Cisco vlan настройка на коммутаторе
Технология VLAN позволяет разделять сеть на логические сегменты. Каждый такой логический сегмент имеет свой широковещательный домен. Уникастовый, бродкастовый и мультикастовый трафик передается только между устройствами входящими в один VLAN. VLAN часто используется для разделения IP сегментов сети, с последующей маршрутизацией и фильтрацией трафика между разными VLAN на маршрутизаторе или на L3 коммутаторе.
Как настраивать VLAN на Cisco роутере можно посмотреть в статье Cisco VLAN — настройка vlan на маршрутизаторе Cisco. Здесь речь пойдёт о настройке VLAN на коммутаторах Cisco Catalyst.
Перед настройкой VLAN на коммутаторе, необходимо определиться будет ли в сети использоваться протокол VTP (VLAN Trunking Protocol) или нет. Использование VTP облегчает управление (создание, удаление, переименовывание) VLAN-ами в сети. В случае с VTP изменение (информацию о VLAN) можно внести централизованно, на одном коммутаторе, и эти изменения распространятся на другие коммутаторы в сети. Если не использовать VTP, то изменения нужно вносить на каждом коммутаторе.
VTP накладывает свои ограничения: протокол VTP версии 1 и 2 поддерживает только базовый диапазон VLAN (c 1 по 1005), поддержка расширенного диапазона (с 1006 по 4094) возможна только в версии протокола 3. Поддержка протокола VTP 3 версии начинается с Cisco IOS версии 12.2(52)SE и выше. Настройку протокола VTP рассмотрим в другой статье, а в этой будем подразумевать, что не используем VTP.
Настройку VLAN на коммутаторе можно выделить в три этапа: создание VLAN, настройка портов, проверка.
1. Создание VLAN на Cisco Catalyst
Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:
1 — 1005 базовый диапазон (normal-range)
1002 — 1005 зарезервированы для Token Ring и FDDI VLAN
1006 — 4094 расширенный диапазон (extended-range)
При создании или изменении VLAN можно задать следующие параметры:
На практике чаще всего, при создании VLAN задаётся только VLAN ID и VLAN name
Значения по умолчанию:
| VLAN ID | 1 |
| VLAN name | VLANxxxx, где xxxx четыре цифры номера VLAN (Например: VLAN0003, VLAN0200 и т.д.) |
| SAID | 100000 плюс VLAN ID (Например: 100001 для VLAN 1, 100200 для VLAN 200 и т.д.) |
| VLAN MTU | 1500 |
| Translational VLAN number 1 | 0 |
| Translational VLAN number 2 | 0 |
| VLAN state | active |
| Remote SPAN | disabled |
Для создания VLAN нужно:
1. Войти в привилегированный режим и ввести необходимый пароль (команда «enable«)
2. Переключиться в режим глобального конфигурирования (команда «configure terminal«)
3. Создать VLAN командой «vlan id«, где id — номер VLAN (После создания, консоль окажется в режиме конфигурирования VLAN, где можно задать перечисленные выше параметры для VLAN)
4. Задать необходимые параметры, для созданного VLAN (например имя)
Если, в режиме конфигурирования VLAN, ввести знак вопроса, то отобразятся параметры, которые можно задать для данного VLAN:
5. Выйти из режима конфигурирования vlan (команда «exit«, либо «end» — выход из режима глобального конфигурирования)
Не забываем сохранять конфигурацию командой «copy running-config startup-config» в привилегированном режиме
Удалить VLAN можно командой «no vlan id» в режиме глобального конфигурирования:
2. Настройка портов на Cisco Catalyst
Порт на коммутаторе Cisco может находиться в одном из режимов:
trunk — порт предназначен для подключения к другому коммутатору или маршрутизатору. Порт передаёт тегированный трафик. Может передавать трафик как одного, так и нескольких VLAN через один физический кабель.
На Cisco Catalyst можно самому задать режим порта (trunk или access), либо задать автоопределение. При автоопределении режима, порт будет согласовываться с соседом (подключенным к этому порту коммутатором или иным устройством). Согласование режима порта происходит путём передачи DTP (Dynamic Trunking Protocol) фреймов. Для успешной работы протокола DTP, необходимо, что бы интерфейсы были в одном VTP домене (либо один из VTP доменов был null, неточно)
Автоопределение режима порта задаётся командой «switchport mode dynamic auto» или «switchport mode dynamic desirable» в режиме конфигурации интерфейса.
Если на интерфейсе установлено «switchport mode dynamic auto» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или «dynamic desirable«
Если на интерфейсе установлено «switchport mode dynamic desirable» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или «dynamic desirable» или «dynamic auto«
Не все устройства поддерживают DTP, либо могут некорректно передавать DTP фреймы, в таком случае лучше задать режим (access или trunk) принудительно командами «switchport mode access» или «switchport mode trunk» в режиме конфигурации интерфейса, и отключить передачу DTP фреймов командой «switchport nonegotiate«.
Конфигурация порта по умолчанию:
| Режим порта/интерфейса | switchport mode dynamic auto |
| Разрешённые VLAN, если порт в режиме trunk | с 1 по 4094 |
| VLAN по умолчанию, если порт в режиме access | 1 |
| Native VLAN, если порт в режиме trunk (IEEE 802.1q) | 1 |
Настройка порта в режим автоопределения.
В данном примере порт 23 переведётся в режим trunk, если порт на соседнем коммутаторе установлен в режиме dynamic auto или dynamic disirable или trunk . В транке будут передаваться только VLAN 2, VLAN с 30 по 35 и VLAN 40. При работе порта в режиме trunk, приходящий на него не тегированный (native) трафик будет помещаться (маркироваться) в VLAN 100. Если порт на соседнем коммутаторе работает в режиме access, то интерфейс будет помещён в VLAN 50.
Настройка access порта.
VLAN на access порту может задаваться статически либо автоматически. Автоматическое назначение VLAN основывается на МАК адресе источника, используя протокол VQP (VLAN Query Protocol) и сервер VMPS (VLAN Management Policy Server). Сервером VMPS могут выступать коммутаторы только старших моделей, такие серии как Catalyst 4000, 5000 и 6500. Автоматическую настройку access порта через VQP в данной статье рассматривать не будем. Здесь будет показано только статическое задание VLAN на access порту.
Для включения access порта в необходимый VLAN, нужно сделать:
Пусть к 22-му порту коммутатора подключен сервер, который необходимо поместить в 200-й VLAN
Настройка trunk порта.
Настройка порта в режиме trunk идентична настройки порта в режиме автоопределения, за исключением того, что режим нужно указать не dynamic а trunk.
В примере задаётся транк на 23-м порту, в транке разрешены только VLAN 2, VLAN с 30 по 35 и VLAN 40
Добавление VLAN в транковый порт выполняет команда: «switchport trunk allowed vlan add VLAN_NUM«
Пример добавления вланов 100 и 200 к существующим, в транковом порту 23:
УдалениеVLAN из транкового порта выполняет команда: «switchport trunk allowed vlan remove VLAN_NUM«
Пример удаления вланов 100 и 200 из существующих, в транковом порту 23:
Некоторые cisco коммутаторы поддерживают два протокола для работы с VLAN это IEEE 802.1q и ISL. Протокол ISL уже устарел и на многих современных коммутаторах не поддерживается. Поэтому предпочтительнее использовать протокол IEEE 802.1q
На таких коммутаторах, перед настройкой порта в режиме транка, нужно выбрать тип инкапсуляции dot1q (комана: «switchport trunk encapsulation dot1q» в режиме конфигурации интерфейса)
3. Проверка настройки VLAN
Посмотреть информацию о VTP протоколе: «show vtp status«
Показать информацию обо всех VLAN на коммутаторе: «show vlan«
Посмотреть информацию об конкретном VLAN, и узнать на каких он портах: «show vlan id vlan-id«
Посмотреть режим работы порта, native vlan, access vlan и прочее: «show interfaces interface-id switchport«
Иногда, необходимо на коммутаторе создать интерфейс 3-го уровня для VLAN. Например, для маршрутизации и фильтрации IP трафика между разными VLAN (должна быть поддержка L3 уровня как самой моделью коммутатора так и версией IOS). Либо просто создать интерфейс для управления этим коммутатором в специальном VLAN.
Сетевой интерфейс для VLAN создаётся в режиме глобального конфигурирования командой: «interface vlan-id«, где vlan-id — это номер VLAN.
Далее консоль переходит в режим конфигурирования интерфейса, где можно задать необходимые сетевые настройки ip адрес, маску сети, повесить ACL и прочее.
Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco.
В статье будет рассмотрен вопрос выполнения настроек VLAN в Cisco
Настройка VLAN на коммутаторах Cisco под управлением IOS
- access port – это порт, который принадлежит к одному VLAN, и может передавать нетегированный информационный трафик;
- trunk port – это коммутационный порт, посредством которого может передаваться тегированный трафик от одного либо нескольких VLAN.
Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco. Этот протокол позволяет инкапсулировать фрейм с целью передачи данных о причастности к тому или иному VLAN. Современные модели этот протокол не поддерживают, а работают только с 802.1Q.
Создается VLAN с идентификатором 2 и задается для него имя следующим образом:
Для удаления VLAN с идентификатором 2 используется:
Настройка Access портов
Для назначения коммутационного порта в VLAN нужно:
Диапазон коммутационных портов с fa0/4 до fa0/5 для VLAN 10 выполняется следующим образом:
Чтобы просмотреть информацию о состоянии VLAN нужно:
VLAN Name Status Ports
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
Настройка Trunk
Чтобы иметь возможность передачи трафика от нескольких VLAN посредством одного порта, его следует перевести в режим trunk. Конкретные режимы интерфейса (режим умолчания отличаются для разных моделей):
- auto – это автоматический режим порта, из которого переход в режим trunk возможен только в том случае, если порт на другом конце связи будет в режиме desirable или on;
- desirable – это режим, из которого порт может перейти к режиму trunk; в этом состоянии он периодично посылает DTP-кадры к другому порту, запрашивая его перейти в режим trunk; этот режим будет установлен, если другой порт находится в одном из трех режимов: auto, desirable или on;
- trunk – в этом случае порт постоянно пребывает в состоянии trunk, даже если другой порт не может поддерживать такой же режим;
- nonegotiate – это режим, с которого порт готов выполнить переход к режиму trunk; он не выполняет передачу DTP-кадров к другому порту. Этот режим предусмотрен для исключения конфликтных ситуаций с другим оборудованием (не бренда Cisco). В этом случае коммутационное устройство на другом конце связи должно быть настроено в ручном режиме для использования режима trunk.
По умолчанию для режима trunk разрешаются все VLAN. Чтобы через любой из поддерживаемых VLAN выполнялась передача данных, он должен быть активным. В активную фазу он переходит тогда, когда его создали на коммутаторе и один из его портов находится в режиме up/up.
VLAN создается на коммутаторе посредством команды vlan. Также он может формироваться автоматически на коммутаторе, когда к нему добавляются интерфейсы в режиме access.
В схеме, используемой с целью демонстрации настроек для коммутаторов sw1 и sw2, требуемые VLAN создадутся в момент добавления access-портов к соответствующим VLAN:
% Access VLAN does not exist. Creating vlan 15
Поскольку на коммутаторе sw3 отсутствуют access-порты, нужно создать все нужные VLAN:
Чтобы автоматически создать VLAN на устройствах коммутации, можно применять протокол VTP.
Настройка статического Trunk
Чтобы создать статический trunk нужно:
Модели коммутаторов, которые поддерживают ISL, после попытки перевода интерфейса в режим статического trunk могут выбрасывать следующую ошибку:
Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.
Ошибка генерируется потому, что процесс динамического определения инкапсуляции (выбор 802.1Q или ISL) может поддерживаться только с динамическим режимом trunk. Для настройки статического trunk нужно процедуру инкапсуляции также сделать статической. Этот тип коммутаторов предусматривает явное указание типа инкапсуляции для конкретного интерфейса:
После этого повторно выполняется команда для настойки статического trunk – switchport mode trunk.
Динамическое создание Trunk
Dynamic Trunk Protocol (DTP) является проприетарным протоколом Cisco, обеспечивающим коммутационным устройствам возможность определять находится ли в состоянии поднятия trunk соседний коммутатор и какой протокол нужно задействовать ISL или 802.1Q. DTP включается по умолчанию. Он владеет следующими режимами интерфеса:
- auto – порт пребывает в автоматическом режиме и перейдет в trunk, когда на другом конце связи порт будет on или desirable; если на противоположных концах порты в режиме auto, trunk задействован не будет;
- desirable – из этого состояния порт может перейти к trunk; он периодически совершает посылку DTP-кадров к порту на другом конце; trunk будет установлен, если порт на другой стороне будет on, desirable, auto;
- nonegotiate – из этого состояния порт может перейти в trunk, DTP-кадры при этом не передаются; этот режим нужен чтобы предотвратить конфликт межу Cisco и не Cisco оборудованием.
Для перевода интерфейса в режим auto:
Для перевода интерфейса в режим desirable:
Для перевода интерфейса в режим nonegotiate:
Для проверки текущего режима DTP:
Разрешенные VLAN'
Изначально, по умолчанию, в trunk разрешаются все VLAN. Также можно создать ограничение перечня VLAN, которые можно передавать через тот или иной trunk. Чтобы указать список разрешенных VLAN для порта fa0/22 нужно выполнить:
Чтобы добавить еще один разрешенный VLAN:
Для удаления VLAN из списка разрешенных:
Native VLAN
Для стандарта 802.1Q используется понятие native VLAN. Информационный трафик для этого VLAN будет передаваться нетегированным. По умолчанию его роль выполняет VLAN 1, но можно указать и иной VLAN как native.
Для настройки VLAN 5 в native нужно:
После этого весь трафик, который принадлежит к VLAN 5, передастся посредством trunk-интерфейса нетегированным, а весь трафик, который пришел на trunk-интерфейс будет иметь маркировку, как принадлежащий к VLAN 5.
Настройка процесса маршрутизации между VLAN
Все настройки, касающиеся назначения портов VLAN, которые ранее выполнены для sw1, sw2, sw3 сохраняются. Для дальнейших настроек коммутатор sw3 используется как устройство 3-уровня.
Для этой схемы выполнять дополнительные настройки на маршрутизаторе не нужно. Коммутационная платформа будет реализовывать процесс маршрутизации между сетевыми конфигурациями разных VLAN, а к маршрутизатору будет отправляться трафик, который предназначен для других сетей.
Настройки для коммутатора sw3:
VLAN / интерфейс 3го уровня IP-адрес
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Fa 0/10 192.168.1.2 /24
тобы включить маршрутизацию на коммутаторе нужно:
Для определения адреса в VLAN, который будет использован, как маршрут по умолчанию для компьютерных систем во VLAN 2:
Чтобы задать адрес для VLAN 10:
Процесс перевода интерфейсов в режим 3-го уровня
Интерфейс fa0/10 соединяется с маршрутизатором и может переводиться в режим 3-го уровня. Для выполнения этой процедуры с заданием IP-адреса нужно:
R1 будет играть роль шлюза по умолчанию для конкретной сети. Информация, которая не предназначена для сети VLAN будет передаваться к R1.
Для настройки маршрута по умолчанию нужно выполнить:
sw3(config) ip route 0.0.0.0 0.0.0.0 192.168.1.1
Просмотр информации
Для просмотра информации о транке:
Port Mode Encapsulation Status Native vlan
Fa0/22 on 802.1q trunking 1
Port Vlans allowed on trunk
Port Vlans allowed and active in management domain
Port Vlans in spanning tree forwarding state and not pruned
Чтобы выполнить просмотр информации о настройках интерфейса (trunk) нужно:
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Operational Dot1q Ethertype: 0x8100
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (VLAN_1)
Administrative Native VLAN tagging: enabled
Operational Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Чтобы выполнить просмотр информации о настройках интерфейса (access):
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Operational Dot1q Ethertype: 0x8100
Negotiation of Trunking: Off
Access Mode VLAN: 15 (VLAN0015)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Operational Native VLAN tagging: disabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Просмотреть информацию о VLAN:
VLAN Name Status Ports
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 test active Fa0/1, Fa0/2
10 VLAN0010 active Fa0/4, Fa0/5
15 VLAN0015 active Fa0/3
Диапазоны VLAN
VLANs Диапазон Использование Передается VTP
0, 4095 Reserved Только для системного использования. --
1 Normal VLAN по умолчанию. Можно использовать, но нельзя удалить. Да
2-1001 Normal Для VLANов Ethernet. Можно создавать, удалять и использовать. Да
1002-1005 Normal Для FDDI и Token Ring. Нельзя удалить. Да
1006-4094 Extended Только для VLANов Ethernet. Версия 1 и 2 нет, версия 3 да
Примеры настройки
Базовая настройка VLAN (без настройки маршрутизации)
Для коммутатора sw3 маршрутизация между VLAN не настроена, поэтому хосты могут передаваться только в области одного VLAN.
Хосты для коммутатора sw1 в VLAN 2 могут взаимодействовать сами с собой и с хостами VLAN 2 коммутатора sw2. Правда они не могут взаимодействовать с хостами других VLAN коммутаторов sw1 и sw2.
Не все возможные настройки являются обязательными. К примеру, перечислять разрешенные VLAN для trunk не обязательно для его работы, но нужно выполнять явную настройку разрешенных VLAN.
Настройка trunk для sw1 и sw2 несколько отличается от sw3. Для него не нужно задавать инкапсуляцию trunk, так как sw3 может поддерживать только режим 802.1Q.
Конфигурация sw1 имеет вид:
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 15
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
Конфигурация sw2 имеет вид:
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10
Конфигурация sw3 имеет вид:
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
switchport mode trunk
switchport trunk allowed vlan 1,2,10
Конфигурация с настройкой маршрутизации между VLAN
Для коммутатора sw3 выполнена настройка маршрутизации между VLAN, поэтому для этой схемы хосты могут обмениваться в области одного VLAN и между разными VLAN.
Процедуры настройки коммутаторов sw1 и sw2 аналогичные, как и прошлый раз. Добавлены только некоторые настройки для коммутатора sw3.
Конфигурация sw1 имеет вид:
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 15
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
Конфигурация sw2 имеет вид:
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,2,10
Конфигурация sw3 имеет вид:
switchport mode trunk
switchport trunk allowed vlan 1,2,10,15
switchport mode trunk
switchport trunk allowed vlan 1,2,10
ip address 192.168.1.2 255.255.255.0
ip address 10.0.2.1 255.255.255.0
ip address 10.0.10.1 255.255.255.0
ip address 10.0.15.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Настройка VLAN для маршрутизаторов Cisco
Передача трафика между VLAN поддерживается за счет маршрутизатора. Чтобы он мог передать данные от одного VLAN к другому (между сетями) нужно, чтобы в каждой из сетей он имел свой интерфейс. Чтобы не выделять множество физическихинтерфейсов в этом случае правильно создавать логические подинтерфейсы. Их создают на физических интерфейсах каждого VLAN. Порт коммутатора, который ведет к маршрутизатору, должен настраиваться как тегированный порт (trunk).
Схема, для которой процесс маршрутизации выполняется между VLAN на маршрутизаторе, называется «router on a stick». IP адреса шлюзов по умолчанию для VLAN:
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24
Для логических подинтерфейсов нужно указать, что на интерфейс будет приходить тегированный трафик, а также указать номер соответствующего VLAN. Выполнить эту процедуру можно соответствующей командой при настройке подинтерфейса:
Чтобы создать логический подинтерфейс для VLAN 2:
Чтобы создать логический подинтерфейс для VLAN 10:
Порт, ведущий от коммутатора к маршрутизатору должен настраиваться как статический trunk:
switchport trunk encapsulation dot1q
switchport mode trunk
Пример настройки
Конфигурационные файлы для первой схемы:
Для конфигурации sw1:
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 2
switchport mode access
switchport access vlan 15
switchport mode access
switchport access vlan 10
switchport mode access
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 2,10,15
Для конфигурации R1:
encapsulation dot1q 2
ip address 10.0.2.1 255.255.255.0
encapsulation dot1q 10
ip address 10.0.10.1 255.255.255.0
encapsulation dot1q 15
ip address 10.0.15.1 255.255.255.0
Настройка native VLAN
В режиме умолчания информационный трафик VLAN 1 передается нетегированым (VLAN 1 работает, как native). В этом случае для физического интерфейса маршрутизатора устанавливается адрес из сети VLAN 1.
Чтобы задать адрес для физического интерфейса:
Когда нужно создать подинтерфейс передачи нетегированного трафика, в нем указывается, что он принадлежит native VLAN. Как пример, для native VLAN 99:
На этой странице рассматривается процедура настройки VLAN в Cisco.
На странице VLAN в Cisco/Lab находятся лабораторные, которые можно сделать для того чтобы на практике попробовать настройки, которые описываются на этой странице. Лабораторные подготовлены в Packet Tracer, но аналогично могут быть выполнены и на реальном оборудовании.
Содержание
- access port — порт принадлежащий одному VLAN'у и передающий нетегированный трафик
- trunk port — порт передающий тегированный трафик одного или нескольких VLAN'ов
Коммутаторы Cisco ранее поддерживали два протокола 802.1Q и ISL. ISL — проприетарный протокол использующийся в оборудовании Cisco. ISL полностью инкапсулирует фрейм для передачи информации о принадлежности к VLAN'у.
В современных моделях коммутаторов Cisco ISL не поддерживается.
Создание VLAN'а с идентификатором 2 и задание имени для него:
Назначение порта коммутатора в VLAN:
Назначение диапазона портов с fa0/4 до fa0/5 в vlan 10:
Просмотр информации о VLAN'ах:
Для того чтобы передать через порт трафик нескольких VLAN, порт переводится в режим транка.
Режимы интерфейса (режим по умолчанию зависит от модели коммутатора):
- auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме "auto", то trunk применяться не будет.
- desirable — Порт находится в режиме "готов перейти в состояние trunk"; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
- trunk — Порт постоянно находится в состоянии trunk, даже если порт на другом конце не поддерживает этот режим.
- nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим "не-cisco" оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk'а.
По умолчанию в транке разрешены все VLAN. Для того чтобы через соответствующий VLAN в транке передавались данные, как минимум, необходимо чтобы VLAN был активным. Активным VLAN становится тогда, когда он создан на коммутаторе и в нём есть хотя бы один порт в состоянии up/up.
VLAN можно создать на коммутаторе с помощью команды vlan. Кроме того, VLAN автоматически создается на коммутаторе в момент добавления в него интерфейсов в режиме access.
В схеме, которая используется для демонстрации настроек, на коммутаторах sw1 и sw2, нужные VLAN будут созданы в момент добавления access-портов в соответствующие VLAN:
На коммутаторе sw3 access-портов нет. Поэтому необходимо явно создать все необходимые VLAN:
Для автоматического создания VLAN на коммутаторах, может использоваться протокол VTP.
Создание статического транка:
На некоторых моделях коммутаторов (на которых поддерживается ISL) после попытки перевести интерфейс в режим статического транка, может появится такая ошибка:
Это происходит из-за того, что динамическое определение инкапсуляции (ISL или 802.1Q) работает только с динамическими режимами транка. И для того, чтобы настроить статический транк, необходимо инкапсуляцию также настроить статически.
Для таких коммутаторов необходимо явно указать тип инкапсуляции для интерфейса:
И после этого снова повторить команду настройки статического транка (switchport mode trunk).
Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.
Режимы DTP на интерфейсе:
- auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме "auto", то trunk применяться не будет.
- desirable — Порт находится в режиме "готов перейти в состояние trunk"; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
- nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим "не-cisco" оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk'а.
Перевести интерфейс в режим auto:
Перевести интерфейс в режим desirable:
Перевести интерфейс в режим nonegotiate:
Проверить текущий режим DTP:
По умолчанию в транке разрешены все VLAN. Можно ограничить перечень VLAN, которые могут передаваться через конкретный транк.
Указать перечень разрешенных VLAN для транкового порта fa0/22:
Добавление ещё одного разрешенного VLAN:
Удаление VLAN из списка разрешенных:
В стандарте 802.1Q существует понятие native VLAN. Трафик этого VLAN передается нетегированным. По умолчанию это VLAN 1. Однако можно изменить это и указать другой VLAN как native.
Настройка VLAN 5 как native:
Теперь весь трафик принадлежащий VLAN'у 5 будет передаваться через транковый интерфейс нетегированным, а весь пришедший на транковый интерфейс нетегированный трафик будет промаркирован как принадлежащий VLAN'у 5 (по умолчанию VLAN 1).
Все настройки по назначению портов в VLAN, сделанные ранее для sw1, sw2 и sw3, сохраняются. Дальнейшие настройки подразумевают использование sw3 как коммутатора 3 уровня.
При такой схеме работы никаких дополнительных настроек на маршрутизаторе не требуется. Коммутатор осуществляет маршрутизацию между сетями разных VLAN, а на маршрутизатор отправляет трафик предназначенный в другие сети.
Настройки на коммутаторе sw3:
| VLAN / интерфейс 3го уровня | IP-адрес |
|---|---|
| VLAN 2 | 10.0.2.1 /24 |
| VLAN 10 | 10.0.10.1 /24 |
| VLAN 15 | 10.0.15.1 /24 |
| Fa 0/10 | 192.168.1.2 /24 |
Включение маршрутизации на коммутаторе:
Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в VLAN 2:
Задание адреса в VLAN 10:
Интерфейс fa0/10 соединен с маршрутизатором. Этот интерфейс можно перевести в режим 3 уровня.
Перевод fa0/10 в режим интерфейса 3 уровня и задание IP-адреса:
R1 используется как шлюз по умолчанию для рассматриваемой сети. Трафик не предназначенный сетям VLAN'ов будет передаваться на R1.
Настройка маршрута по умолчанию:
Просмотр информации о транке:
Просмотр информации о настройках интерфейса (о транке):
Просмотр информации о настройках интерфейса (об access-интерфейсе):
Просмотр информации о VLAN'ах:
| VLANs | Диапазон | Использование | Передается VTP |
|---|---|---|---|
| 0, 4095 | Reserved | Только для системного использования. | -- |
| 1 | Normal | VLAN по умолчанию. Можно использовать, но нельзя удалить. | Да |
| 2-1001 | Normal | Для VLANов Ethernet. Можно создавать, удалять и использовать. | Да |
| 1002-1005 | Normal | Для FDDI и Token Ring. Нельзя удалить. | Да |
| 1006-4094 | Extended | Только для VLANов Ethernet. | Версия 1 и 2 нет, версия 3 да |
В этом разделе приведены конфигурационные файлы коммутаторов для изображенной схемы. На коммутаторе sw3 не настроена маршрутизация между VLAN, поэтому в данной схеме хосты могут общаться только в пределах одного VLAN.
Например, хосты на коммутаторе sw1 в VLAN 2 могут взаимодействовать между собой и с хостами в VLAN 2 на коммутаторе sw2. Однако, они не могут взаимодействовать с хостами в других VLAN на коммутаторах sw1 и sw2.
Не все настройки являются обязательными. Например, перечисление разрешенных VLAN в транке не является обязательным для работы транка, однако, рекомендуется настраивать разрешенные VLAN явно.
Настройки транка на sw1 и sw2 немного отличаются от sw3. На sw3 не задается инкапсуляция для транка (команда switchport trunk encapsulation dot1q), так как в используемой модели коммутатора поддерживается только режим 802.1Q.
В этом разделе приведены конфигурационные файлы коммутаторов для изображенной схемы. На коммутаторе sw3 настроена маршрутизация между VLAN, поэтому в данной схеме хосты могут общаться как в пределах одного VLAN, так и между различными VLAN.
Например, хосты на коммутаторе sw1 в VLAN 2 могут взаимодействовать между собой и с хостами в VLAN 2 на коммутаторе sw2. Кроме того, они могут взаимодействовать с хостами в других VLAN на коммутаторах sw1 и sw2.
Настройки коммутаторов sw1 и sw2 остались точно такими же, как и в предыдущем разделе. Добавились дополнительные настройки только на коммутаторе sw3.
Передача трафика между VLAN может осуществляться с помощью маршрутизатора. Для того чтобы маршрутизатор мог передавать трафик из одного VLAN в другой (из одной сети в другую), необходимо, чтобы в каждой сети у него был интерфейс. Для того чтобы не выделять под сеть каждого VLAN отдельный физический интерфейс, создаются логические подынтерфейсы [1] на физическом интерфейсе для каждого VLAN.
На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как тегированный порт (в терминах Cisco — транк).
Изображенная схема, в которой маршрутизация между VLAN выполняется на маршрутизаторе, часто называется router on a stick.
IP-адреса шлюза по умолчанию для VLAN (эти адреса назначаются на подынтерфейсах маршрутизатора R1):
| VLAN | IP-адрес |
|---|---|
| VLAN 2 | 10.0.2.1 /24 |
| VLAN 10 | 10.0.10.1 /24 |
| VLAN 15 | 10.0.15.1 /24 |
Для логических подынтерфейсов [1] необходимо указывать то, что интерфейс будет получать тегированный трафик и указывать номер VLAN соответствующий этому интерфейсу. Это задается командой в режиме настройки подынтерфейса:
Создание логического подынтерфейса для VLAN 2:
Создание логического подынтерфейса для VLAN 10:
Соответствие номера подынтерфейса и номера VLAN не является обязательным условием. Однако обычно номера подынтерфейсов задаются именно таким образом, чтобы упростить администрирование.
На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как статический транк:
Конфигурационные файлы устройств для схемы изображенной в начале раздела.
По умолчанию трафик VLAN'а 1 передается не тегированым (то есть, VLAN 1 используется как native), поэтому на физическом интерфейсе маршрутизатора задается адрес из сети VLAN 1.
Задание адреса на физическом интерфейсе:
Если необходимо создать подынтерфейс для передачи не тегированного трафика, то в этом подынтерфейсе явно указывается, что он принадлежит native VLAN. Например, если native VLAN 99:
Теперь давайте посмотрим на коммутатор Cisco Catalyst. В своем примере я рассмотрю 2960 c версией IOS 12.2(35)SE5). Заходим на свитч в режим Enable. Набираем команду:
Результатом будет список всех созданных на устройстве влан:
После этого набираем команду:
В моём примере я создаю 11й влан:
Заметьте, что виртуальной сети можно дать имя с помощью команды name.
Удалить влан можно с помощью команды:
И набрать команду:
Для управления коммутаторами cisco используется специальный управляющий Vlan. Для его настройки надо создать его в списке вланов, как описано выше, затем в режиме конфигурации набрать команду:
Этим Вы создадите управляющую виртуальную сеть на коммутаторе. Теперь устройству надо присвоить IP-адрес:
После этого не забудьте поднять интерфейс, так как он по умолчанию выключен:
Пример настройки управления на коммутаторе Cisco 2960:
Помогло? Посоветуйте друзьям!
Настройка Vlan на Cisco : 9 комментариев
Тем не менее, даже по строкам конфигурации, сначала конфигурится физ.интерфейс и на него прикручивается VLAN. Во всяком случае, одмин поймет о чем идет речь
Во всех описаниях настроек дается присвоение IP статического. А тут надо динамический. И никак. В interface vlan1 вводился ip address dhcp не берет ip и все. Интерфейс активен. В show config пишет interface Vlan1
ip address dhcp и тишина.
Здравствуйте! Я в этом деле человек новый, так что прошу не орать на меня. Прочитал статью, хорошо написано, но я не понял как понять в какой порт воткнута sfpшка. Для этого я должен знать vlan ? просто у меня имеется конфигурация и мне надо найти в ней в какой порт вставлен sfp модуль. Заранее спасибо.
Читайте также: