2S.6. Сети VLAN

Производительность сети является важным фактором эффективности работы организации. Одной из технологий повышения производительности сети является разделение крупных широковещательных доменов на более мелкие. Маршрутизаторы устроены таким образом, что блокируют широковещательный трафик на интерфейсе. При этом маршрутизаторы обычно имеют ограниченное количество интерфейсов LAN. Основная роль маршрутизатора заключается не в предоставлении оконечным устройствам сетевого доступа, а в передаче информации между сетями.

Предоставление доступа в локальную сеть обычно обеспечивается коммутатором уровня доступа. Для уменьшения размера широковещательных доменов на коммутаторе 2-го уровня, как и на устройстве 3-го уровня, можно создать сеть VLAN. Сети VLAN обычно включаются в проекты сети, для того чтобы сеть облегчала процесс достижения целей организации. Несмотря на то, что сети VLAN в основном используются в коммутируемых локальных сетях, современные реализации VLAN способны функционировать также в муниципальных (MAN) и глобальных (WAN) сетях.

Ввиду того что VLAN делят сеть на сегменты, для передачи трафика между сегментами требуется процесс 3-го уровня.

Процесс маршрутизации на 3-м уровне можно осуществлять с помощью маршрутизатора или коммутатора 3-го уровня. Использование устройства 3-го уровня обеспечивает возможность управления передачей трафика между сегментами сети, в том числе сегментами, которые были созданы с помощью VLAN.

В первой части этой главы рассматриваются процедуры настройки, администрирования, поиска и устранения неполадок сетей VLAN и магистральных каналов VLAN. Вторая часть данной главы посвящена маршрутизации между сетями VLAN с помощью маршрутизатора. Маршрутизация между VLAN на коммутаторе 3-го уровня рассматривается в последующем курсе.

Определения виртуальной локальной сети

В коммутируемых объединенных сетях сети VLAN обеспечивают гибкость сегментации и организации. Сети VLAN позволяют сгруппировать устройства внутри локальной сети. Группа устройств в пределах VLAN взаимодействует так, будто устройства подключены с помощью одного кабеля.

Сети VLAN основываются не на физических, а на логических подключениях.
Сети VLAN позволяют администратору производить сегментацию по функциям, проектным группам или областям применения, вне зависимости от физического расположения пользователя или устройства.
Устройства в пределах VLAN работают таким образом, будто находятся в собственной независимой сети, даже если делят одну общую инфраструктуру с другими VLAN.
Любой порт коммутатора может принадлежать сети VLAN. Одноадресные, широковещательные и многоадресные пакеты пересылаются и рассылаются только к конечным станциям в пределах той VLAN, которая является источником этих пакетов.
Каждая VLAN считается отдельной логической сетью. Пакеты, адресованные станциям, которые не относятся к VLAN, должны пересылаться через устройство, поддерживающее маршрутизацию.

В коммутируемой сети может быть несколько подсетей IP без использования нескольких сетей VLAN. Однако устройства будут находиться в одном и том же домене широковещательной рассылки уровня 2. Это означает, что все широковещательные рассылки уровня 2, например ARP-запрос, будут приниматься всеми устройствами в коммутируемой сети, даже теми, которые не предназначены для приема данной рассылки.

VLAN создает логический широковещательный домен, который может охватывать несколько физических сегментов LAN. Разделяя крупные широковещательные домены на более мелкие сети, VLAN повышают производительность сети. Если устройство в одной VLAN передает широковещательный кадр Ethernet, то этот кадр получают все устройства в рамках этой VLAN, устройства же в других сетях VLAN этот кадр не получают.

Сети VLAN позволяют реализовывать политику обеспечения доступа и безопасности, учитывая интересы различных групп пользователей.

Каждый порт коммутатора может быть назначен только одной сети VLAN (за исключением порта, подключенного к IP-телефону или к другому коммутатору).

Преимущества виртуальных локальных сетей (VLAN)

Производительность пользователей и адаптивность сети играют важную роль в процветании и успехе компании. Сети VLAN облегчают процесс проектирования сети, обеспечивающей помощь в выполнении целей организации. К основным преимуществам использования VLAN относятся:

Безопасность: группы, обладающие уязвимыми данными, отделены от остальной части сети, благодаря чему снижается вероятность утечки конфиденциальной информации. Как показано на рисунке, компьютеры преподавателей находятся в сети VLAN 10 и полностью отделены от трафика данных учащихся и гостей.
Снижение расходов: благодаря экономии на дорогих обновлениях сетевой инфраструктуры и более эффективному использованию имеющейся полосы пропускания и восходящих каналов происходит снижение расходов.
Повышение производительности: разделение однородных сетей 2-го уровня на несколько логических рабочих групп (широковещательных доменов) уменьшает количество лишнего сетевого трафика и повышает производительность.
Уменьшение размера доменов широковещательной рассылки: разделение сети на сети VLAN уменьшает количество устройств в домене широковещательной рассылки. Сеть, показанная на рисунке, состоит из шести компьютеров и трех широковещательных доменов: для преподавателей, для учащихся и гостевого домена.
Повышение производительности ИТ-отдела: сети VLAN упрощают управление сетью, поскольку пользователи с аналогичными требованиями к сети используют одну и ту же сеть VLAN. При введении в эксплуатацию нового коммутатора на назначенных портах реализуются все правила и процедуры, уже примененные в этой конкретной VLAN. Также ИТ-специалистам легче определять функцию сети VLAN, назначая ей соответствующее имя. На данном рисунке для простой идентификации сеть VLAN 10 была названа «Для преподавателей», VLAN 20 — «Для учащихся» и VLAN 30 — «Гостевая».
Упрощенное управление проектами и приложениями: сети VLAN объединяют пользователей и сетевые устройства для соответствия деловым или географическим требованиям сети. Управление проектом и работа на прикладном уровне упрощены благодаря использованию разделения функций. Пример такой прикладной задачи — платформа разработки приложений для электронного обучения преподавателей.

Каждой VLAN в коммутируемой сети соответствует IP-сеть. Таким образом, в проекте VLAN необходимо учитывать использование иерархической схемы сетевой адресации. Иерархическая адресация подразумевает упорядоченное назначение номеров IP-сети сегментам или сетям VLAN с учетом работы сети в целом. Как показано на рисунке, блоки смежных сетевых адресов резервируются и настраиваются на устройствах в определенной области сети.

Типы виртуальных локальных сетей

В современных сетях используется множество различных типов сетей VLAN. Некоторые типы VLAN определяются классами трафика. Другие типы VLAN обусловлены функциями, которые они выполняют.

VLAN для данных

Виртуальная локальная сеть для данных — это сеть VLAN, которая настроена специально для передачи трафика, генерируемого пользователем. Сеть VLAN, передающая голосовой трафик или трафик управления, не является сетью VLAN для передачи данных. Рекомендуется отделять голосовой и управляющий трафик от трафика данных. VLAN для передачи данных иногда называют пользовательской сетью VLAN. Сети VLAN для данных используются для разделения сети на группы пользователей или устройств.

Сеть VLAN по умолчанию

Все порты коммутатора становятся частью VLAN по умолчанию после первоначальной загрузки коммутатора. Порты коммутатора, находящиеся в сети VLAN по умолчанию, являются частью одного широковещательного домена. Благодаря этому любое устройство, подключенное к любому порту коммутатора, может обмениваться данными с другими устройствами на других портах коммутатора. Сетью VLAN по умолчанию для коммутаторов Cisco установлена VLAN 1. На рисунке команда show vlan brief была выполнена на коммутаторе, настроенном по умолчанию. Обратите внимание, что на все порты по умолчанию назначены сети VLAN 1.

