAN.
Чтобы настроить интерфейс в качестве случайного порта магистрали, см. раздел Конфигурация интерфейса уровня 2 в качестве случайного порта магистрали.
Проверка
Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.
CatOS
show pvlan – отображает конфигурацию PVLAN. Проверьте связь изолированных и первичных сетей VLAN друг с другом. А также проверьте отображение портов хоста.
show pvlan mapping – отображает сопоставление PVLAN с конфигурацией на случайных портах.
Программное обеспечение Cisco IOS
show vlan private-vlan – отображает сведения о PVLAN со связанными портами.
show interface mod/port switchport – отображает сведения об интерфейсах. Проверьте правильность работы рабочего режима, а также рабочие параметры PVLAN.
show interfaces private-vlan mapping – отображает настроенное сопоставление сетей PVLAN.
Процедура проверки
Выполните следующие шаги:
Проверьте конфигурацию PVLAN на коммутаторах.
Проверьте связь/сопоставление первичных и вторичных сетей PVLAN друг с другом. А также проверьте включение необходимых портов.
Проверьте правильность конфигурации случайного порта.
Следующие выходные данные указывают, что рабочий режим портов – promiscuous, рабочие сети VLAN – 100 и 101.
Запустите пакет запроса ICMP-эхо из порта хоста на случайный порт.
Помните, что так как оба устройства находятся в первичной VLAN, они могут быть в одной сети.
Выполните запрос ICMP-эхо между портами хоста.
В следующем промере host_port_2 (10.1.1.99) отправляет запрос ICMP-эхо на host_port (10.1.1.100). Выполнение данного запроса не удалось. Однако выполнение запроса ICMP-эхо из другого порта хоста на случайный порт прошло успешно.
Устранение неполадок
Поиск и устранение неполадок в сетях PVLAN
В данном разделе описаны некоторые основные проблемы, которые возникают во время конфигурации PVLAN.
Проблема 1
Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В таблице раздела Правила и ограничения данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.
Процедура разрешения. Если нет поддержки на порте PVLAN, выберите порт в другой ASIC на данном или на другом модуле. Чтобы возобновить деятельность портов, удалите конфигурацию изолированного или общего порта VLAN и выполните команды shutdown и no shutdown.
Проблема 2
Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В таблице раздела Правила и ограничения данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.
Процедура разрешения. Выполните команду show pvlan capability (CatOS), которая указывает преобразование порта в порт PVLAN. Если нет поддержки для PVLAN на определенном порте, выберите порт в другой ASIC на данном или на другом модуле.
Проблема 3
Не удается настроить PVLAN на некоторых платформах.
Решение. Проверьте, чтобы платформа поддерживала сети PVLAN. Чтобы определить, поддерживает ли платформа или версия ПО сети PVLAN перед началом конфигурации, см. раздел Матрица поддержки коммутаторов Catalyst на частных сетях VLAN.
Проблема 4
На MSFC коммутатора Catalyst 6500/6000 невозможно выполнить запрос ICMP-эхо на устройство, которое соединено с изолированным портом на данном коммутаторе.
Решение. На модуле управления проверьте, чтобы данный порт на MSFC (15/1 или 16/1) является случайным.
Также настройте интерфейс VLAN на MSFC, как указано в разделе Конфигурация уровня 3 данного документа.
Проблема 5
С помощью команды no shutdown невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN.
Решение. Из-за сущности сетей PVLAN невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN. Можно активировать только тот интерфейс VLAN, который относится к первичной VLAN.
Проблема 6
На устройствах Catalyst 6500/6000 с MSFC/MSFC2 записи ARP, полученные на интерфейсах PVLAN уровня 3 не устаревают.
Второй способ – выполнить команду no ip sticky-arp в ПО Cisco IOS версии 12.1(11b)E и более поздних.
