3S.2. Масштабирование сетей VLAN

В этой главе рассматриваются некоторые стратегии и протоколы, с помощью которых можно управлять сетями VLAN и магистралями.

Протокол VTP уменьшает объем работ по администрированию сетей VLAN в коммутируемой сети. Коммутатор, настроенный как VTP-сервер, распределяет и синхронизирует информацию VLAN по магистральным каналам с коммутаторами с поддержкой VTP в домене.

Три режима VTP: сервер, клиент, а также прозрачный режим.

Номер версии конфигурации используется при определении того, должен ли коммутатор VTP хранить или обновлять существующую базу данных VLAN. Коммутатор перезапишет существующую базу данных VLAN, если он получит обновление VTP от другого коммутатора в том же домене с более высоким номером версии конфигурации. Поэтому, когда коммутатор добавляется в домен VTP, на нем должна быть настроена конфигурация VTP по умолчанию или конфигурация с номером версии меньше, чем у сервера VTP.

Поиск и устранение неполадок VTP может также предусматривать работу с ошибками, обусловленными несовместимостью версий VTP и неправильной настройкой доменных имен или паролей.

Согласование магистрали управляется динамическим протоколом магистральных каналов (DTP), который действует по принципу подключения «точка-точка» между сетевыми устройствами. Протокол DTP — это запатентованный протокол Cisco, который автоматически включён на коммутаторах Catalyst 2960 и Catalyst 3560. При необходимости в магистральном канале рекомендуется задать режимы интерфейса trunk и nonegotiate. На каналах, в которых транкинг не планируется, DTP следует отключать.

При устранении неполадок DTP проблемы могут быть связаны с несоответствиями магистрального режима, разрешенными сетями VLAN на магистральном канале и несоответствиями VLAN с немаркированным трафиком.

Коммутация уровня 3 с использованием виртуальных интерфейсов коммутаторов (SVI) — это метод маршрутизации между сетями VLAN, который может быть настроен на коммутаторах Catalyst 2960. SVI с соответствующей IP-адресацией настроен для каждой VLAN и обеспечивает обработку пакетов уровня 3 по направлению к портам коммутатора, связанным с этой VLAN, или из них.

Другой способ маршрутизации уровня 3 между VLAN использует маршрутизируемые порты. Маршрутизируемый порт является физическим портом, работающим аналогично интерфейсу маршрутизатора. Как правило, маршрутизируемые порты устанавливаются между коммутаторами на уровнях ядра и распределения.

Для поиска и устранения неполадок маршрутизации между VLAN на маршрутизаторе и коммутаторе 3-го уровня используются аналогичные процедуры. Распространенные ошибки включают в себя настройки VLAN, транкового канала, интерфейса 3-го уровня и конфигурации IP-адресов.

По мере увеличения числа коммутаторов в сетях предприятий малого и среднего бизнеса администрирование сетей VLAN и транков в сети усложняется.

Протокол VTP уменьшает трудоемкость администрирования в коммутируемой сети. Коммутатор в режиме сервера VTP может управлять операциями добавления, удаления и переименования сетей VLAN во всем домене. Например, при добавлении новой сети VLAN на сервере VTP сведения о VLAN распространяются по всем коммутаторам в домене. Благодаря этому не нужно настраивать новую сеть VLAN на каждом из коммутаторов. VTP — это собственный протокол Cisco, доступный на большинстве продуктов серии Cisco Catalyst.

Использование сетей VLAN для сегментации коммутируемой сети улучшает ее производительность, облегчает управление и повышает информационную безопасность.

Транковые каналы служат для обмена информацией между устройствами из разных сетей VLAN.

Динамический протокол транкинга (DTP) позволяет портам на коммутаторах автоматически согласовывать между собой транкинг.

Поскольку сети VLAN сегментируют сеть, причем каждая из них находится в собственной сети или подсети, для обеспечения передачи трафика из одних сетей VLAN в другие необходима коммутация уровня 3.

В этой главе рассматривается реализация маршрутизации между сетями VLAN с использованием коммутатора уровня 3.

В ней также рассматриваются проблемы и сложности, которые могут возникать при реализации протоколов VTP, DTP и маршрутизации между сетями VLAN.

Режимы VTP

Коммутатор можно настроить на работу в одном из трех режимов VTP, как показано на рис. 1.

Сервер VTP

Объявляет информацию о VLAN домена VTP для других коммутаторов с поддержкой VTP, расположенных в том же домене VTP
Сохраняет информацию сетей VLAN для всего домена в энергонезависимом ОЗУ (NVRAM)
Создает, удаляет или переименует сети VLAN в домене
Режим VTP по умолчанию

Клиент VTP

Не может создавать, изменять или удалять сети VLAN
Сохраняет информацию сетей VLAN для всего домена в ОЗУ
Должен быть настроен как клиент VTP

Прозрачный режим VTP

Не участвует в работе VTP, лишь пересылает объявления VTP клиентам и серверам VTP.
Сети VLAN, созданные, переименованные или удаленные на коммутаторах в прозрачном режиме, будут локальными только для этих коммутаторов.
Должен быть настроен как прозрачный VTP.

Рис. 2 содержит сводку по работе трех режимов VTP.

Примечание. Коммутатор, работающий в режиме сервера или клиента с более высоким номером версии конфигурации, чем у существующего сервера VTP, обновляет все данные сетей VLAN в домене VTP. Номера ревизии конфигурации рассматриваются далее в этой главе. Cisco рекомендует развертывать протокол VTP в прозрачном режиме, который предоставляет для сетей VLAN более простые средства мониторинга, управления и обеспечения безопасности.

vtp mode server

vtp domain domain-name

vtp password

show vtp status

show vtp password

Диапазоны VLAN на коммутаторах Catalyst

Различные коммутаторы Cisco Catalyst поддерживают разное количество сетей VLAN. Количество поддерживаемых сетей VLAN достаточно велико для удовлетворения потребностей большинства организаций. Например, коммутаторы Catalyst 2960 и 3560 способны поддерживать более 4 тысяч сетей VLAN. Виртуальные локальные сети стандартного диапазона на этих коммутаторах имеют идентификатор от 1 до 1 005, а сети VLAN расширенного диапазона — от 1 006 до 4 094. На рис. 1 показаны доступные сети VLAN на коммутаторе Catalyst 2960, работающем под управлением Cisco IOS версии 15.x. На рис. 2 показаны характеристики сетей VLAN стандартного и расширенного диапазона.

Виртуальные локальные сети стандартного диапазона

Используются в малых и средних сетях предприятий и организаций.
Определяются идентификатором VLAN от 1 до 1005.
Идентификаторы от 1002 до 1005 зарезервированы для сетей VLAN Token Ring и FDDI.
Идентификаторы 1 и идентификаторы от 1002 до 1005 создаются автоматически и не могут быть удалены.
Конфигурации хранятся в файле базы данных VLAN под именем vlan.dat. Файл vlan.dat расположен во флеш-памяти коммутатора.
Протокол VTP (транковый протокол VLAN), помогающий управлять конфигурациями VLAN между коммутаторами, может распознавать и хранить только сети VLAN стандартного диапазона.

Сети VLAN расширенного диапазона

Позволяют операторам связи расширять свою инфраструктуру для большого числа клиентов. Некоторым крупным международным корпорациям нужны идентификаторы VLAN расширенного диапазона.
Определяются идентификатором VLAN от 1006 до 4094.
Конфигурации сетей не записываются в файл vlan.dat.
Поддерживают меньше функций VLAN, чем сети VLAN стандартного диапазона.
По умолчанию сохраняются в файл текущей конфигурации.
Протокол VTP не распознаёт сети VLAN расширенного диапазона.

Примечание. 4096 — это максимальное количество VLAN, доступных на коммутаторах Catalyst, поскольку в поле идентификатора VLAN заголовка IEEE 802.1Q насчитывается 12 бит.

Знакомство с DTP

Магистральные интерфейсы Ethernet поддерживают различные режимы магистралей. Интерфейс может быть переведен в магистральный режим или режим без магистрали, либо настроен для согласования такого режима с соседним интерфейсом. Согласование транкового канала выполняется протоколом динамического создания транкового канала (DTP), который действует только по принципу сквозного подключения между устройствами сети.

Протокол DTP — это запатентованный протокол Cisco, который автоматически включён на коммутаторах Catalyst 2960 и Catalyst 3560. Коммутаторы других производителей не поддерживают DTP. DTP управляет транковым согласованием только в случае, если порт соседнего коммутатора настроен в режиме транка, который поддерживает DTP.

Интерфейсы Ethernet на коммутаторах Catalyst 2960 и Catalyst 3560 поддерживают различные транковые режимы с помощью протокола DTP:

switchport mode access — переводит интерфейс (порт доступа) в постоянный режим без магистрали и согласует преобразование канала связи в канал без магистрали. Интерфейс становится нетранковым вне зависимости от того, является ли соседний интерфейс транковым или нет.
switchport mode dynamic auto — позволяет интерфейсу преобразовывать канал связи в магистральный канал. Интерфейс становится транковым, если соседний интерфейс переведён в транковый или рекомендуемый режим. Режим порта коммутатора по умолчанию для всех интерфейсов Ethernet — динамический автоматический.
switchport mode dynamic desirable — в этом режиме интерфейс активно пытается преобразовать канал связи в магистральный канал. Интерфейс становится магистральным, если соседний интерфейс переведен в магистральный (trunk), предпочтительный (desirable) или динамический автоматический (dynamic auto) режим. Данный режим коммутатора порта используется по умолчанию на старых коммутаторах, например на коммутаторах Catalyst 3550 и 2950.
switchport mode trunk — переводит интерфейс в постоянный режим транкинга и согласует преобразование канала связи в магистральный канал. Интерфейс становится магистральным, даже если соседний интерфейс не является таковым.
switchport nonegotiate — не позволяет интерфейсу создавать кадры DTP. Эту команду можно использовать только в том случае, если режим порта коммутатора интерфейса находится в режиме access или trunk. Чтобы установить транковый канал, необходимо вручную настроить соседний интерфейс в качестве транкового интерфейса.

На рис. 1 показаны результаты параметров конфигурации DTP на противоположных концах транкового канала, подключённого к портам коммутатора Catalyst 2960.

При возможности настраивайте транковые каналы статически. Режим DTP по умолчанию зависит от версии ПО Cisco IOS и от платформы. Чтобы определить текущий режим DTP, введите команду show dtp interface, как показано на рис. 2.

Используйте инструмент проверки синтаксиса на рис. 3, чтобы определить режим DTP на интерфейсе F0/1.

Примечание. В случае если необходим транковый канал, рекомендуется настроить интерфейс на trunk и nonegotiate. На каналах, в которых транковая связь не предусмотрена, DTP следует отключить.

Согласованные режимы интерфейса

switchport mode access — переводит интерфейс (порт доступа) в постоянный режим без магистрали и согласует преобразование канала связи в канал без магистрали. Интерфейс становится нетранковым вне зависимости от того, является ли соседний интерфейс транковым или нет.
switchport mode dynamic auto — позволяет интерфейсу преобразовывать канал связи в магистральный канал. Интерфейс становится транковым, если соседний интерфейс переведён в транковый или рекомендуемый режим. Режим порта коммутатора по умолчанию для всех интерфейсов Ethernet — динамический автоматический.
switchport mode dynamic desirable — в этом режиме интерфейс активно пытается преобразовать канал связи в магистральный канал. Интерфейс становится магистральным, если соседний интерфейс переведен в магистральный (trunk), предпочтительный (desirable) или динамический автоматический (dynamic auto) режим. Данный режим коммутатора порта используется по умолчанию на старых коммутаторах, например на коммутаторах Catalyst 3550 и 2950.
switchport mode trunk — переводит интерфейс в постоянный режим транкинга и согласует преобразование канала связи в магистральный канал. Интерфейс становится магистральным, даже если соседний интерфейс не является таковым.
switchport nonegotiate — не позволяет интерфейсу создавать кадры DTP. Эту команду можно использовать только в том случае, если режим порта коммутатора интерфейса находится в режиме access или trunk. Чтобы установить транковый канал, необходимо вручную настроить соседний интерфейс в качестве транкового интерфейса.

show dtp interface

Введение в основы коммутации 3-го уровня

Маршрутизацию между сетями VLAN с использованием метода router-on-a-stick было просто реализовать, поскольку обычно маршрутизаторы имеются в каждой из сетей. Однако, как показано на рисунке, в большинстве современных корпоративных сетей используются многоуровневые коммутаторы, обеспечивающие высокие скорости обработки пакетов благодаря использованию аппаратной коммутации. Как правило, полоса пропускания коммутаторов 3-го уровня позволяет передавать миллионы пакетов в секунду (pps), в то время как стандартные маршрутизаторы поддерживают скорость коммутации от 100 тысяч до 1 миллиона пакетов в секунду.

Все многоуровневые коммутаторы Catalyst поддерживают следующие типы интерфейсов 3-го уровня:

Маршрутизируемый порт — простой интерфейс 3-го уровня, аналогичный физическому интерфейсу на маршрутизаторе Cisco IOS.
Виртуальный интерфейс коммутатора (SVI) — виртуальный интерфейс сети VLAN для маршрутизации между VLAN. Другими словами, интерфейсы SVI — это виртуально маршрутизируемые интерфейсы VLAN.

Высокопроизводительные коммутаторы, например Catalyst 6500 и Catalyst 4500, выполняют практически любые функции, начиная с 3-го уровня модели OSI и выше, используя аппаратную коммутацию на основе Cisco Express Forwarding.

Все коммутаторы Cisco Catalyst 3-го уровня поддерживают протоколы маршрутизации, но некоторые модели коммутаторов Cisco Catalyst требуют ПО с расширенными возможностями для активации отдельных функций и протоколов маршрутизации. Коммутаторы серии Catalyst 2960 под управлением IOS 12.2(55) или более поздней версии поддерживают статическую маршрутизацию.

На коммутаторах Catalyst могут быть различные настройки по умолчанию для интерфейсов. Все модели коммутаторов семейств Catalyst 3560 и 4500 по умолчанию используют интерфейсы 2-го уровня. Все коммутаторы семейства Catalyst 6500 под управлением Cisco IOS по умолчанию используют интерфейсы 3-го уровня. В зависимости от того, какое семейство коммутаторов Catalyst используется, в файлах текущей или загрузочной конфигурации могут присутствовать команды режима интерфейсной настройки switchportили no switchport.