VLAN 1 поддерживает все функции любой сети VLAN, однако ее нельзя переименовать или удалить. По умолчанию весь управляющий трафик 2-го уровня связан с сетью VLAN 1.

Native VLAN

Сеть native VLAN назначена транковому порту 802.1Q.

Транковые порты — это каналы между коммутаторами, которые поддерживают передачу трафика, связанного с более чем одной сетью VLAN.

Транковый порт 802.1Q поддерживает трафик, поступающий от нескольких VLAN (тегированный трафик), а также трафик, который поступает не от VLAN (нетегированный трафик). Тегированным называется трафик, для которого в исходный заголовок кадра Ethernet вставлен 4-байтовый тег, определяющий сеть VLAN, к которой относится этот кадр. Транковый порт 802.1Q размещает нетегированный трафик в сети native VLAN, которой по умолчанию является VLAN 1.

Сети native VLAN определены в спецификации IEEE 802.1Q для обеспечения обратной совместимости с нетегированным трафиком, характерным для устаревших сценариев локальных сетей. Сеть native VLAN служит общим идентификатором на противоположных концах транкового канала.

Рекомендуется настроить native VLAN как неиспользуемую VLAN, отличающуюся от сети VLAN 1 и других VLAN. Фактически принято выделять фиксированную VLAN для выполнения роли сети native VLAN для всех транковых портов в коммутируемом домене.

Управляющая VLAN (Management VLAN)

Управляющая VLAN — это любая сеть VLAN, настроенная для доступа к функциям управления коммутатора. Сеть VLAN 1 по умолчанию является управляющей VLAN. Для создания управляющей VLAN виртуальному интерфейсу коммутатора (SVI) данной VLAN назначаются IP-адрес и маска подсети, благодаря чему коммутатором можно управлять по протоколам HTTP, Telnet, SSH или SNMP. Поскольку в исходной настройке коммутатора Cisco VLAN 1 является сетью VLAN по умолчанию, VLAN 1 не следует использовать в качестве управляющей VLAN.

В прошлом управляющая VLAN для коммутатора 2960 была единственным активным интерфейсом SVI. В версиях ОС Cisco IOS 15.x для коммутаторов Catalyst серии 2960 возможна поддержка более одного активного интерфейса SVI. В версиях ОС Cisco IOS 15.x необходимо документировать определенный активный интерфейс SVI, назначенный для удаленного управления. Несмотря на то, что теоретически коммутатор может обладать более чем одной управляющей VLAN, использование нескольких сетей данного типа увеличивает подверженность сетевым атакам.

На рисунке все порты назначены сети VLAN 1 по умолчанию. Ни одна сеть не назначена в качестве VLAN с нетегированным трафиком, и ни одна другая сеть VLAN не является активной. Таким образом, сетью VLAN с нетегированным трафиком будет управляющая сеть VLAN. Подобная настройка считается угрозой безопасности.

Голосовые сети VLAN

Для поддержки передачи голоса по IP (VoIP) требуется отдельная сеть VLAN. Для VoIP-трафика требуется:

гарантированная полоса пропускания для обеспечения высокого качества голосовой передачи;
приоритет передачи перед другими типами сетевого трафика;
возможность маршрутизации в обход перегруженных участков;
задержка менее 150 мс по всей сети.

Для того чтобы соответствовать этим требованиям, вся сеть должна быть специально спроектирована для поддержки VoIP. В рамках данного курса не рассматриваются особенности настройки сети для поддержки VoIP, однако краткая информация о том, как голосовая VLAN работает между коммутатором, IP-телефоном Cisco и компьютером, будет полезна.

На рисунке VLAN 150 предназначена для передачи голосового трафика. Компьютер учащегося PC5 подключен к IP-телефону Cisco, а телефон подключен к коммутатору S3. PC5 находится в сети VLAN 20, которая используется для передачи данных учащихся.

Транки виртуальных сетей

Транк — это канал типа «точка-точка» между двумя сетевыми устройствами, который поддерживает более одной сети VLAN. Транк виртуальных сетей расширяет сети VLAN по всей сети. Cisco поддерживает стандарт IEEE 802.1Q для координации транков в интерфейсах Fast Ethernet, Gigabit Ethernet и 10-Gigabit Ethernet.

Использование сетей VLAN без транковых каналов существенно снижает полезные возможности VLAN. Транки виртуальных сетей обеспечивают распространение всего трафика VLAN между коммутаторами так, чтобы устройства, находящиеся в одной сети VLAN, но подключенные к разным коммутаторам, могли обмениваться данными без вмешательства маршрутизатора.

Транк виртуальных сетей не принадлежит какой-либо определенной сети VLAN, а, скорее, является «кабельным каналом» передачи многих VLAN между коммутаторами и маршрутизаторами. Транк может также использоваться между сетевым устройством и сервером или другим устройством, оснащенным соответствующим сетевым адаптером с поддержкой 802.1Q. По умолчанию на транковом порте коммутатора Cisco Catalyst поддерживаются все сети VLAN.

На рисунке каналы между коммутаторами S1 и S2, а также между S1 и S3 настроены для передачи трафика, отправляемого по всей сети от VLAN 10, 20, 30 и 99. Данная сеть не сможет работать без транковых каналов VLAN.

Контроль широковещательных доменов в сетях VLAN

Сети без VLAN

При нормальной эксплуатации, когда коммутатор получает широковещательный кадр на одном из своих портов, он пересылает кадр из всех портов, кроме того, на котором он был получен. В анимации на рис. 1 вся сеть настроена в одной подсети (172.17.40.0/24), сети VLAN не настроены. В результате, когда компьютер преподавателя (PC1) отправляет широковещательный кадр, коммутатор S2 отправляет этот широковещательный кадр из всех своих портов. В конечном итоге вся сеть получает широковещательную рассылку, поскольку сеть является широковещательным доменом.

В данном примере все устройства находятся в одной и той же подсети IPv4. Если бы в других подсетях IPv4 находились устройства, то и они получили бы тот же фрейм широковещательной рассылки. Широковещательные рассылки, такие как ARP-запрос, предназначены только для устройств, находящихся в одной подсети.

Сеть с VLAN

Как показано в анимации на рисунке 2, сеть была разделена на сегменты с помощью двух VLAN. Устройства для преподавателей были назначены сети VLAN 10, а устройства учащихся — сети VLAN 20. Когда из компьютера преподавателя (PC1) отправляется широковещательный кадр на коммутатор S2, коммутатор пересылает кадр только на те порты коммутатора, которые настроены для поддержки VLAN 10.

Порты, обеспечивающие соединение между коммутаторами S1 и S2 (порт F0/1) и между коммутаторами S1 и S3 (порт F0/3), являются транковыми каналами и настроены для поддержки всех VLAN в сети.

Когда коммутатор S1 получает широковещательный кадр через порт F0/1, он пересылает широковещательный кадр из единственного другого порта, настроенного для поддержки сети VLAN 10, т. е. из порта F0/3. Получив фрейм широковещательной рассылки на порте F0/3, коммутатор S3 пересылает этот кадр из другого порта, настроенного для поддержки сети VLAN 10, т. е. из порта F0/11. Широковещательный кадр прибывает на единственный другой компьютер в сети, настроенный для VLAN 10, т. е. на компьютер для преподавателей PC4.

В случае, когда сети VLAN реализованы на коммутаторе, передача одноадресного, многоадресного и широковещательного трафика от узла в определенной VLAN ведется устройствами в пределах этой сети VLAN.