Конфигурационный файл в виде базы данных vlan.dat хранится во флэш-памяти коммутатора . Каждая VLAN должна иметь уникальный адрес Уровня 3 или выделенный ей адрес подсети. Это позволяет маршрутизаторам переключать пакеты между виртуальными локальными сетями .
Статическое конфигурирование виртуальных сетей сводится к назначению портов коммутатора на каждую виртуальную локальную сеть VLAN , что может непосредственно конфигурироваться на коммутаторе через использование командной строки CLI . Таким образом, при статическом конфигурировании каждый порт приписывается к какой-то виртуальной сети. Статически сконфигурированные порты поддерживают назначенную конфигурацию до тех пор, пока не будут изменены вручную. Пользователи подключены к портам коммутатора на уровне доступа (access layer ). Маркировка (Frame tagging ) применяется, чтобы обмениваться информацией сетей VLAN между коммутаторами.
По умолчанию управляющей сетью является первая сеть VLAN 1, однако ей может быть назначен другой номер, причем сеть VLAN 1 будет Ethernet-сетью, и ей принадлежит IP- адрес коммутатора .
Ниже рассмотрено конфигурирование коммутатора для виртуальной локальной сети ( рис. 16.5).
Примеры конфигурирования даны для коммутаторов серии 2950 и последующих модификаций. Конфигурирование виртуальных сетей на коммутаторах серии 1900 описано в учебном пособии [8].
Состояние виртуальных сетей и интерфейсов коммутатора Cisco Catalyst серии 2950-24 с именем Sw_A можно посмотреть по следующей команде:
Создание виртуальных сетей может производиться двумя способами:
- в режиме глобального конфигурирования;
- из привилегированного режима конфигурирования по команде vlan database .
Примеры конфигурирования трех виртуальных локальных сетей ( рис. 16.5) VLAN 10, VLAN 20, VLAN 30 приведены ниже.
Конфигурирование VLAN производится программными средствами. Конфигурационный файл в виде базы данных vlan.dat, хранится во флэш-памяти коммутатора. Каждая VLAN должна иметь уникальный адрес третьего Уровня сети (рис. 16.1) или выделенный ей адрес подсети. Это позволяет маршрутизаторам переключать пакеты между виртуальными локальными сетями.
Пользователи подключены к портам коммутатора на уровне доступа (access layer). Маркировка (Frame tagging) используется, чтобы обмениваться информацией сетей VLAN между коммутаторами.
Серверы рабочей группы работают в модели клиент/сервер и предоставляют услуги пользователям, входящим в ту же VLAN, где расположен сервер. Поэтому рекомендуется проектировать виртуальные сети так, чтобы поддержать 80 процентов трафика внутри локальной сети VLAN.
Статическое конфигурирование виртуальных сетей сводится к назначению портов коммутатора на каждую виртуальную локальную сеть VLAN, что может непосредственно конфигурироваться на коммутаторе через использование командной строки CLI. Таким образом, при статическом конфигурировании каждый порт приписывается к какой-то виртуальной сети. Статически сконфигурированные порты поддерживают назначенную конфигурацию до тех пор, пока не будут изменены вручную.
При конфигурировании следует помнить, что:
Максимальное число сетей VLAN – определяется коммутатором.
По умолчанию управляющей сетью является первая сеть VLAN 1, однако ей может быть назначен другой номер.
По умолчанию сетью VLAN 1 – будет Ethernet сеть.
IP-адрес коммутатора принадлежит сети VLAN 1 по умолчанию.
Далее даются основы конфигурирования коммутаторов серии 2950 и последующих модификаций. Конфигурирование виртуальных сетей на коммутаторах серии 1900 описано в учебном пособии [8].
Ниже приведены примеры конфигурирования коммутатора для виртуальной локальной сети (рис. 16.6).
Рис. 16.6. Виртуальная локальная сеть
Коммутатору Cisco Catalyst серии 2950-24 присваивается имя Sw_A .
Enter configuration commands, one per line. End with CNTL/Z.
%SYS-5-CONFIG_I: Configured from console by console
Состояние виртуальных сетей и интерфейсов можно посмотреть по следующей команде:
VLAN Name Status Ports
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Создание виртуальных сетей может производиться двумя способами:
в режиме глобального конфигурирования;
из привилегированного режима конфигурирования по команде vlan database .
Примеры конфигурирования трех виртуальных локальных сетей (рис.16.6) vlan 10, vlan 20, vlan 30 приведены ниже:
При первом способе используются следующие команды:
По второму способу:
Программисты Cisco рекомендуют использовать первый способ создания виртуальных локальных сетей.
После задания виртуальных сетей vlan 10, vlan 20, vlan 30 они становятся активными, что можно посмотреть по команде sh vlan brief:
VLAN Name Status Ports
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
10 VLAN0010 active
20 VLAN0020 active
30 VLAN0030 active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
При желании можно также сформировать название VLAN по команде vlan № name имя , например:
Указанные операции не являются обязательными, они служат только для удобства чтения распечаток.
На следующем этапе необходимо назначить виртуальные сети на определенные интерфейсы (приписать интерфейсы к созданным виртуальным сетям), используя пару команд switchport mode access, switchport access vlan №.. Ниже приведен пример указанных операций для сети рис.16.6.
Верификацию полученной конфигурации можно произвести с помощью команд show vlan или show vlan brief , например:
VLAN Name Status Ports
1 default active Fa0/7, Fa0/8, Fa0/9, Fa0/10,
Fa0/11, Fa0/12, Fa0/13, Fa0/14,
Fa0/15, Fa0/16, Fa0/17, Fa0/18,
Fa0/19, Fa0/20, Fa0/21, Fa0/22,
10 VLAN0010 active Fa0/1, Fa0/2,
20 VLAN0020 active Fa0/3, Fa0/4,
30 VLAN0030 active Fa0/5, Fa0/6,
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
30 enet 100030 1500 - - - - - 0 0
1002 enet 101002 1500 - - - - - 0 0
1003 enet 101003 1500 - - - - - 0 0
1004 enet 101004 1500 - - - - - 0 0
1005 enet 101005 1500 - - - - - 0 0
Из распечатки следует, что команда show vlan дает больше информации, чем show vlan brief .
Кроме того, конфигурацию конкретной виртуальной сети, например VLAN2, можно также просмотреть с помощью команд show vlan id 2 или по имени show vlan name VLAN 2 , если оно задано .
Конфигурационный файл коммутатора должен быть скопирован в энергонезависимую память коммутатора по команде
Он может быть также скопирован на сервер TFTP с помощью команды copy running - config tftp . Параметры конфигурации можно посмотреть с помощью команд show running - config или show vlan .
Удаление виртуальной сети, например vlan 10, выполняется с помощью формы no команды:
Когда виртуальная локальная сеть удалена, все порты, приписанные к этой VLAN, становятся бездействующими. Однако порты останутся связанными с удаленной виртуальной сетью VLAN пока не будут приписаны к другой виртуальной сети или не будет восстановлена прежняя.
Для того, чтобы отменить неверное назначение интерфейса на виртуальную сеть, например, ошибочное назначение виртуальной сети vlan 20 на интерфейс F0/2, используется команда:
Также можно было бы просто приписать интерфейс f0/2 к другой виртуальной сети, например, к vlan 10:
На конечных узлах (хостах) сети рис.16.6 установлена следующая конфигурация:
Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco.
В статье будет рассмотрен вопрос выполнения настроек VLAN в Cisco
Настройка VLAN на коммутаторах Cisco под управлением IOS
- access port – это порт, который принадлежит к одному VLAN, и может передавать нетегированный информационный трафик;
- trunk port – это коммутационный порт, посредством которого может передаваться тегированный трафик от одного либо нескольких VLAN.
Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco. Этот протокол позволяет инкапсулировать фрейм с целью передачи данных о причастности к тому или иному VLAN. Современные модели этот протокол не поддерживают, а работают только с 802.1Q.
Создается VLAN с идентификатором 2 и задается для него имя следующим образом:
Для удаления VLAN с идентификатором 2 используется:
Настройка Access портов
Для назначения коммутационного порта в VLAN нужно:
Диапазон коммутационных портов с fa0/4 до fa0/5 для VLAN 10 выполняется следующим образом:
Чтобы просмотреть информацию о состоянии VLAN нужно:
VLAN Name Status Ports
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
Настройка Trunk
Чтобы иметь возможность передачи трафика от нескольких VLAN посредством одного порта, его следует перевести в режим trunk. Конкретные режимы интерфейса (режим умолчания отличаются для разных моделей):
- auto – это автоматический режим порта, из которого переход в режим trunk возможен только в том случае, если порт на другом конце связи будет в режиме desirable или on;
- desirable – это режим, из которого порт может перейти к режиму trunk; в этом состоянии он периодично посылает DTP-кадры к другому порту, запрашивая его перейти в режим trunk; этот режим будет установлен, если другой порт находится в одном из трех режимов: auto, desirable или on;
- trunk – в этом случае порт постоянно пребывает в состоянии trunk, даже если другой порт не может поддерживать такой же режим;
- nonegotiate – это режим, с которого порт готов выполнить переход к режиму trunk; он не выполняет передачу DTP-кадров к другому порту. Этот режим предусмотрен для исключения конфликтных ситуаций с другим оборудованием (не бренда Cisco). В этом случае коммутационное устройство на другом конце связи должно быть настроено в ручном режиме для использования режима trunk.
По умолчанию для режима trunk разрешаются все VLAN. Чтобы через любой из поддерживаемых VLAN выполнялась передача данных, он должен быть активным. В активную фазу он переходит тогда, когда его создали на коммутаторе и один из его портов находится в режиме up/up.
VLAN создается на коммутаторе посредством команды vlan. Также он может формироваться автоматически на коммутаторе, когда к нему добавляются интерфейсы в режиме access.
В схеме, используемой с целью демонстрации настроек для коммутаторов sw1 и sw2, требуемые VLAN создадутся в момент добавления access-портов к соответствующим VLAN:
% Access VLAN does not exist. Creating vlan 15
Поскольку на коммутаторе sw3 отсутствуют access-порты, нужно создать все нужные VLAN:
Чтобы автоматически создать VLAN на устройствах коммутации, можно применять протокол VTP.
Настройка статического Trunk
Чтобы создать статический trunk нужно:
Модели коммутаторов, которые поддерживают ISL, после попытки перевода интерфейса в режим статического trunk могут выбрасывать следующую ошибку:
Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.
Ошибка генерируется потому, что процесс динамического определения инкапсуляции (выбор 802.1Q или ISL) может поддерживаться только с динамическим режимом trunk. Для настройки статического trunk нужно процедуру инкапсуляции также сделать статической. Этот тип коммутаторов предусматривает явное указание типа инкапсуляции для конкретного интерфейса:
После этого повторно выполняется команда для настойки статического trunk – switchport mode trunk.
Динамическое создание Trunk
Dynamic Trunk Protocol (DTP) является проприетарным протоколом Cisco, обеспечивающим коммутационным устройствам возможность определять находится ли в состоянии поднятия trunk соседний коммутатор и какой протокол нужно задействовать ISL или 802.1Q. DTP включается по умолчанию. Он владеет следующими режимами интерфеса:
- auto – порт пребывает в автоматическом режиме и перейдет в trunk, когда на другом конце связи порт будет on или desirable; если на противоположных концах порты в режиме auto, trunk задействован не будет;
- desirable – из этого состояния порт может перейти к trunk; он периодически совершает посылку DTP-кадров к порту на другом конце; trunk будет установлен, если порт на другой стороне будет on, desirable, auto;
- nonegotiate – из этого состояния порт может перейти в trunk, DTP-кадры при этом не передаются; этот режим нужен чтобы предотвратить конфликт межу Cisco и не Cisco оборудованием.
Для перевода интерфейса в режим auto:
Для перевода интерфейса в режим desirable:
Для перевода интерфейса в режим nonegotiate:
Для проверки текущего режима DTP:
Разрешенные VLAN'
Изначально, по умолчанию, в trunk разрешаются все VLAN. Также можно создать ограничение перечня VLAN, которые можно передавать через тот или иной trunk. Чтобы указать список разрешенных VLAN для порта fa0/22 нужно выполнить:
Чтобы добавить еще один разрешенный VLAN:
Для удаления VLAN из списка разрешенных:
Native VLAN
Для стандарта 802.1Q используется понятие native VLAN. Информационный трафик для этого VLAN будет передаваться нетегированным. По умолчанию его роль выполняет VLAN 1, но можно указать и иной VLAN как native.
Для настройки VLAN 5 в native нужно:
После этого весь трафик, который принадлежит к VLAN 5, передастся посредством trunk-интерфейса нетегированным, а весь трафик, который пришел на trunk-интерфейс будет иметь маркировку, как принадлежащий к VLAN 5.
Настройка процесса маршрутизации между VLAN
Все настройки, касающиеся назначения портов VLAN, которые ранее выполнены для sw1, sw2, sw3 сохраняются. Для дальнейших настроек коммутатор sw3 используется как устройство 3-уровня.
Для этой схемы выполнять дополнительные настройки на маршрутизаторе не нужно. Коммутационная платформа будет реализовывать процесс маршрутизации между сетевыми конфигурациями разных VLAN, а к маршрутизатору будет отправляться трафик, который предназначен для других сетей.
Настройки для коммутатора sw3:
VLAN / интерфейс 3го уровня IP-адрес
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Fa 0/10 192.168.1.2 /24
тобы включить маршрутизацию на коммутаторе нужно:
Для определения адреса в VLAN, который будет использован, как маршрут по умолчанию для компьютерных систем во VLAN 2:
Чтобы задать адрес для VLAN 10:
Процесс перевода интерфейсов в режим 3-го уровня
Интерфейс fa0/10 соединяется с маршрутизатором и может переводиться в режим 3-го уровня. Для выполнения этой процедуры с заданием IP-адреса нужно:
R1 будет играть роль шлюза по умолчанию для конкретной сети. Информация, которая не предназначена для сети VLAN будет передаваться к R1.
Для настройки маршрута по умолчанию нужно выполнить:
sw3(config) ip route 0.0.0.0 0.0.0.0 192.168.1.1
Просмотр информации
Для просмотра информации о транке:
Port Mode Encapsulation Status Native vlan
Fa0/22 on 802.1q trunking 1
Port Vlans allowed on trunk
Port Vlans allowed and active in management domain
Port Vlans in spanning tree forwarding state and not pruned
Чтобы выполнить просмотр информации о настройках интерфейса (trunk) нужно:
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Operational Dot1q Ethertype: 0x8100
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (VLAN_1)
Administrative Native VLAN tagging: enabled
Operational Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Чтобы выполнить просмотр информации о настройках интерфейса (access):
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Operational Dot1q Ethertype: 0x8100
Negotiation of Trunking: Off
Access Mode VLAN: 15 (VLAN0015)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Operational Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Просмотреть информацию о VLAN:
VLAN Name Status Ports
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
Диапазоны VLAN
VLANs Диапазон Использование Передается VTP
0, 4095 Reserved Только для системного использования. --
1 Normal VLAN по умолчанию. Можно использовать, но нельзя удалить. Да
2-1001 Normal Для VLANов Ethernet. Можно создавать, удалять и использовать. Да
1002-1005 Normal Для FDDI и Token Ring. Нельзя удалить. Да
1006-4094 Extended Только для VLANов Ethernet. Версия 1 и 2 нет, версия 3 да
Примеры настройки
Базовая настройка VLAN (без настройки маршрутизации)
Для коммутатора sw3 маршрутизация между VLAN не настроена, поэтому хосты могут передаваться только в области одного VLAN.
Хосты для коммутатора sw1 в VLAN 2 могут взаимодействовать сами с собой и с хостами VLAN 2 коммутатора sw2. Правда они не могут взаимодействовать с хостами других VLAN коммутаторов sw1 и sw2.
Не все возможные настройки являются обязательными. К примеру, перечислять разрешенные VLAN для trunk не обязательно для его работы, но нужно выполнять явную настройку разрешенных VLAN.
Настройка trunk для sw1 и sw2 несколько отличается от sw3. Для него не нужно задавать инкапсуляцию trunk, так как sw3 может поддерживать только режим 802.1Q.
Конфигурация sw1 имеет вид:
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 15
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
Конфигурация sw2 имеет вид:
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10
Конфигурация sw3 имеет вид:
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
switchport mode trunk
switchport trunk allowed vlan 1,2,10
Конфигурация с настройкой маршрутизации между VLAN
Для коммутатора sw3 выполнена настройка маршрутизации между VLAN, поэтому для этой схемы хосты могут обмениваться в области одного VLAN и между разными VLAN.
Процедуры настройки коммутаторов sw1 и sw2 аналогичные, как и прошлый раз. Добавлены только некоторые настройки для коммутатора sw3.
Конфигурация sw1 имеет вид:
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 15
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
Конфигурация sw2 имеет вид:
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10
Конфигурация sw3 имеет вид:
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
switchport mode trunk
switchport trunk allowed vlan 1,2,10
ip address 192.168.1.2 255.255.255.0
ip address 10.0.2.1 255.255.255.0
ip address 10.0.10.1 255.255.255.0
ip address 10.0.15.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Настройка VLAN для маршрутизаторов Cisco
Передача трафика между VLAN поддерживается за счет маршрутизатора. Чтобы он мог передать данные от одного VLAN к другому (между сетями) нужно, чтобы в каждой из сетей он имел свой интерфейс. Чтобы не выделять множество физическихинтерфейсов в этом случае правильно создавать логические подинтерфейсы. Их создают на физических интерфейсах каждого VLAN. Порт коммутатора, который ведет к маршрутизатору, должен настраиваться как тегированный порт (trunk).
Схема, для которой процесс маршрутизации выполняется между VLAN на маршрутизаторе, называется «router on a stick». IP адреса шлюзов по умолчанию для VLAN:
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Для логических подинтерфейсов нужно указать, что на интерфейс будет приходить тегированный трафик, а также указать номер соответствующего VLAN. Выполнить эту процедуру можно соответствующей командой при настройке подинтерфейса:
Чтобы создать логический подинтерфейс для VLAN 2:
Чтобы создать логический подинтерфейс для VLAN 10:
Порт, ведущий от коммутатора к маршрутизатору должен настраиваться как статический trunk:
switchport trunk encapsulation dot1q
switchport mode trunk
Пример настройки
Конфигурационные файлы для первой схемы:
Для конфигурации sw1:
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 15
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 2,10,15
Для конфигурации R1:
encapsulation dot1q 2
ip address 10.0.2.1 255.255.255.0
encapsulation dot1q 10
ip address 10.0.10.1 255.255.255.0
encapsulation dot1q 15
ip address 10.0.15.1 255.255.255.0
Настройка native VLAN
В режиме умолчания информационный трафик VLAN 1 передается нетегированым (VLAN 1 работает, как native). В этом случае для физического интерфейса маршрутизатора устанавливается адрес из сети VLAN 1.
Чтобы задать адрес для физического интерфейса:
Когда нужно создать подинтерфейс передачи нетегированного трафика, в нем указывается, что он принадлежит native VLAN. Как пример, для native VLAN 99:
Читайте также: