Иногда нам может потребоваться разделить локальную сеть на несколько отдельных сегментов. Например, в компании несколько отделов: Отдел кадров, Производство, Высшее руководство, Технический отдел. Каждый отдел может иметь серверы, доступ к которым нужно ограничить сотрудникам из других отделов.
С одной стороны теоретически это легко реализовать. Ведь можно создать отдельную сетевую инфраструктуру для каждой сети.
Но с другой стороны проблема в том, что довольно сложно планировать такую сеть. Кроме того, может потребоваться изменить и саму конфигурацию сети.
Поэтому гораздо проще создать общую физическую сеть с последующим логическим сегментированием определенных частей сети.
Данный подход позволяет гораздо гибче планировать и управлять сетью, а также повышает безопасность сети.
Сегментированные сети и называются виртуальными локальными сетями (VLAN- Virtual LAN)
Как можно разделить одну физическую сеть на несколько виртуальных?
Суть технологии заключается в том, что в Ethernet кадр вставляется специальная 4-х байтовая метка. Метка содержит 12-битный идентификатор VLAN, максимальное значение которого 4096. То есть всего может быть 4096 VLAN
Для начала настроим сеть с одним коммутатором:
По умолчанию все порты коммутатора принадлежат VLAN 1, поэтому все компьютеры будут “видеть” друг друга. В этом легко убедиться, запустив утилиту Ping на всех хостах.
switch(config)# vlan 23
switch(config-vlan)# name Management
Затем аналогично создадим и остальные VLAN.
Теперь назначим порты 0/1, 0/2, 0/3, 0/4, 0/5 в VLAN 23:
switch(config)# interface fastethernet 0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 23
Если портов слишком много, то будет довольно утомительно вводить одни и те же команды, поэтому гораздо удобнее выделить диапазон портов. Для этого выполни команду
switch(config) interface range fastethernet 0/1-5
Все остальные порты назначим по той же схеме.
Теперь попробуй выполнить команду Ping на каждом компьютере. Компьютеры из другой VLAN уже не доступны.
Помни, что все введенные команды и конфигурация хранятся в оперативной памяти, поэтому при отключении питания все настройки будут удалены.
Как сохранить настройки?
Все настройки записываются в энергонезависимую память NVRAM. Для этого выполни
switch# copy running-config startup-config
При включении питания конфигурация из NVRAM записывается в оперативную память.Чтобы проверить произведенные настройки в оперативной памяти выполним команду
switch# show running-config
Для просмотра настроек, сохраненных в NVRAM выполни
switch# show startup-config
Просмотр сведений о VLAN
Для просмотра информации о VLAN выполни команду
Кстати, конфигурация VLAN сохраняется в отдельном файле, не в NVRAM. Файл с конфигурацией о VLAN хранится во Flash памяти коммутатора. Поэтому командой show running-config мы не увидим никакую информацию о VLAN.
Чтобы уивдеть файл, содержащий данные о VLAN выполни команду
и ты увидишь файл vlan.dat
Теперь подключим к нашему коммутатору еще один коммутатор и выполним те же настройки
Однако компьютеры разных коммутаторов одного VLAN почему-то недоступны друг другу, хотя в рамках одного коммутатора все “видят” друг друга.
Все верно. Дело в том, что в технологии VLAN существуют 2 таких понятия, как порт доступа ( access port ) и магистральный порт ( trunk port ), а также связанные с ними нетегированный ( untagged ) и тегированный ( tagged ) кадры соответственно.
Все конечные устройства, такие как компьютер подключаются к портам доступа. Компьютеры вообще не знают, что принадлежат определенной VLAN, но это знает только коммутатор. Поэтому между коммутатором и компьютерами проходят нетегированные кадры, то есть кадры без метки-идентификатора VLAN.
Однако, если мы соединяем друг с другом коммутаторы, на которых настроен VLAN, то порты, их соединяющие, настраиваются как магистральные.
Во все исходящие кадры коммутатор вставляет соответствующую метку-идентификатор VLAN. Такие кадры называются тегированные.
Режимы работы trunk
Для автоматической настройки магистрального порта коммутаторы Cisco поддерживают специальный протокол DTP (Dynamic Trunk Protocol), который периодически посылает кадры соседним портам. Все коммутаторы поддерживают 4 режима работы магистрального порта
В таблице указано в какое состояние перейдут порты автоматически в зависимости от установленных на них режимах:
Режимы противоположных портов
Выполняю установку, настройку, сопровождение серверов. Для уточнения деталей используйте форму обратной связи
Что такое инкапсуляция? Это «заворачивание» одного фрейма в другой. Инкапсуляция используется тогда, когда нужно передавать несколько vlan’ов через один порт. Происходит это так: на одном конце вланы инкапсулируются, а на другом — «разинкапсулируются» обратно.
В свичах cisco существуют 2 типа инкапсулации: dot1q (укороченная версия IEEE 802.1q) и isl (например, в сериях 19ХХ это единственный доступный тип инкапсуляции) В разных моделях свичей по дефолту используются разные методы инкапсуляции, которые между собой не совместимы. Для примера, в свчиах моделей Cisco Catalyst 2900XL по дефолту стоит isl, а в Cisco Catalyst 2950/60 — dot1q (потому что там нет isl и будет проблематично связать его, например, с 19ХХ). Поэтому, если вы всё настроили, но пакеты не бегают, то проверьте тип инкапсуляции на обеих сторонах.
Что бы посмотреть, какой тип инкапсуляции используется нужно выполнить такую команду:
cisco>show interface switchport
Пример (выполнялось на 290XL):
root-sw>sh int fa0/5 switchport
Name: Fa0/5
Switchport: Enabled
Administrative mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 55 (VLAN0055)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
Priority for untagged frames: 0
Override vlan tag priority: FALSE
Voice VLAN: none
Appliance trust: none
Self Loopback: No
Как видим, тип инкапсуляции установлен в isl. Выполним ту же команду на 2950:
delta-sw#sh interface FastEthernet0/2 switchport
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 101 (VLAN0101)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Appliance trust: none
А теперь, что представляют собой эти инкапсуляции.
ISL — этот тип используется только тогда, когда требуется соединение точка-точка (в настоящее время более не поддерживается, был разработан до принятия стандарта 802.1q), не обрабатывает VLAN’ы, но способно коммутировать фреймы, сформированные по этому стандарту
DOT1Q — используется для multiple соединений. Это укороченная версия от IEEE 802.1q. Так как802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN. 802.1Q помещает внутрь фрейма тег, который передает информацию о принадлежности трафика к VLAN’у. В стандарте 802.1Q существует понятие Native VLAN. По умолчанию это VLAN 1. Трафик, передающийся в этомVLAN, не тегируется.
Учитывая, что между собой эти инкапсуляции не совместимы, будем иметь следующее. Для того, что бы связать транком, например 2900XL и 2950 нужно на 2950 принудительно изменить инкапсуляцию на dot1q.
Пример(все настройки выполняем на 2900XL):
root-sw#conf t
Enter configuration commands, one per line. End with CNTL/Z.
root-sw(config)#int fa0/3
root-sw(config-if)#switchport mode trunk
root-sw(config-if)#switchport trunk encapsulation dot1q
root-sw(config-if)#switchport trunk allowed vlan 51,103
Только после этого начнётся нормальный обмен пакетами.
Очень хорошо про инкапсуляции описано здесь.
Дополнение от пользователя Pilferst.
Есть ещё такое понятие как native vlan («родной влан»). По дефолту он vlan1. Для чего он нужен? Суть его следующая: если на порт попадает нетегированый пакет, то ему назначается native vlan.
Native vlan назначается соответствующему порту на коммутаторе:
root-sw#conf t
Enter configuration commands, one per line. End with CNTL/Z.
root-sw(config)#int fa0/7
root-sw(config-if)#switchport trunk native vlan 51
root-sw#sh interfaces fa0/7 switchport
Name: Fa0/7
Switchport: Enabled
Administrative mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 55 (VLAN0055)
Trunking Native Mode VLAN: 51 (VLAN0051)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
Priority for untagged frames: 0
Override vlan tag priority: FALSE
Voice VLAN: none
Appliance trust: none
Self Loopback: No
Вот так вот.
Транки и инкапсуляция : 2 комментария
Спасибо за статью, всегда рад почитать вас!
Молодцы. Просто и доступным языком. Если чесно понравилось как про native описано. Англицкий вариант не понял, на вики смутно описано, а тут просто. Сенкс.
VLAN в Cisco
Материал из Xgu.ru
[править] Настройка VLAN на коммутаторах Cisco под управлением IOS
Коммутаторы Cisco ранее поддерживали два протокола 802.1Q и ISL. ISL — проприетарный протокол использующийся в оборудовании Cisco. ISL полностью инкапсулирует фрейм для передачи информации о принадлежности к VLAN’у.
В современных моделях коммутаторов Cisco ISL не поддерживается.
Создание VLAN’а с идентификатором 2 и задание имени для него:
[править] Настройка access портов
Назначение порта коммутатора в VLAN:
Назначение диапазона портов с fa0/4 до fa0/5 в vlan 10:
Просмотр информации о VLAN’ах:
[править] Настройка транка (trunk)
Для того чтобы передать через порт трафик нескольких VLAN, порт переводится в режим транка.
Режимы интерфейса (режим по умолчанию зависит от модели коммутатора):
По умолчанию в транке разрешены все VLAN. Для того чтобы через соответствующий VLAN в транке передавались данные, как минимум, необходимо чтобы VLAN был активным. Активным VLAN становится тогда, когда он создан на коммутаторе и в нём есть хотя бы один порт в состоянии up/up.
VLAN можно создать на коммутаторе с помощью команды vlan. Кроме того, VLAN автоматически создается на коммутаторе в момент добавления в него интерфейсов в режиме access.
В схеме, которая используется для демонстрации настроек, на коммутаторах sw1 и sw2, нужные VLAN будут созданы в момент добавления access-портов в соответствующие VLAN:
На коммутаторе sw3 access-портов нет. Поэтому необходимо явно создать все необходимые VLAN:
Для автоматического создания VLAN на коммутаторах, может использоваться протокол VTP.
[править] Настройка статического транка
Создание статического транка:
На некоторых моделях коммутаторов (на которых поддерживается ISL) после попытки перевести интерфейс в режим статического транка, может появится такая ошибка:
Это происходит из-за того, что динамическое определение инкапсуляции (ISL или 802.1Q) работает только с динамическими режимами транка. И для того, чтобы настроить статический транк, необходимо инкапсуляцию также настроить статически.
Для таких коммутаторов необходимо явно указать тип инкапсуляции для интерфейса:
И после этого снова повторить команду настройки статического транка (switchport mode trunk).
[править] Динамическое создание транков (DTP)
Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.
Режимы DTP на интерфейсе:
Перевести интерфейс в режим auto:
Перевести интерфейс в режим desirable:
Перевести интерфейс в режим nonegotiate:
Проверить текущий режим DTP:
[править] Разрешённые VLAN’ы
По умолчанию в транке разрешены все VLAN. Можно ограничить перечень VLAN, которые могут передаваться через конкретный транк.
Указать перечень разрешенных VLAN для транкового порта fa0/22:
Добавление ещё одного разрешенного VLAN:
Удаление VLAN из списка разрешенных:
[править] Native VLAN
В стандарте 802.1Q существует понятие native VLAN. Трафик этого VLAN передается нетегированным. По умолчанию это VLAN 1. Однако можно изменить это и указать другой VLAN как native.
Настройка VLAN 5 как native:
Теперь весь трафик принадлежащий VLAN’у 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN’у 5 (по умолчанию VLAN 1).
[править] Настройка маршрутизации между VLAN
Все настройки по назначению портов в VLAN, сделанные ранее для sw1, sw2 и sw3, сохраняются. Дальнейшие настройки подразумевают использование sw3 как коммутатора 3 уровня.
При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети.
Настройки на коммутаторе sw3:
| VLAN / интерфейс 3го уровня | IP-адрес |
|---|---|
| VLAN 2 | 10.0.2.1 /24 |
| VLAN 10 | 10.0.10.1 /24 |
| VLAN 15 | 10.0.15.1 /24 |
| Fa 0/10 | 192.168.1.2 /24 |
Включение маршрутизации на коммутаторе:
Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в VLAN 2:
Задание адреса в VLAN 10:
[править] Перевод интерфейса в режим 3го уровня
Интерфейс fa0/10 соединен с маршрутизатором. Этот интерфейс можно перевести в режим 3 уровня.
Перевод fa0/10 в режим интерфейса 3 уровня и задание IP-адреса:
R1 используется как шлюз по умолчанию для рассматриваемой сети. Трафик не предназначенный сетям VLAN’ов будет передаваться на R1.
Настройка маршрута по умолчанию:
[править] Просмотр информации
Просмотр информации о транке:
Просмотр информации о настройках интерфейса (о транке):
Просмотр информации о настройках интерфейса (об access-интерфейсе):
Просмотр информации о VLAN’ах:
[править] Диапазоны VLAN
| VLANs | Диапазон | Использование | Передается VTP |
|---|---|---|---|
| 0, 4095 | Reserved | Только для системного использования. | — |
| 1 | Normal | VLAN по умолчанию. Можно использовать, но нельзя удалить. | Да |
| 2-1001 | Normal | Для VLANов Ethernet. Можно создавать, удалять и использовать. | Да |
| 1002-1005 | Normal | Для FDDI и Token Ring. Нельзя удалить. | Да |
| 1006-4094 | Extended | Только для VLANов Ethernet. | Версия 1 и 2 нет, версия 3 да |
[править] Пример настройки
[править] Пример базовой настройки VLAN, без настройки маршрутизации
В этом разделе приведены конфигурационные файлы коммутаторов для изображенной схемы. На коммутаторе sw3 не настроена маршрутизация между VLAN, поэтому в данной схеме хосты могут общаться только в пределах одного VLAN.
Например, хосты на коммутаторе sw1 в VLAN 2 могут взаимодействовать между собой и с хостами в VLAN 2 на коммутаторе sw2. Однако, они не могут взаимодействовать с хостами в других VLAN на коммутаторах sw1 и sw2.
Не все настройки являются обязательными. Например, перечисление разрешенных VLAN в транке не является обязательным для работы транка, однако, рекомендуется настраивать разрешенные VLAN явно.
Настройки транка на sw1 и sw2 немного отличаются от sw3. На sw3 не задается инкапсуляция для транка (команда switchport trunk encapsulation dot1q), так как в используемой модели коммутатора поддерживается только режим 802.1Q.
[править] Пример конфигураций с настройкой маршрутизации между VLAN
В этом разделе приведены конфигурационные файлы коммутаторов для изображенной схемы. На коммутаторе sw3 настроена маршрутизация между VLAN, поэтому в данной схеме хосты могут общаться как в пределах одного VLAN, так и между различными VLAN.
Например, хосты на коммутаторе sw1 в VLAN 2 могут взаимодействовать между собой и с хостами в VLAN 2 на коммутаторе sw2. Кроме того, они могут взаимодействовать с хостами в других VLAN на коммутаторах sw1 и sw2.
Настройки коммутаторов sw1 и sw2 остались точно такими же, как и в предыдущем разделе. Добавились дополнительные настройки только на коммутаторе sw3.
[править] Настройка VLAN на маршрутизаторах Cisco
Передача трафика между VLAN может осуществляться с помощью маршрутизатора. Для того чтобы маршрутизатор мог передавать трафик из одного VLAN в другой (из одной сети в другую), необходимо, чтобы в каждой сети у него был интерфейс. Для того чтобы не выделять под сеть каждого VLAN отдельный физический интерфейс, создаются логические подынтерфейсы [1] на физическом интерфейсе для каждого VLAN.
На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как тегированный порт (в терминах Cisco — транк).
Изображенная схема, в которой маршрутизация между VLAN выполняется на маршрутизаторе, часто называется router on a stick.
IP-адреса шлюза по умолчанию для VLAN (эти адреса назначаются на подынтерфейсах маршрутизатора R1):
| VLAN | IP-адрес |
|---|---|
| VLAN 2 | 10.0.2.1 /24 |
| VLAN 10 | 10.0.10.1 /24 |
| VLAN 15 | 10.0.15.1 /24 |
Для логических подынтерфейсов [1] необходимо указывать то, что интерфейс будет получать тегированный трафик и указывать номер VLAN соответствующий этому интерфейсу. Это задается командой в режиме настройки подынтерфейса:
Создание логического подынтерфейса для VLAN 2:
Создание логического подынтерфейса для VLAN 10:
Соответствие номера подынтерфейса и номера VLAN не является обязательным условием. Однако обычно номера подынтерфейсов задаются именно таким образом, чтобы упростить администрирование.
На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как статический транк:
[править] Пример настройки
Конфигурационные файлы устройств для схемы изображенной в начале раздела.
[править] Настройка native VLAN
По умолчанию трафик VLAN’а 1 передается не тегированым (то есть, VLAN 1 используется как native), поэтому на физическом интерфейсе маршрутизатора задается адрес из сети VLAN 1.
Задание адреса на физическом интерфейсе:
Если необходимо создать подынтерфейс для передачи не тегированного трафика, то в этом подынтерфейсе явно указывается, что он принадлежит native VLAN. Например, если native VLAN 99:
Router & dot1Q
Во многих корпоративных сетях имеется больше одной подсети. Это делается из соображений безопасности, т.к. таким образом легче контролировать трафик между несколькими подразделениями, предоставляя только тот доступ, который нужен подразделению. Как можно заметить, роутеры не могут порадовать изобилием свободных портов (в отличие от коммутаторов), поэтому приходится как-то выкручиваться.
Secondary IP
На интерфейс роутера можно назначить больше одного ip адреса, но это является не практичным и не безопасным решением, когда надо разделить ресурсы компании на разные подсети.
Router & dot1Q
dot1Q – это модифицированное название стандарта IEEE 802.1Q (dot в переводе на русский – точка). Этот стандарт определяет работу Virtual LAN (VLAN), в том числе и тегированные фреймы (которые “ходят” через trunk порты).
Router on a stick (Роутер на палочке) – это название топологии сети, где роутер физически подключен к сети только одним линком (проводом), при этом обслуживает несколько подсетей. Топология реализуется благодаря тому, что единственный имеющийся линк является trunk-ом и может различать фреймы из разных vlan, таким образом для каждого vlan создается свой подинтерфейс.
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Теория и практика
Версия файла: 2.0
Уже получили: 73 пользователей
Получить достижение
Код активации можно получить выполнив практическое задание
Уже получили 77 пользователей
Начальные данные
Все “манипуляции” можно осуществлять только при помощи PC0 (либо с других PC в сети).
В данной практической работе сеть уже спланирована, большая часть настроена (рисунок 3.1). На всем сетевом оборудовании настроен telnet-сервер, пароль – cisco123. VLAN уже распределены по всем портам, согласно схеме, там же представлена вся адресация. Например, на PC0 вы можете видеть “.10”, это означает, что он имеет ip адрес 10.13.1.10. Коммутаторы относятся к подсети 10.13.1.0/28.
Рисунок 3.1 Схема сети из практической работы
Выполнение
Познакомиться с функцией secondary ip
К сожалению, Packet Tracer не поддерживает функцию secondary ip, т.е. практического применения здесь не будет.
Реализовать топологию “Роутер на палочке”. Проверить маршрутизацию
Для того что бы реализовать топологию “Роутер на палочке”, между роутером и коммутаторм должен быть trunk. Выполним соответствующую настройку на коммутаторе, который “смотрит” на r1 интерфейсом Fa0/23. Вся настройка выполняется с PC0.
Теперь коммутатор может отправлять тегированные фреймы в сторону r1. Пришло время настраивать r1.
Обратите внимание, что на интерфейсе Fa0/0 не настроена инкапсуляция, но при этом он относится к vlan 1. Тут надо вспомнить как работает trunk. В каждом trunk можно указать лишь один vlan, который будет ходить без тэга, по умолчанию это vlan 1. Таким образом весь не тегированый трафик попадает на Fa0/0, а тегированный трафик попадает на соответствующий vlan-у subinterface.
Subinterface-ы рассматриваются роутером как отдельные, самостоятельные интерфейсы и не смотря на то что они “виртуальные”, настраиваются они аналогично “физическим” интерфейсам. Важное замечание, если физический интерфейс выключен, то и все subinterface-ы, относящиеся к нему, тоже будут выключены.
Теперь удалим лишний интерфейс который мы создали – FastEthernet0/0.133. Делается это при помощи команды no (это очень “мощная команда”, если вы еще не поняли как она работает, просто пользуйтесь ей чаще, редактируйте конфигурацию и тут же ее удаляйте при помощи no).
Самое время проверить маршрутизацию. Для начала проверим доступность некоторых устройств с r1.
С помощью команды tracert изучим путь, от PC1 до CiscoLearning, рисунок 3.2.
Рисунок 3.2 Traceroute от PC1 до CiscoLearning
Первым “прыжком” (hop), PC1 указывает r1 (10.21.1.1), а вторым CiscoLearning (10.99.1.2). Очень важно представлять какой путь проходят данные.