Проблемы с IP-адресацией сети VLAN

Каждой VLAN должна соответствовать IP-подсеть. Если два устройства в одной сети VLAN имеют разные адреса подсетей, они не могут обмениваться данными. Данное несоответствие является распространенной проблемой, и для ее решения нужно выявить ошибку в конфигурации и изменить адрес подсети на правильный.

Отсутствующие сети VLAN

Если между устройствами в VLAN по-прежнему нет соединения, но проблемы с IP-адресацией были устранены, обратитесь к рабочей диаграмме на рис. 1, чтобы устранить оставшиеся неполадки:

Шаг 1. Примените команду show vlan, чтобы убедиться, что порт принадлежит ожидаемой VLAN. Если порт назначен неверной VLAN, используйте команду switchport access vlan для корректировки принадлежности VLAN. Используйте команду show mac address-table для проверки адресов, полученных на определенном коммутационном порте, и VLAN, назначенных этому порту (см. рис. 2).

Шаг 2. Если VLAN, которой назначен порт, удалена, порт становится неактивным. Порты удаленной VLAN не будут указаны в данных, выводимых командой show vlan. Используйте команду show interfaces switchport, чтобы проверить, назначена ли порту неактивная сеть VLAN (см. рис. 2).

На рис. 2 показан пример МАС-адресов, полученных на интерфейсе F0/1. Здесь видно, что MAC-адрес 000c.296a.a21c был получен на интерфейсе F0/1 в сети VLAN 10. Если этот номер не соответствует номеру ожидаемой VLAN, измените принадлежность портов сети VLAN с помощью команды switchport access vlan.

Каждый коммутатора принадлежит VLAN. Если VLAN, которой принадлежит порт, удалена, порт становится неактивным. Все порты, принадлежащие удаленной сети VLAN, не смогут взаимодействовать с другими сегментами сети. Для того чтобы проверить, активен ли порт, используйте команду show interface f0/1 switchport. Если порт неактивен, он не будет работать, пока не будет создана отсутствующая VLAN с помощью команды режима глобальной настройки vlan vlan_id или пока VLAN не будет удалена из порта с помощью команды no switchport access vlan vlan_id.

Введение в поиск и устранение неполадок в транковых каналах

Типичной задачей сетевого администратора является устранение неполадок при создании магистрального канала или в портах, которые некорректно работают в качестве магистральных. Иногда порт коммутатора может работать как транковый порт, даже если он не настроен для этого. Например, порт доступа может принимать кадры от сетей VLAN, к которым этот порт не назначен. Это называется утечкой VLAN.

На рис. 1 показана рабочая диаграмма рекомендаций по устранению неполадок в каналах.

Для устранения неполадок при неудачном создании транкового канала или утечке VLAN выполните следующие действия:

Шаг 1. Используйте команду show interfaces trunk, чтобы проверить, совпадают ли локальная VLAN и одноранговая VLAN с нетегированным трафиком. Если native VLAN не совпадает на обеих сторонах, происходит утечка VLAN.

Шаг 2. Используйте команду show interfaces trunk для проверки установления транкового канала между коммутаторами. По возможности настраивайте транковые каналы статически. Порты коммутатора Cisco Catalyst по умолчанию используют протокол DTP и пытаются согласовать транковый канал.

Для того чтобы отобразить состояние транка, сети native VLAN, используемой на этом транковом канале, и проверить установку транка, используйте команду show interfaces trunk. Пример на рис. 2 показывает, что сеть native VLAN на одной стороне транкового канала была изменена на VLAN 2. Если на одном конце транкового подключения настроена сеть native VLAN 99, а на другом — native VLAN 2, то кадр, отправленный из сети VLAN 99 на одном конце, будет получен в сети VLAN 2 на другом конце. Трафик VLAN 99 попадает в сегмент VLAN 2.

CDP отображает уведомление о несовпадении native VLAN в транковом канале таким сообщением:

* Mar 1 06:45:26.232: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1 (2), with S2 FastEthernet0/1 (99).

При возникновении несовпадений native VLAN происходят проблемы с подключением в сети. Трафик данных сетей VLAN, кроме двух настроенных сетей native VLAN, успешно проходит по транковому каналу, но данные, связанные с какой-либо из этих двух native VLAN, не проходят по транковому каналу.

Как показано на рис. 2, проблемы несовпадения сети VLAN с нетегированным трафиком не мешают созданию магистрального канала. Чтобы решить проблему несоответствия сети native VLAN, настройте сеть native VLAN так, чтобы это была одна и та же VLAN на обеих сторонах канала.

Распространенные проблемы с транковыми каналами

Причиной неполадок в транковых каналах обычно является неправильная конфигурация. При настройке сетей VLAN и транковых каналов в коммутируемой инфраструктуре часто случаются следующие типы ошибок конфигурации.

Несовпадения native VLAN: транковые порты настроены с разными сетями native VLAN. Эта ошибка конфигурации выводит на консоль соответствующие уведомления и, помимо прочих проблем, может нарушить маршрутизацию между VLAN. Это влечет за собой угрозу безопасности.
Несовпадения транкового режима: для одного транкового порта настроен режим, не соответствующий транковому режиму соответствующего порта с другой стороны. При этой ошибке конфигурации транк перестает работать. С помощью команды switchport mode trunkубедитесь, что настроены обе стороны магистрального канала. Другие команды настройки магистрального канала не рассматриваются в этом курсе.
Разрешенные сети VLAN в транковых каналах: список сетей VLAN, разрешенных в транке, не был обновлен в соответствии с текущими требованиями VLAN. В этом случае по магистральному каналу передается непредвиденный трафик или же передача трафика прекращается.

Если обнаружена проблема с транковым каналом, а причина неизвестна, начните устранение неполадок с проверки несовпадения транковых каналов для native VLAN. Если причина не в этом, проверьте несовпадения транкового режима, затем проверьте список разрешенных VLAN. На следующих двух страницах показано, как следует решать распространенные проблемы в транковых каналах.

Неверный режим порта

Транковые каналы обычно настраиваются статически с помощью команды switchport mode trunk. Для согласования состояния канала транковые порты коммутатора Cisco Catalyst используют протокол DTP. Когда порт в транковом канале настроен в режиме транка, который несовместим с режимом транкового порта на другой стороне, создание транкового канала между двумя коммутаторами невозможно.

В сценарии, проиллюстрированном на рис. 1, компьютер PC4 не может подключиться к внутреннему веб-серверу. В топологии указана правильная конфигурация. В чем заключается проблема?

Проверьте состояние транковых портов на коммутаторе S1 с помощью команды show interfaces trunk. Выходные данные на рис. 2 показывают, что интерфейс Fa0/3 коммутатора S1 в настоящее время находится вне транкового канала. При проверке интерфейса F0/3 выясняется, что коммутационный порт статически настроен в магистральном режиме. Проверка транков на коммутаторе S3 выявляет, что активные транковые порты отсутствуют. Дальнейшая проверка показывает, что интерфейс Fa0/3 находится в режиме статического доступа. Это связано с тем, что порт был настроен с помощью команды switchport mode access. Это объясняет, почему транковый канал не работает.

Чтобы решить данную проблему, перенастройте магистральный режим порта F0/3 на коммутаторе S3, как показано на рис. 3. После изменения конфигурации данные, выводимые командой show interfaces, указывают, что теперь коммутационный порт S3 находится в магистральном режиме. Данные вывода на компьютере PC4 показывают, что его подключение к веб/TFTP-серверу по IPv4-адресу 172.17.10.30 было восстановлено.

Неверный список виртуальной локальной сети

Для успешной передачи трафика из сети VLAN по транку эта VLAN должна быть разрешена на транковом канале. Для этого используйте команду switchport trunk allowed vlan vlan-id.

На рис. 1 сеть VLAN 20 (для учащихся) и компьютер PC5 были добавлены в сеть. Документация была обновлена, чтобы показать, что на транке разрешены сети VLAN 10, 20 и 99. В этом сценарии компьютер PC5 не может подключиться к серверу электронной почты для учащихся.

Проверьте транковые порты на коммутаторе S1 с помощью команды show interfaces trunk, как показано на рис. 2. Команда show interfaces trunk — это превосходный инструмент для выявления распространенных проблем в транковых каналах. Эта команда указывает, что интерфейс F0/3 на коммутаторе S3 был правильно настроен для разрешения сетей VLAN 10, 20 и 99. Проверка интерфейса F0/3 на коммутаторе S1 выявляет, что интерфейсы F0/1 и F0/3 разрешают только сети VLAN 10 и 99. Кто-то обновил документацию, но забыл перенастроить порты на коммутаторе S1.

Перенастройте порты F0/1 и F0/3 на коммутаторе S1 с помощью команды switchport trunk allowed vlan 10,20,99, как показано на рис. 3. Выходные данные показывают, что сети VLAN 10, 20 и 99 теперь добавлены к портам F0/1 и F0/3 коммутатора S1. Подключение компьютера PC5 к серверу электронной почты student по IPv4-адресу 172.17.20.10 было восстановлено.

маршрутизация между VLAN

Что такое маршрутизация между VLAN?

Сети VLAN используются для сегментации коммутируемых сетей.

Коммутаторы 2-го уровня, например Catalyst 2960, можно настроить для работы с более чем 4 тысячами сетей VLAN.

Сеть VLAN — это домен широковещательной рассылки, поэтому компьютеры в разных сетях VLAN не могут обмениваться данными без помощи устройства маршрутизации.

Возможности протоколов IPv4 и IPv6 на коммутаторах 2-го уровня весьма ограничены, т. е. эти устройства не могут выполнять функцию динамической маршрутизации. Хотя коммутаторы 2-го уровня обладают расширенными функциями IP, например возможностью выполнять статическую маршрутизацию, этого недостаточно для обслуживания столь большого числа сетей VLAN.

Любое устройство, поддерживающее маршрутизацию 3-го уровня, например маршрутизатор или многоуровневый коммутатор, можно использовать для выполнения основных функций маршрутизации. Независимо от используемого устройства, процесс пересылки сетевого трафика из одной VLAN в другую с использованием маршрутизации называют маршрутизацией между VLAN.

Существуют три варианта маршрутизации между VLAN.

Устаревший метод маршрутизации между VLAN.
Конфигурация ROS (Router-on-a-stick)
Коммутация 3-го уровня с использованием SVI.

Примечание. В этой главе рассматриваются первые два варианта. Коммутация 3-го уровня с использованием SVI не рассматривается в рамках данного курса.

1. Устаревшие методы маршрутизации между VLAN

Исторически первым решением для маршрутизации между VLAN стало использование маршрутизаторов с несколькими физическими интерфейсами. Каждый интерфейс должен был быть подключен к отдельной сети и настроен с определенной подсетью.

При таком устаревшем подходе маршрутизация между VLAN выполняется путем подключения различных физических интерфейсов маршрутизатора к разным физическим портам коммутатора. Порты коммутатора, подключенные к маршрутизатору, переводятся в режим доступа, а каждый физический интерфейс назначается отдельной VLAN. Каждый интерфейс маршрутизатора может принимать трафик из VLAN, связанной с интерфейсом коммутатора, к которому она подключена, и трафик можно направлять в другие VLAN, подключенные к другим интерфейсам.

В этом примере для взаимодействия с разными VLAN и выполнения маршрутизации на маршрутизаторе были настроены два отдельных физических интерфейса.

Примечание. Этот метод маршрутизации между VLAN не является эффективным и теперь реже реализуется в коммутируемых сетях. В данном курсе пример приведен в образовательных целях.

Маршрутизация между сетями VLAN с использованием метода router-on-a-stick

В отличие от традиционного метода маршрутизации между VLAN, который задействует несколько физических интерфейсов на маршрутизаторе и коммутаторе, более распространенный и современный метод маршрутизации между VLAN этого не требует. Вместо этого на некоторых маршрутизаторах ПО позволяет настраивать интерфейс маршрутизатора в качестве транка. Это означает, что для маршрутизации пакетов между несколькими VLAN на маршрутизаторе и коммутаторе требуется только один физический интерфейс.

Метод Router-on-a-Stick — это такой тип конфигурации маршрутизатора, при котором один физический интерфейс маршрутизирует трафик между несколькими VLAN. Как видно на рисунке, маршрутизатор подключен к коммутатору S1 с помощью одного физического сетевого подключения (транка).

Интерфейс маршрутизатора настраивается для работы в качестве транкового канала и подключается к порту коммутатора, который настроен в режиме транка. Маршрутизатор выполняет маршрутизацию между VLAN, принимая на магистральном интерфейсе трафик с тегом VLAN, поступающий от смежного коммутатора, и затем с помощью подчиненных интерфейсов перенаправляя его между VLAN. Затем уже смаршрутизированный трафик посылается с этого же физического интерфейса с меткой VLAN, соответствующей VLAN назначения.

Подынтерфейсы — это программные виртуальные интерфейсы, связанные с одним физическим интерфейсом. Подынтерфейсы настраиваются в программном обеспечении маршрутизатора, и каждому подынтерфейсу назначаются IP-адрес и VLAN. Для облегчения логической маршрутизации подынтерфейсы настраиваются для различных подсетей, соответствующих назначенным им VLAN. После принятия решения о маршрутизации на основе сети назначения VLAN кадрам данных присваиваются метки VLAN, после чего они отправляются обратно на физический интерфейс.

Нажмите кнопку «Воспроизведение» на рисунке, чтобы просмотреть анимацию, демонстрирующую маршрутизацию методом Router-on-a-Stick.

Как видно из анимации:

1. Компьютер PC1 в сети VLAN 10 обменивается данными с компьютером PC3 в сети VLAN 30 через маршрутизатор R1, используя один физический интерфейс маршрутизатора.

2. Компьютер PC1 отправляет одноадресный трафик на коммутатор S2.

3. Затем коммутатор S2 маркирует этот трафик как полученный из сети VLAN 10 и пересылает его через транк на коммутатор S1.

4. Коммутатор S1 пересылает помеченный трафик с транка на порту F0/3 на интерфейс маршрутизатора R1.

5. Маршрутизатор R1 принимает помеченный одноадресный трафик в сети VLAN 10 и направляет его в сеть VLAN 30 с помощью своих настроенных подынтерфейсов.

6. Одноадресному трафику присваивается метка VLAN 30 при отправке с интерфейса маршрутизатора на коммутатор S1.

7. Коммутатор S1 пересылает помеченный одноадресный трафик через транк на коммутатор S2.

8. Коммутатор S2 удаляет из одноадресного кадра метку сети VLAN и пересылает кадр на порт F0/23 компьютера PC3.

Примечание. Маршрутизация между VLAN с использованием метода router-on-a-stick не масштабируется при работе более 50 сетей VLAN.

Настройка маршрутизации между VLAN с использованием устаревшего метода: подготовка

Для реализации устаревшего метода маршрутизации между VLAN маршрутизаторы должны иметь несколько физических интерфейсов. Для маршрутизации каждый физический интерфейс маршрутизатора должен быть подключен к отдельной VLAN. Кроме того, на каждом интерфейсе настраивается IPv4-адрес из той подсети, которая соответствует подключенной к нему VLAN. Благодаря настройке IPv4-адресов на физических интерфейсах сетевые устройства, подключенные к каждой из VLAN, могут обмениваться данными с маршрутизатором с помощью физического интерфейса, подключенного к той же VLAN. В этой конфигурации сетевые устройства могут использовать маршрутизатор в качестве шлюза для доступа к устройствам, подключенным к другим VLAN.

В процессе отправки сообщения устройство-источник должно определить, находится ли адресат в локальной или же в удаленной сети. Для этого устройство сравнивает IPv4-адреса источника и назначения, применяя к ним маску подсети. Установив, что IPv4-адрес назначения находится в удаленной сети, устройство-источник должно определить, куда оно должно переслать пакет, чтобы он достиг устройства назначения. Устройство-источник проверяет локальную таблицу маршрутизации, чтобы определить, куда следует отправить данные. Устройства используют свой шлюз по умолчанию в качестве адреса назначения на втором уровне для всего трафика, который должен покинуть локальную подсеть. Шлюз по умолчанию — это маршрут, который устройство использует, когда у него нет явно определенного маршрута до сети назначения. IPv4-адрес интерфейса маршрутизатора в локальной подсети работает в качестве шлюза по умолчанию для устройства-отправителя.

После того как устройство-источник определило, что пакет должен пройти через локальный интерфейс маршрутизатора в подключенной сети VLAN, оно отправляет ARP-запрос, чтобы определить МАС-адрес интерфейса локального маршрутизатора. После отправки маршрутизатором ARP-ответа устройству-источнику оно может использовать МАС-адрес маршрутизатора для формирования кадра перед его отправкой в сеть.

Поскольку в Ethernet-кадре в качестве MAC-адреса назначения указан адрес интерфейса маршрутизатора, коммутатор точно знает, на какой порт нужно отправить трафик, чтобы он достиг интерфейса маршрутизатора в данной VLAN. Когда маршрутизатор получает кадр, он удаляет МАС-адреса источника и устройства назначения, чтобы проверить IPv4-адрес назначения пакета. Маршрутизатор сравнивает адрес назначения с записями в своей таблице маршрутизации, чтобы определить, куда ему следует переслать данные, чтобы они достигли своего пункта назначения. Если маршрутизатор определяет, что сеть назначения является локально подключенной сетью, как в случае с маршрутизацией между VLAN, то маршрутизатор отправляет ARP-запрос с того интерфейса, который физически подключен к VLAN назначения. В ответ устройство назначения отправляет маршрутизатору свой МАС-адрес, который маршрутизатор впоследствии использует для формирования кадра. Затем маршрутизатор отправляет одноадресный трафик на коммутатор, который пересылает его на тот порт, к которому подключено устройство назначения.

Нажмите кнопку «Воспроизведение» на рисунке, чтобы просмотреть выполнение маршрутизации между VLAN по устаревшему методу.

Несмотря на то что маршрутизация между VLAN происходит за несколько шагов, на самом деле обмен данными между двумя устройствами из разных VLAN через маршрутизатор занимает долю секунды.

Настройка коммутатора при использовании устаревшего метода маршрутизации между VLAN

Настройку при использовании устаревшего метода маршрутизации между VLAN следует начинать с настройки коммутатора.

Как показано на рисунке, маршрутизатор R1 подключен к портам коммутатора F0/4 и F0/5, которые настроены для VLAN 10 и 30 соответственно.

Для создания сетей VLAN используйте команду режима глобальной настройки vlan vlan_id. В этом примере сети VLAN 10 и 30 были созданы на коммутаторе S1.

После создания сетей VLAN порты коммутатора назначаются соответствующим VLAN. Команда switchport access vlan vlan_id выполняется для каждого интерфейса, к которому подключается маршрутизатор, из режима интерфейсной настройки на коммутаторе.

В этом примере интерфейсы F0/4 и F0/11 были назначены сети VLAN 10 с помощью команды switchport access vlan 10. Таким же образом интерфейсы F0/5 и F0/6 на коммутаторе S1 были назначены сети VLAN 30.

Наконец, чтобы конфигурация не была потеряна после перезагрузки коммутатора, выполняется команда copy running-config startup-config. После этого текущая конфигурация сохраняется в загрузочную конфигурацию.

Настройка интерфейса маршрутизатора при использовании устаревшего метода маршрутизации между VLAN

Теперь маршрутизатор можно настроить для выполнения маршрутизации между VLAN.

Интерфейсы маршрутизатора настраиваются аналогично тому, как интерфейсы VLAN настраиваются на коммутаторах. Чтобы настроить конкретный интерфейс, из режима глобальной конфигурации перейдите в режим конфигурации интерфейса.

Как показано на рис. 1, для каждого интерфейса настроен IPv4-адрес с помощью команды ip address IP-адрес маска_подсети в режиме интерфейсной настройки.

В данном примере интерфейс G0/0 настроен с IPv4-адресом 172.17.10.1 и маской подсети 255.255.255.0 при помощи команды ip address 172.17.10.1 255.255.255.0.

Интерфейсы маршрутизатора отключены по умолчанию и перед использованием должны быть включены с помощью команды no shutdown. После выполнения команды no shutdownпоявляется уведомление о том, что состояние интерфейса изменилось на up. Это указывает на то, что интерфейс включен.

Процедуру включения следует повторить для всех интерфейсов маршрутизатора. Для осуществления маршрутизации каждый интерфейс маршрутизатора должен быть в своей подсети. В этом примере другой интерфейс маршрутизатора, G0/1, был настроен для использования IPv4-адреса 172.17.30.1, который находится в другой подсети, нежели интерфейс G0/0.

После назначения IPv4-адресов физическим интерфейсам и активации интерфейсов маршрутизатор готов для выполнения маршрутизации между VLAN.

Проверьте таблицу маршрутизации, пользуясь командой show ip route.

На рис. 2 в таблице маршрутизации отображены два маршрута. Один маршрут ведет к подсети 172.17.10.0, которая подключена к локальному интерфейсу G0/0. Другой маршрут ведет к подсети 172.17.30.0, которая подключена к локальному интерфейсу G0/1. Маршрутизатор использует эту таблицу маршрутизации, чтобы определить, куда отправлять получаемый трафик. Например, если маршрутизатор получает на интерфейсе G0/0 пакет, который предназначен для узла из подсети 172.17.30.0, маршрутизатор определит, что для достижения узлов в подсети 172.17.30.0 ему нужно отправить пакет из интерфейса G0/1.

Обратите внимание на букву С слева от каждой из записей маршрутов для сетей VLAN. Данная буква указывает, что данный маршрут является локальным маршрутом для подключенного интерфейса, что также указано в записи маршрута.

Настройка конфигурации router-on-a-stick: подготовка

Устаревший метод маршрутизации между VLAN, использующий физические интерфейсы, имеет большие ограничения. Маршрутизаторы оснащены ограниченным количеством физических интерфейсов для подключения к разным VLAN. По мере возрастания количества VLAN в сети, требующих по одному физическому интерфейсу на каждую VLAN, количество свободных интерфейсов маршрутизатора быстро уменьшается. Именно поэтому в больших сетях часто используются транковые каналы и подынтерфейсы. Создание транка позволяет одному физическому интерфейсу маршрутизировать трафик между несколькими VLAN. Подобный метод маршрутизации называется router-on-a-stick. Его суть заключается в использовании виртуальных подынтерфейсов для преодоления ограничений в количестве интерфейсов маршрутизатора.

Подынтерфейсы — это программные виртуальные интерфейсы, назначаемые физическим интерфейсам. Каждому подчиненному интерфейсу отдельно назначаются IP-адрес и длина префикса. Это позволяет одному физическому интерфейсу работать одновременно в нескольких логических сетях.

Примечание. Термин «длина префикса» может использоваться для обозначения маски подсети IPv4 в связке с IPv4-адресом и длины префикса IPv6 в связке с IPv6-адресом.

При настройке маршрутизации между VLAN с использованием метода router-on-a-stick физический интерфейс маршрутизатора должен быть подключен к транковому каналу смежного коммутатора. На маршрутизаторе подынтерфейсы создаются для каждой отдельной сети VLAN. Каждому подынтерфейсу назначается IP-адрес в соответствии с его подсетью или сетью VLAN. Кроме того, на подынтерфейсах настраивается, метку какой сети VLAN они будут присваивать кадрам. Таким образом, маршрутизатор может отделять трафик из каждого подчиненного интерфейса по мере его прохождения по магистральному каналу обратно на коммутатор.

С функциональной точки зрения, метод router-on-a-stick мало чем отличается от работы маршрутизации между VLAN по устаревшему методу. Отличие заключается в том, что при использовании метода router-on-a-stick вместо физических интерфейсов используются подынтерфейсы одного физического интерфейса.

На рисунке компьютер PC1 планирует обмен данными с компьютером PC3. PC1 находится в сети VLAN 10, а PC3 — в сети VLAN 30. Для обмена данными между PC1 и PC3 данные компьютера PC1 должны быть направлены через маршрутизатор R1 с помощью подынтерфейсов.

Нажмите кнопку «Воспроизведение» на рисунке, чтобы увидеть, каким образом подчиненные интерфейсы используются для маршрутизации между VLAN. Когда анимация остановится, прочитайте текст, расположенный слева от схемы топологии. Затем продолжите просмотр анимации, снова нажав «Воспроизведение».

Использование транковых каналов и подынтерфейсов снижает количество используемых портов маршрутизаторов и коммутаторов. Это позволяет не только сэкономить финансовые средства, но и упростить процесс настройки. В результате возможности подынтерфейсов маршрутизатора позволяют использовать гораздо большее количество сетей VLAN, чем при конфигурации с одним физическим интерфейсом на каждую VLAN.

Маршрутизация с методом Router-on-a-Stick: настройка коммутатора

Для того чтобы включить маршрутизацию между VLAN с использованием метода router-on-a-stick, необходимо активировать транковую связь на порте коммутатора, подключенном к маршрутизатору.

На этом рисунке маршрутизатор R1 подключен к коммутатору S1 через транковый порт F0/5. На коммутаторе S1 добавляются VLAN 10 и 30.

Поскольку порт коммутатора F0/5 настроен в качестве транкового порта, он не требует назначения какой-либо сети VLAN. Чтобы настроить коммутационный порт F0/5 в качестве магистрального, выполните команду switchport mode trunk в режиме интерфейсной настройки для порта F0/5.

Теперь маршрутизатор можно настроить для выполнения маршрутизации между VLAN.

Метод router-on-a-stick: настройка подынтерфейса маршрутизатора

Процедуры настройки маршрутизатора при использовании метода Router-on-a-Stick и устаревшего метода маршрутизации между VLAN различаются. На рисунке показано, что настраивается несколько подынтерфейсов.

Каждый подчиненный интерфейс создается с помощью команды режима глобальной настройки interfaceидентификатор_интерфейса идентификатор_подчиненного_интерфейса. Синтаксис для подчиненных интерфейсов следующий: сначала указывается физический интерфейс, в данном случае g0/0, затем точка и номер подчиненного интерфейса. Как показано на рисунке, подчиненный интерфейс GigabitEthernet0/0.10 создается с помощью команды режима глобальной настройки interface g0/0.10. Номер подчиненного интерфейса обычно задается в соответствии с номером VLAN.

Перед назначением подчиненному интерфейсу IP-адреса этот интерфейс необходимо настроить для работы в конкретной сети VLAN с помощью команды encapsulation dot1q vlan_id. В данном примере подынтерфейс G0/0.10 назначен сети VLAN 10.

Примечание. К этой команде можно добавить ключевое слово nativeдля настройки сети VLAN с нетегированным трафиком стандарта IEEE 802.1Q. В данном примере ключевое словоnativeне использовалось, чтобы в качестве VLAN с нетегированным трафиком по умолчанию сохранилась VLAN 1.

Далее назначьте IPv4-адрес для подчиненного интерфейса с помощью команды режима настройки интерфейса ip address IP-адрес маска_подсети. В данном примере подчиненному интерфейсу G0/0.10 назначается IPv4-адрес 172.17.10.1 при помощи команды ip address 172.17.10.1 255.255.255.0

Процедуру следует повторить для всех подынтерфейсов маршрутизатора, необходимых для маршрутизации между сетями VLAN, настроенными в сети. Для осуществления маршрутизации каждому подынтерфейсу маршрутизатора необходимо назначить IP-адрес в своей подсети. Например, другой подчиненный интерфейс маршрутизатора, G0/0.30, настроен для использования IPv4-адреса 172.17.30.1, который находится в другой подсети, нежели подчиненный интерфейс G0/0.10.

После включения физического интерфейса настроенные подчиненные интерфейсы будут автоматически включены. Подчиненные интерфейсы не обязательно включать с помощью команды no shutdown на уровне режима конфигурации подчиненного интерфейса ПО Cisco IOS.

Если отключить физический интерфейс, то все подчиненные интерфейсы также отключаются. В данном примере команда no shutdown вводится в режиме интерфейсной настройки для интерфейса G0/0, в результате чего включаются все настроенные подчиненные интерфейсы.

Администратор может отключить отдельные подчиненные интерфейсы с помощью команды shutdown. Кроме того, подчиненные интерфейсы можно включить по отдельности с помощью команды no shutdown в режиме конфигурации подчиненного интерфейса.

Метод router-on-a-stick: проверка подынтерфейсов

По умолчанию маршрутизаторы Cisco настроены для маршрутизации трафика между локальными подынтерфейсами. В связи с этим функцию маршрутизации не нужно активировать индивидуально.

На рис. 1 команда show vlan служит для вывода информации о подчиненных интерфейсах VLAN в Cisco IOS. В выходных данных ниже отображается информация о двух подынтерфейсах с VLAN: GigabitEthernet0/0.10 и GigabitEthernet0/0.30.

Проверьте таблицу маршрутизации, пользуясь командой show ip route (рис. 2). Указанные в таблице маршруты связаны с определенными подынтерфейсами, а не отдельными физическими интерфейсами. Таблица маршрутизации содержит два маршрута. Один маршрут ведет к подсети 172.17.10.0, которая подключена к локальному подынтерфейсу G0/0.10. Другой маршрут ведет к подсети 172.17.30.0, которая подключена к локальному подынтерфейсу G0/0.30. Маршрутизатор использует эту таблицу маршрутизации, чтобы определить, куда отправлять получаемый трафик. Например, если на подынтерфейсе G0/0.10 маршрутизатор получил пакет, предназначенный для подсети 172.17.30.0, маршрутизатор определит, что для достижения узлов в сети 172.17.30.0 ему нужно отправить пакет из подынтерфейса G0/0.30.

Для настройки и проверки конфигурации Router-on-a-Stick на маршрутизаторе R1 используйте инструмент проверки синтаксиса (см. рис. 3).

Настройте коммутатор R1 следующим образом:

Создайте подынтерфейс .10 на интерфейсе g0/0
Настройте инкапсуляцию для VLAN 10
Назначьте подынтерфейсу IP-адрес 172.17.10.1/24

R1(config)# interface g0/0.10

R1(config-subif)# encapsulation dot1q 10

R1(config-subif)# ip address 172.17.10.1 255.255.255.0

Создайте подынтерфейс .30 на интерфейсе g0/0
Настройте инкапсуляцию для VLAN 30
Назначьте подынтерфейсу IP-адрес 172.17.30.1/24
Активируйте физический интерфейс
Вернитесь в привилегированный режим.

R1(config-subif)# interface g0/0.30

R1(config-subif)# encapsulation dot1q 30

R1(config-subif)# ip address 172.17.30.1 255.255.255.0

R1(config-subif)# interface g0/0

R1(config-if)# no shutdown

R1(config-if)# end

R1#

*Mar 20 06:32:03.777: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down

*Mar 20 06:32:04.217: %SYS-5-CONFIG_I: Configured from console by console

*Mar 20 06:32:06.929: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to up

*Mar 20 06:32:07.929: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up

Отобразите на маршрутизаторе R1 сведения о VLAN.

R1# show vlan

Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation)

vLAN Trunk Interface: GigabitEthernet0/0

This is configured as native Vlan for the following interface(s) :

GigabitEthernet0/0 Native-vlan Tx-type: Untagged

Protocols Configured: Address: Received: Transmitted:

Other 0 1

0 packets, 0 bytes input

1 packets, 18 bytes output

Virtual LAN ID: 10 (IEEE 802.1Q Encapsulation)

vLAN Trunk Interface: GigabitEthernet0/0.10

Protocols Configured: Address: Received: Transmitted:

IP 172.17.10.1 0 0

Other 0 1

0 packets, 0 bytes input

1 packets, 46 bytes output

Virtual LAN ID: 30 (IEEE 802.1Q Encapsulation)

vLAN Trunk Interface: GigabitEthernet0/0.30

Protocols Configured: Address: Received: Transmitted:

IP 172.17.30.1 0 0

Other 0 1

0 packets, 0 bytes input

1 packets, 46 bytes output

R1#

Отобразите таблицу маршрутизации на маршрутизаторе R1.

R1# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP

+ - replicated route, % - next hop override

Gateway of last resort is not set

172.17.0.0/16 is variably subnetted, 4 subnets, 2 masks

C 172.17.10.0/24 is directly connected, GigabitEthernet0/0.10

L 172.17.10.1/32 is directly connected, GigabitEthernet0/0.10

C 172.17.30.0/24 is directly connected, GigabitEthernet0/0.30

L 172.17.30.1/32 is directly connected, GigabitEthernet0/0.30

Вы успешно настроили маршрутизацию между VLAN с использованием конфигурации router-on-a-stick.

Метод router-on-a-stick: проверка маршрутизации

Следующий шаг после настройки маршрутизатора и коммутатора для маршрутизации между VLAN — проверка соединения между узлами. Возможность доступа к устройствам в удаленных VLAN можно проверить с помощью команды ping.

В примере на данном рисунке команды ping и tracert инициируются с компьютера PC1 по адресу назначения PC3.

Проверка эхо-запросов

Команда ping отправляет эхо-запрос ICMP по адресу назначения. Когда узел получает эхо-запрос ICMP, он отправляет эхо-ответ ICMP, чтобы подтвердить получение эхо-запроса ICMP. Команда ping вычисляет время, которое прошло между отправкой эхо-запроса и получением эхо-ответа. Полученное значение используется для определения задержки соединения. Успешное получение ответа подтверждает наличие пути между устройством-отправителем и принимающим устройством.

Проверка маршрута командой tracert

Команда tracert — это полезный инструмент для подтверждения существования пути между двумя устройствами. В системах UNIX подобный инструмент называется traceroute. Tracert также использует протокол ICMP для определения используемого пути, но при этом используются эхо-запросы ICMP со значениями предписанного времени жизни, определяемыми в кадре.

Значение времени жизни определяет точное количество переходов до маршрутизатора, которое может выполнить эхо-запрос ICMP. Первый эхо-запрос ICMP отправляется с таким значением времени жизни (TTL), чтобы оно закончилось на первом маршрутизаторе по пути к устройству назначения.

Когда время жизни ICMP эхо-запроса истекает, от маршрутизатора на устройство-источник отправляется ICMP-сообщение. Устройство записывает ответ от маршрутизатора и отправляет другой эхо-запрос ICMP, однако с увеличенным значением времени жизни. Это позволяет эхо-запросу ICMP пройти первый маршрутизатор и достичь второго устройства на пути до устройства назначения. Далее эта процедура повторяется рекурсивно, пока эхо-запрос ICMP не пройдет весь путь до устройства назначения. После выполнения команды tracert отображается список входящих интерфейсов маршрутизатора, которых эхо-запрос ICMP достиг по пути до места назначения.

В данном примере команда ping смогла отправить эхо-запрос ICMP на IP-адрес компьютера PC3. Кроме того, команда tracert подтверждает, что путь до компьютера PC3 проходит через IP-адрес подчиненного интерфейса 172.17.10.1 маршрутизатора R1.

Глава 6. Сети VLAN

В данной главе мы изучили основы сетей VLAN.

Сети VLAN основываются не на физических, а на логических подключениях.

Сети VLAN — это механизм, позволяющий сетевым администраторам создавать логические широковещательные домены, которые способны охватывать один или несколько коммутаторов независимо от физического расстояния. Эта функция полезна для уменьшения размера доменов широковещательной рассылки или для логического объединения групп или пользователей, которые не обязательно должны физически находиться в одном месте.

Существует несколько типов сетей VLAN.

Сеть VLAN по умолчанию
Управляющая VLAN
Native VLAN
Пользовательская/VLAN для данных
Голосовая VLAN

Команда switchport access vlan используется для создания сети VLAN на коммутаторе. Следующий шаг после создания сети VLAN — назначение портов сетям VLAN.

Команда show vlan brief показывает назначение VLAN и тип принадлежности для всех коммутационных портов.

Каждой VLAN должна соответствовать IP-подсеть.

Используйте команду show vlan, чтобы проверить, принадлежит ли порт ожидаемой VLAN. Если порт назначен неверной VLAN, используйте команду switchport access vlan для корректировки принадлежности VLAN.

Используйте команду show mac address-table для проверки адресов, полученных на определенном коммутационном порте, и VLAN, назначенной этому порту.

Порт коммутатора может работать портом доступа или транковым портом.

Порты доступа служат для передачи трафика от определенной VLAN, назначенной конкретному порту.

Транковый порт по умолчанию принадлежит всем VLAN. Таким образом, он передает трафик во все сети VLAN.

Транковые каналы VLAN упрощают взаимодействие между коммутаторами, передавая трафик, связанный с несколькими VLAN. Тегирование кадров IEEE 802.1Q позволяет различать кадры Ethernet, связанные с определенными VLAN по мере их прохождения по общим транковым каналам.

Чтобы включить магистральные каналы, используйте команду switchport mode trunk. Используйте команду show interfaces trunk для проверки установления магистрального канала между коммутаторами.

Согласование транкового канала выполняется протоколом динамического создания транкового канала (DTP), который действует только по принципу сквозного подключения между устройствами сети. Протокол DTP — это запатентованный протокол Cisco, который автоматически включен на коммутаторах Catalyst 2960 и Catalyst 3560.

Чтобы вернуть коммутатор к его заводским настройкам с одной сетью VLAN по умолчанию, используйте команды delete flash:vlan.dat и erase startup-config.

В этой главе также рассматриваются настройка, проверка и устранение неполадок сетей VLAN и магистральных каналов с помощью Cisco IOS CLI.

Маршрутизация между VLAN — это процесс маршрутизации трафика между сетями VLAN с использованием выделенного маршрутизатора или многоуровневого коммутатора. Маршрутизация между VLAN упрощает обмен данными между устройствами, изолированными границами VLAN.

Устаревший метод маршрутизации между VLAN обусловлен доступностью физического порта коммутатора для каждой настроенной VLAN.

Данный метод был заменен на топологию router-on-a-stick, которая полагается на внешний маршрутизатор с подынтерфейсами, подключенными через транковые каналы к коммутатору 2-го уровня. При использовании метода router-on-a-stick на каждом логическом подынтерфейсе необходимо настроить соответствующие IP-адреса и параметры VLAN. Необходимо настроить транк и инкапсуляцию на маршрутизаторе и на соответствующем порту коммутатора.

Создайте сеть VLAN 20 и присвойте ей имя Student. По завершении вернитесь непосредственно в привилегированный режим.

S1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

S1(config)# vlan 20

S1(config-vlan)# name Student

S1(config-vlan)# end

S1#

*Mar 31, 08:55:14.5555: %SYS-5-CONFIG_I: Configured from console by console

S1#

Отобразите краткие сведения о VLAN.

S1# show vlan brief

VLAN Name Status Ports

---- ------------------ --------- -----------------------------

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4

Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/10, Fa0/11, Fa0/12

Fa0/13, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/20

Fa0/21, Fa0/22, Fa0/23, Fa0/24

1 Gig0/1, Gig0/2

20 Student active

1002 fddi-default act/unsup

1003 token-ring-default act/unsup

1004 fddinet-default act/unsup

1005 trnet-default act/unsup

S1#

Вы успешно создали сеть VLAN 20 для учащихся.

Выполнять команду switchport mode access необязательно, но настоятельно рекомендуется в целях обеспечения безопасности. С помощью этой команды интерфейс переходит в режим постоянного доступа.

Команда switchport access vlan принудительно создает VLAN, если таковая еще не существует на коммутаторе. Например, сеть VLAN 30 отсутствует в данных, выводимых командой show vlan brief на коммутаторе.

Присваиваем диапазон портов vlan20

Switch(config)#interface range f0/16-20

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 20

Switch(config-if-range)#

Пропишем ip управляющему vlan

Switch(config)#interface vlan 99

Switch(config-if)#

%LINK-5-CHANGED: Interface Vlan99, changed state to up

Switch(config-if)#ip address 192.168.99.11 255.255.255.0

Switch(config-if)#no shutdown

Switch(config-if)#exit

Switch(config)#ip default-gateway 192.168.99.1

Switch(config)#exit

Настройка транковых каналов IEEE 802.1Q

Транк виртуальной сети — это канал OSI 2-го уровня между двумя коммутаторами, который передает трафик во все сети VLAN (если список допустимых сетей VLAN не ограничен вручную или динамически). Для того чтобы активировать транковые каналы, настройте порты на любом конце физического канала с помощью параллельных наборов команд.

Чтобы настроить коммутационный порт на одном конце магистрального канала, используйте команду switchport mode trunk. С помощью этой команды интерфейс переходит в постоянный транковый режим. На порте начинается согласование протокола DTP для преобразования канала в транковый, даже если интерфейс, подключенный к нему, не соглашается на подобное изменение. В данном курсе команда switchport mode trunk является единственным способом настройки магистрального канала.

Примечание. Настройка DTP не рассматривается в рамках данного курса.

На рис. 1 показан синтаксис команды Cisco IOS для определения сети native VLAN (кроме VLAN 1). В этом примере сеть VLAN 99 настроена в качестве VLAN с нетегированным трафиком при помощи команды switchport trunk native vlan 99.

Используйте команду Cisco IOS switchport trunk allowed vlan перечень VLAN для указания списка сетей VLAN, которым разрешен доступ в магистральный канал.

На рис. 2 сети VLAN 10, 20 и 30 поддерживают компьютеры для инструкторов, учащихся и гостевой компьютер (PC1, PC2 и PC3). Порт F0/1 на коммутаторе S1 настроен в качестве транкового порта и пересылает трафик для сетей VLAN 10, 20 и 30. Сеть VLAN 99 настроена в качестве native VLAN.

На рис. 3 показана конфигурация порта F0/1 на коммутаторе S1 в качестве транкового порта. Сеть VLAN с нетегированным трафиком изменена на VLAN 99, а список разрешенных сетей VLAN включает только сети 10, 20, 30 и 99.

Примечание. Эта конфигурация предполагает применение коммутаторов Cisco Catalyst 2960, которые автоматически используют инкапсуляцию 802.1Q для магистральных каналов. Другие коммутаторы могут потребовать ручной настройки инкапсуляции. Всегда настраивайте оба конца транкового канала с одной и той же сетью native VLAN. Если конфигурация транка 802.1Q на обоих концах различается, то ПО Cisco IOS сообщит об ошибке.

Сброс транкового канала до состояния по умолчанию

На рис. 1 показаны команды для удаления разрешенных сетей VLAN и сброса сети native VLAN транка. После сброса до состояния по умолчанию транк разрешает все VLAN и использует VLAN 1 в качестве native VLAN.

На рис. 2 показаны команды, используемые для сброса всех параметров транкового интерфейса до параметров по умолчанию. Команда show interfaces f0/1 switchportпоказывает, что для магистрального канала было восстановлено состояние по умолчанию.

На рис. 3 пример выходных данных показывает команды, используемые для удаления транковой функции из порта F0/1 из коммутатора S1. Команда show interfaces f0/1 switchport показывает, что теперь интерфейс f0/1 находится в режиме статического доступа.

Проверка конфигурации транкового канала

На рис. 1 показана конфигурация порта F0/1 на коммутаторе S1. Для проверки конфигурации используется команда show interfaces идентификатор_интерфейса switchport.

В верхней выделенной области показано, что административный режим порта F0/1 настроен на trunk. Порт находится в режиме транка. В следующей выделенной области видно, что сеть native VLAN — это VLAN 99. Далее в нижней выделенной области выходных данных показано, что все VLAN в транковом канале активны.

Используйте инструмент проверки синтаксиса на рис. 2, чтобы настроить сеть native VLAN 99 на транке с поддержкой всех VLAN на интерфейсе F0/1. Проверьте конфигурацию транкового порта с помощью команды show interfaces f0/1 switchport.

show interface trunk

Отсутствующие сети VLAN

show vlan

show mac address-table

show interfaces

show interfaces switchport

Шаг 1. Примените команду show vlan, чтобы убедиться, что порт принадлежит ожидаемой VLAN. Если порт назначен неверной VLAN, используйте команду switchport access vlan для корректировки принадлежности VLAN. Используйте команду show mac address-tableдля проверки адресов, полученных на определенном коммутационном порте, и VLAN, назначенных этому порту (см. рис. 2).

Перед удалением активной сети VLAN рекомендуется переназначить все текущие назначенные порты, входящие в эту сеть VLAN.Все порты, входящие в удаляемую сеть VLAN, станут непригодными для использования.

Refer to curriculum topic: 6.3.3

Администратор может использовать команду инкапсуляции, чтобы указать тип инкапсуляции (IEEE 802.1Q или ISL), идентификатор сети VLAN и при необходимости собственную сеть VLAN.

Google Sites

Report abuse