Проект «SnakeProject» Михаила КозловаРегистрация

Навигация
⇒CISCO⇒

⇒ORACLE SQL \ JAVA⇒

⇐Voice(Asterisk\Cisco)
⇐Microsoft
⇐Powershell
⇐Python
⇐SQL\T-SQL
⇐FreeBSD and Nix
⇐1С
⇐Общая
⇐WEB Разработка
⇐Мото

Настройка vlan на cisco


Настройка VLAN

Узлы и серверы, подключенные к коммутаторам 2-го уровня, считаются частью сетевого сегмента. Такая организация характеризуется двумя серьезными проблемами:
 
Коммутаторы выполняют лавинную рассылку широковещательных кадров из всех портов, что приводит к неоправданному потреблению полосы пропускания. С увеличением числа устройств, подключенных к коммутатору, генерируется больше широковещательного трафика, который занимает большую полосу пропускания;
все устройства, подключенные к коммутатору, могут пересылать и получать кадры от всех остальных устройств на этом коммутаторе.
При проектировании сети рекомендуется ограничивать широковещательный трафик областью сети, в которой он необходим. Существуют причины организационного характера, по которым одни узлы могут получать доступ друг к другу, а другие нет. Например, в доступе к бухгалтерскому серверу могут нуждаться только сотрудники бухгалтерии. В коммутируемой сети для ограничения широковещательных рассылок и объединения узлов в группы по интересам создаются виртуальные локальные сети (VLAN).

VLAN — это логический домен широковещательной рассылки, который может охватывать несколько физических сегментов LAN. Она позволяет администратору объединять станции по логической функции, проектной группе или приложению независимо от физического положения пользователей.

Разница между физической и виртуальной (логической) сетями продемонстрирована в следующем примере:

Ученики школы разделены на две группы. Каждому ученику первой группы дана красная карточка для идентификации. Каждому ученику второй группы дана синяя карточка. Директор объявляет, что ученики с красными карточками могут говорить только с другими обладателями красных карточек, а ученики с синими карточками — только с другими обладателями синих карточек. Таким образом, ученики логически разделены на две виртуальные группы или VLAN.
Благодаря такому логическому объединению широковещательный кадр рассылается только группе с красными карточками, несмотря на то, что группа с красными карточками и группа с синими карточками физически находятся в одной школе.
Этот пример также демонстрирует другую функцию VLAN. Широковещательные кадры не пересылаются между VLAN, они остаются внутри одной VLAN.
Каждая VLAN функционирует как отдельная локальная сеть. VLAN может охватывать один или несколько коммутаторов, что позволяет узлам работать так, как если бы они находились в одном сегменте.
VLAN выполняют две основные функции:
ограничение широковещательных рассылок;
объединение устройств в группы; устройства, расположенные в одной VLAN, невидимы для устройств, расположенных в другой VLAN.
Для передачи трафика между VLAN необходимо устройство 3-го уровня.
В коммутируемой сети устройство можно назначить во VLAN в соответствии с его положением, MAC-адресом, IP-адресом или приложениями, которые оно использует чаще всего. Администраторы задают принадлежность устройства VLAN статически или динамически.
Для задания статической принадлежности VLAN администратор должен вручную назначить каждый порт коммутатора в определенную VLAN. Например, порт fa0/3 можно назначить во VLAN 20. Любое устройство, подключающееся к порту fa0/3, автоматически становится членом VLAN 20.
Этот тип принадлежности VLAN проще всего настраивать и он самый популярный, но добавление, перемещение и изменение устройств потребует значительного вмешательства администратора. Например, перемещение узла из одной VLAN в другую потребует либо ручного переназначения порта коммутатора в новую VLAN, либо переключения кабеля рабочей станции в другой порт коммутатора, относящегося к новой VLAN.
Принадлежность устройства сети VLAN полностью прозрачна для пользователей. Пользователи, которые работают с устройством, подключенным к порту коммутатора, не знают, что являются членами VLAN.
Динамическая принадлежность VLAN требует наличия сервера управления политикой VLAN (VMPS). VMPS содержит базу данных, которая сопоставляет MAC-адреса с сетями VLAN. Когда
устройство подключается к порту, VMPS ищет его MAC-адрес в своей базе данных и временно назначает порт в соответствующую VLAN.
Динамическая принадлежность VLAN требует более сложной настройки и организации, но формирует более гибкую структуру, чем статическая принадлежность VLAN. Перемещение, добавление и изменение компонентов в динамической VLAN выполняется автоматически и не требует вмешательства администратора.
Примечание. Не все коммутаторы Catalyst поддерживают VMPS.
Максимальное общее число статических и динамических VLAN зависит от типа коммутатора и версии IOS. По умолчанию в качестве VLAN управления применяется VLAN1.
Администраторы используют IP-адрес VLAN управления для удаленной настройки коммутатора. Удаленный доступ к коммутатору позволяет администратору сети настраивать и обслуживать все конфигурации VLAN.
Кроме того, VLAN управления используется для обмена данными, например трафиком протоколов CDP (Cisco Discovery Protocol) и VTP (VLAN Trunking Protocol), с другими сетевыми устройствами.

При создании сети VLAN назначается номер и имя. Номер VLAN — это любое число из диапазона, доступного коммутатору, кроме VLAN1. Некоторые коммутаторы поддерживают примерно 1000 VLAN, другие — более 4000. Именование VLAN считается рекомендуемым методом управления сетью.
Для настройки VLAN используются следующие команды режима глобальной конфигурации: 
Switch(config)#vlan vlan_number 
Switch(config-vlan)#name vlan_name 
Switch(config-vlan)#exit 

назначает порты во VLAN. По умолчанию все порты относятся к VLAN1. Порты можно назначать по одному или диапазонами.
Используйте следующие команды для назначения отдельных портов в сети VLAN:
Switch(config)#interface fa#/# 
Switch(config-if)#switchport access vlan vlan_number 
Switch(config-if)# exit 

Используйте следующие команды для назначения диапазонов портов в сети VLAN: 
Switch(config)#interface range fa#/start_of_range - end_of_range
Switch(config-if)#switchport access vlan vlan_number
Switch(config-if)#exit

 

Для проверки и обслуживания VLAN используются следующие команды: show vlan
выводит подробный список номеров и имен VLAN, активных на коммутаторе, а также портов, назначенных в каждую из них;
выводит статистику протокола STP, если он настроен, для каждой VLAN.
show vlan brief
выводит сводный список, в котором отображаются только активные VLAN и их порты.
show vlan id номер_id
выводит сведения об определенной VLAN по ее идентификатору.

show vlan name имя_vlan
выводит сведения об определенной VLAN по ее имени.
 
В организации работники часто добавляются, удаляются или перемещаются между отделами и проектами. Это постоянное движение требует обслуживания VLAN, включая их удаление и переназначение портов.
Удаление VLAN и переназначение портов в другие VLAN — это две разные функции. Когда порт удаляется из определенной VLAN, он возвращается во VLAN1.
Удаление VLAN:
Switch(config)#no vlan номер_vlan
Удаление порта из определенной VLAN: 
Switch(config)#interface fa#/#
Switch(config-if)#no switchport access vlan номер_vlan

Устройства, подключенные к VLAN, взаимодействуют только с другими устройствами в этой VLAN, при этом устройства могут быть подключены как к одному, так и к разным коммутаторам.
Коммутатор связывает каждый порт с определенным номером VLAN. При приеме кадра на порте коммутатор добавляет идентификатор VLAN (VLAN ID - VID) в кадр Ethernet. Добавление идентификатора VLAN в кадр Ethernet называется маркировкой кадра. Самый распространенный стандарт маркировки кадра — IEEE 802.1 q.
Стандарт 802.1Q, который иногда сокращается до dot1q, подразумевает вставку 4-байтного поля метки в кадр Ethernet. Эта метка находится между адресом источника и полем type/length (тип/длина)
Минимальный размер кадров Ethernet составляет 64 байта, максимальный — 1518 байта, однако размер маркированного кадра Ethernet может достигать 1522 байта.
Кадры включают следующие поля:
MAC-адреса источника и назначения;
длина кадра;
полезные данные;
контрольная последовательность кадра (FCS).
Поле FCS обеспечивает выявление ошибок и гарантирует целостность всех битов в кадре.
Метка увеличивает минимальный размер кадра Ethernet с 64 до 68 байт. Максимальный размер увеличивается с 1518 до 1522 байт. Коммутатор перерассчитывает FCS, так как количество битов в кадре увеличивается.
Если порт, совместимый с 802.1Q, подключен к другому порту, также совместимому с 802.1Q, данные маркировки VLAN передаются между ними.
Если подключенный порт несовместим с 802.1Q, метка VLAN будет удалена, прежде чем кадр достигнет среды.
Устройства без поддержки 802.1Q будут воспринимать маркированный кадр Ethernet как слишком большой. Они отбросят кадр и сообщат об ошибке «большой кадр (англ.: baby giant)».

VLAN выполняют три основные функции:
ограничение размера широковещательных рассылок;
улучшение производительности сети;
повышение безопасности.
Чтобы в полной мере воспользоваться преимуществами VLAN, необходимо распространить их на несколько коммутаторов.
Для портов коммутатора можно задать две разные роли. Порт может быть определен как порт доступа или как магистральный порт.
Порт доступа
Порт доступа принадлежит только одной VLAN. Как правило, отдельные устройства, такие как компьютеры и серверы, подключаются к портам такого типа. Если несколько компьютеров подключаются к одному порту доступа через концентратор, все устройства, подключенные к концентратору, будут принадлежать к одной VLAN.
Магистральный порт
Магистральный порт — это канал типа "точка-точка" между коммутатором и другим сетевым устройством. Магистральные подключения служат для передачи трафика нескольких VLAN через один канал и обеспечивают им доступ ко всей сети. Магистральные порты необходимы для передачи трафика нескольких VLAN между устройствами при соединении двух коммутаторов, коммутатора и маршрутизатора или коммутатора и сетевого адаптера узла с поддержкой транкинга 802.1Q.

Без магистральных портов для каждой VLAN требовалось бы отдельное соединение между коммутаторами. 
Например, корпорации со 100 VLAN потребуется 100 каналов связи. При такой организации сеть не масштабируется должным образом и очень дорога. Магистральные каналы позволяют решить эту проблему за счет передачи трафика нескольких VLAN через один канал.


IEEE 802.1Q — стандартный и утвержденный метод маркировки кадров. Корпорация Cisco разработала собственный протокол маркировки кадров под названием межкоммутаторный канал (ISL). Коммутаторы более высокого класса, такие как Catalyst 6500, поддерживают оба протокола маркировки, однако большинство коммутаторов LAN, таких как 2960, поддерживают только 802.1Q.
По умолчанию порты коммутатора работают в режиме доступа. Чтобы настроить порт коммутатора в качестве магистрального порта, используйте следующие команды:
Switch(config)#interface fa(controler # / port #)
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate}

Коммутаторы, поддерживающие и 802.1Q и ISL, требуют последней инструкции. Коммутатор 2960 не требует этой инструкции, так как поддерживает только 802.1Q.
Параметр согласования используется по умолчанию на многих коммутаторах Cisco. Он позволяет устройству автоматически обнаруживать тип инкапсуляции соседнего коммутатора.

Новые коммутаторы могут обнаруживать тип канала, заданный на противоположной стороне. В зависимости от подключенного устройства канал настраивается в качестве магистрального порта или в качестве порта доступа.
Switch(config-if)#switchport mode dynamic {desirable | auto}

В требуемый режим порт становится магистральным, если порт на другой стороне находится в режиме desirable или auto.
В автоматический режим порт становится магистральным, если порт на другой стороне находится в режиме trunk или desirable.
Чтобы вернуть магистральный порт в режим доступа, введите одну из следующих команд: 
Switch(config)#interface fa (controler # / port #) 
Switch(config-if)#no switchport mode trunk 

или 
Switch(config-if)#switchport mode access

Транкинг позволяет нескольким VLAN пересылать трафик между коммутаторами, используя один порт.
Магистральный канал пропускает трафик с 4-байтным полем метки в кадре, если на обеих сторонах настроен протокол 802.1Q. Метка кадра содержит идентификатор VLAN ID.
Когда коммутатор получает маркированный кадр на магистральном порту, он удаляет метку, прежде чем переслать кадр из порта доступа. Коммутатор пересылает кадр, только если порт доступа относится к той же VLAN, что и маркированный кадр.
Однако некоторые типы трафика должны проходить через канал 802.1Q без идентификатора VLAN. Трафик без идентификатора VLAN называется немаркированным. Примеры немаркированного трафика: CDP (Cisco Discovery Protocol), VTP и определенные типы голосового трафика. Немаркированный трафик сводит к минимуму задержки, связанные с проверкой метки идентификатора VLAN.
Для поддержки немаркированного трафика используется специальная VLAN, которая называется собственной VLAN. Немаркированные кадры, принятые на порте 802.1Q, передаются в собственную VLAN. На коммутаторах Cisco Catalyst в качестве собственной VLAN по умолчанию используется VLAN 1.
Любую VLAN можно настроить в качестве собственной. Убедитесь, что собственная VLAN для магистрального подключения 802.1Q одинакова на обеих сторонах канала. В противном случае в топологии STP могут возникнуть петли.
Введите следующую команду для магистрального подключения 802.1Q, чтобы назначить идентификатор собственной VLAN физическому интерфейсу:
Switch(config-if)#dot1q native vlan vlan-id
Хотя VLAN могут охватывать несколько коммутаторов, только устройства, относящиеся к одной VLAN, могут взаимодействовать друг с другом.
Для соединения между VLAN необходимо устройство 3-го уровня. Такая организация позволяет администратору сети осуществлять строгий контроль над типами трафика, которые передаются из одной VLAN в другую.
Один из методов маршрутизации между VLAN требует отдельного подключения интерфейса к устройству 3-го уровня для каждой VLAN.
Другой метод соединения между VLAN требует функции, которая называется подынтерфейсами. Подынтерфейсы позволяют логически разделить один физический интерфейс на несколько логических путей. Для каждой VLAN настраивается отдельный путь или подынтерфейс.
Взаимодействие между VLAN с использованием подынтерфейсов требует настройки как маршрутизатора, так и коммутатора.
Коммутатор
Настройте интерфейс коммутатора в качестве магистрального канала 802.1Q.

Маршрутизатор
выберите интерфейс маршрутизатора не ниже FastEthernet 100 Мбит/с;
настройте подынтерфейсы с поддержкой инкапсуляции 802.1Q;
для каждой VLAN настраивается один подынтерфейс.
 
Подынтерфейс позволяет каждой VLAN иметь собственный логический путь и шлюз по умолчанию к маршрутизатору.

Чтобы настроить маршрутизацию между VLAN, выполните следующие действия:
Настройте магистральный порт на коммутаторе. 
Switch(config)#interface fa0/2 
Switch(config-if)#switchport mode trunk

На маршрутизаторе настройте интерфейс FastEthernet без IP-адреса и маски подсети. 
Router(config)#interface fa0/1 
Router(config-if)#no ip address Router(config-if)#no shutdown

На маршрутизаторе настройте один подынтерфейс с IP-адресом и маской подсети для каждой VLAN. Каждый подынтерфейс использует инкапсуляцию 802.1Q.
Router(config)#interface fa0/0.10
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0

Проверьте конфигурацию и работоспособность маршрутизации между VLAN с помощью следующих команд.
Switch#show trunk
Router#show ip interfaces
Router#show ip interfaces brief
Router#show ip route

С увеличением размера и сложности сети централизованное управление структурой VLAN становится критически важным. Протокол VTP (VLAN Trunking Protocol) — это протокол обмена сообщениями 2-го уровня, который предоставляет метод управления базой данных VLAN с центрального сервера в сетевом сегменте. Маршрутизаторы не пересылают обновления VTP.
Без автоматизированного метода управления корпоративной сетью с сотнями VLAN потребовалась бы ручная настройка каждой VLAN на каждом коммутаторе. Любое изменение структуры VLAN потребовало дополнительной ручной настройки. Один неверно набранный номер может стать причиной неустойчивости соединений по всей сети.
Чтобы решить эту проблему, корпорация Cisco создала протокол VTP, который автоматизирует многие задачи конфигурации VLAN. VTP гарантирует согласованное обслуживание конфигурации VLAN по всей сети и уменьшает необходимость в управлении и мониторинге VLAN.

VTP — это протокол обмена сообщениями с архитектурой "клиент-сервер", который добавляет, удаляет и переименовывает VLAN в одном домене VTP. Все коммутаторы под общим управлением являются частью домена. У каждого домена есть уникальное имя. Коммутаторы VTP обмениваются сообщениями VTP только с другими коммутаторами в домене.
Существует две разные версии VTP: 1 и 2. Версия 1 — версия по умолчанию и она несовместима с версией 2. На всех коммутаторах необходимо настроить одну версию протокола.
VTP использует три режима: серверный, клиентский и прозрачный. По умолчанию все коммутаторы являются серверами. Рекомендуется настроить хотя бы два коммутатора в сети в качестве серверов, чтобы обеспечить резервирование.
При использовании VTP каждый сервер объявляет сообщения через свои магистральные порты. Сообщения включают домен управления, номер версии конфигурации, известные VLAN и параметры каждой VLAN. Кадры объявлений отправляются по адресу многоадресной рассылки, поэтому их получают все соседние узлы.
Каждый коммутатор VTP сохраняет базу данных VLAN, включающую номер версии конфигурации, в энергонезависимой памяти (NVRAM). Если VTP получает обновление с более высоким номером версии, чем номер в базе данных, коммутатор добавляет новые данные в свою базу данных VLAN.
Номер изменения конфигурации VTP начинается с нуля. При внесении изменений номер версии конфигурации увеличивается на единицу.

Номер версии продолжает увеличиваться, пока не достигает 2 147 483 648. При достижении этого значения счетчик сбрасывается в ноль. Кроме того, номер версии сбрасывается при перезагрузке коммутатора.
Проблема, связанная с номером версии, может возникнуть, если кто-то добавит в сеть коммутатор с более высоким номером версии, не перезагрузив его. Поскольку по умолчанию коммутатор находится в серверном режиме, новые, но неверные данные могут перезаписать корректные данные VLAN на всех остальных коммутаторах.

Один из способов обеспечить защиту от этой критической ситуации состоит в задании паролей VTP для проверки коммутаторов. Перед добавлением нового коммутатора в существующую сеть всегда перезагружайте его, чтобы сбросить номер версии. Кроме того, при добавлении коммутатора в сеть, в которой уже есть коммутатор в серверном режиме, убедитесь, что новый коммутатор настроен в прозрачном или клиентском режиме.
 

Существует три типа сообщений VTP: сводные объявления, сокращенные объявления и запросы объявлений.
Сводные объявления
Коммутаторы Catalyst рассылают сводные объявления каждые 5 минут, а также при изменении базы данных VLAN. Сводные объявления содержат текущее имя домена VTP и номер версии конфигурации.
При добавлении, удалении или изменении VLAN сервер увеличивает номер версии конфигурации и отправляет сводное объявление.
При получении пакета сводного объявления коммутатор сравнивает имя домена VTP со своим именем домена VTP. Если имена домена совпадают, коммутатор сравниваниет номер версии конфигурации со своим номером. Если полученный номер ниже, коммутатор игнорирует пакет. Если номер версии выше, отправляется запрос объявления.
 
Сокращенные объявления
Сокращенное объявление отправляется после сводного объявления. Сокращенное объявление содержит список данных VLAN.
Сокращенное объявление содержит новые данные VLAN, основанные на сводном объявлении. Если в сети несколько VLAN, потребуется несколько сокращенных объявлений.
 
Запросы объявлений
VTP-клиенты используют запросы объявлений, чтобы запросить информацию о VLAN. Запросы объявлений необходимы, если коммутатор сброшен или изменено имя домена VTP. Коммутатор получает сводное объявление VTP с более высоким номером версии конфигурации, чем его собственный.
 
По умолчанию коммутаторы являются серверами. Если коммутатор в серверном режиме отправляет обновление с номером версии, превышающим текущий номер версии, все коммутаторы изменят свои базы данных в соответствии с новым коммутатором.
При добавлении нового коммутатора в существующий домен VTP выполните следующие действия:
Действие 1. Настройте протокол VTP в автономном режиме (версию 1)
Действие 2. Проверьте конфигурацию VTP. 
Действие 3. Перезагрузите коммутатор.
Главное назначение VLAN — разделение трафика на логические группы. Трафик из одной VLAN не оказывает влияния на трафик в другой VLAN. Среда VLAN идеальна для трафика, чувствительного к временным задержкам, например голосового.
Голосовой трафик должен получать приоритет над обычным трафиком данных, чтобы избежать перерывов и джиттера при разговоре. Предоставление выделенной VLAN для голосового трафика позволяет голосовому трафику не конкурировать с данными за доступную полосу пропускания.
IP-телефон, как правило, включает два порта — один для голоса, другой для данных. Пакеты, передаваемые между IP-телефоном и компьютером, используют тот же физический канал и тот же порт коммутатора. Для сегментации голосового трафика активируйте голосовую VLAN на коммутаторе.
Беспроводной доступ — другой тип трафика, который использует преимущества VLAN. Беспроводной доступ по своей природе небезопасен и уязвим к хакерским атакам. VLAN, созданные для беспроводного доступа, изолируют некоторые из потенциальных проблем. Угроза целостности беспроводной VLAN не повлияет на другие VLAN в организации.
Большинство беспроводных сред помещают пользователей во VLAN за пределами брандмауэра для повышенной безопасности. Пользователи должны пройти аутентификацию, чтобы получить доступ к внутренней сети из беспроводной сети.
Кроме того, многие организации предоставляют гостевой доступ в свою беспроводную сеть. Гостевые учетные записи предоставляют временные беспроводные услуги, такие как веб-доступ, электронная почта, ftp и SSH, всем. Количество активных учетных записей ограничивается. Гостевые учетные записи включаются в беспроводную VLAN или группируются в собственной
VLAN.

При качественном планировании и проектировании VLAN обеспечивают безопасность, экономят полосу пропускания и локализуют трафик в корпоративной сети. Все эти функции объединяются для улучшения производительности сети.
Некоторые из рекомендуемых методов настройки VLAN в корпоративной сети приводятся ниже.
организация размещения серверов;
отключение неиспользуемых портов;
настройка VLAN управления с номером, отличным от 1;
использование протокола VTP;
настройка доменов VTP;
перезагрузка новых коммутаторов перед их добавлением в существующую сеть.
В то же время VLAN не являются ответом на все проблемы.
Неправильное внедрение VLAN может привести к излишнему усложнению сети, которое станет причиной неустойчивого соединения и снижения производительности сети.
VLAN изолируют определенные типы трафика по соображениям безопасности. Для перемещения трафика между VLAN необходимо устройство 3-го уровня, которое увеличивает стоимость внедрения и повышает уровень запаздывания в сети.

----------------------------------------------

Произведем настройку vlan на сетевом интерфейсе комутатора:

#conf t

Создаем виртуальную сеть

#vlan 2

Даем имя

#name test-vlan
#exit

Привязываем интерфейсы

#interface range FatEthernet 0/13 - 14

#switchport mode access


#switchport access vlan 2

Ставим голос на 3й влан:

#switchport voice vlan 3
#exit

------------------------------------------------

Настроим VLAN на интерфейсе маршрутизатора:

Убьем физический адрес

router>en
router#conf t
router#interface fastethernet 0/0
router#no ip address

Создадим под-интерфейс

router#interface fastethernet 0/0.1

Зададим инкапсуляцию и свяжем с VLAN 333

router#encapsulation dot1Q 333

Зададим ip и маску

router#ip address 192.168.1.10 255.255.255.0
router#end

--------------------------------------------------

Просмотр информации о VLAN'ах:
# show vlan brief

Создание статического транка:
(config)# interface fa0/13
(config-if)# switchport trunk encapsulation dot1q
(config-if)# switchport mode trunk


Комментарии пользователей

Оставленных комментариев: 1Добавить комментарий
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!
Алексей (14.11.2017 в 13:23)ответить
У меня вопрос такой. Если строить сетку из таких коммутаторов ISCOM2110EA-MA , у них же есть VLAN и достаточно возможностей для настройки сети как в статье???

© Snakeproject.ru создан в 2013 году. При копировании материала с сайта - оставьте ссылку.


Яндекс.Метрика

Goon Каталог сайтов Рейтинг@Mail.ru