Какое количество vlan поддерживает оборудование компании cisco

Помогите разобраться пожалуйста, а то что-то я зашел в тупик.

Топология сети уровня микрорайона — звезда. На каждый дом ставится n-портовый свитч, для простоты будем говорить о Catalyst 2950. За каждым пользователем нужно закрепить отдельный порт и на этот порт навесить свой VLAN. На «уровне подъезда» и «уровне дома» проблем вроде как нет — прошивка SI поддерживает 64 вилана, прошивка EI — 250, т.е. гарантированно всем хватит.

А как быть на свитчах уровнем выше («уровень двора», куда стекаются сигналы от нескольких близлежащих домов) или на самом верху («уровень микрорайона» — свитч, в который стекаютя каналы от всех «дворов» + сервера и головной роутер)? Значит ли это, что если у меня во «дворе» будет больше 250 пользователей, то мне нужен свитч, поддерживающий бОльшее число виланов, а на «уровне микрорайона» в ок. 1000 пользователей надо ставить свитч, поддерживающий как минимум 1000 виланов?

И второй вопрос: нужно ли при выборе роутера учитывать то, что архитектура сети подразумевает выделение вилана каждому пользователю и выбирать какой-то особенный роутер, который сможет разрулить эту 1000 виланов?

Технология VLAN позволяет разделять сеть на логические сегменты. Каждый такой логический сегмент имеет свой широковещательный домен. Уникастовый, бродкастовый и мультикастовый трафик передается только между устройствами входящими в один VLAN. VLAN часто используется для разделения IP сегментов сети, с последующей маршрутизацией и фильтрацией трафика между разными VLAN на маршрутизаторе или на L3 коммутаторе.

Как настраивать VLAN на Cisco роутере можно посмотреть в статье Cisco VLAN — настройка vlan на маршрутизаторе Cisco. Здесь речь пойдёт о настройке VLAN на коммутаторах  Cisco Catalyst.

Перед настройкой VLAN на коммутаторе, необходимо определиться будет ли в сети использоваться протокол VTP (VLAN Trunking Protocol) или нет. Использование VTP облегчает управление (создание, удаление, переименовывание) VLAN-ами в сети. В случае с VTP изменение (информацию о VLAN) можно внести централизованно, на одном коммутаторе, и эти изменения распространятся на другие коммутаторы в сети. Если не использовать VTP, то изменения нужно вносить на каждом коммутаторе.

VTP накладывает свои ограничения: протокол VTP версии 1 и 2 поддерживает только базовый диапазон VLAN (c 1 по 1005), поддержка расширенного диапазона (с 1006 по 4094) возможна только в версии протокола 3. Поддержка протокола  VTP 3 версии начинается с  Cisco IOS версии 12.2(52)SE и выше. Настройку протокола VTP рассмотрим в другой статье, а в этой будем подразумевать, что не используем VTP.

Настройку VLAN на коммутаторе можно выделить в три этапа: создание VLAN, настройка портов, проверка.

1. Создание VLAN на Cisco Catalyst

Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:

1 — 1005  базовый диапазон (normal-range)

1002 — 1005 зарезервированы для Token Ring и FDDI VLAN

1006 — 4094 расширенный диапазон (extended-range)

При создании или изменении VLAN можно задать следующие параметры:

На практике чаще всего, при создании VLAN задаётся только VLAN ID и VLAN name

Значения по умолчанию:

Для создания VLAN нужно:

1. Войти в привилегированный режим и ввести необходимый пароль (команда «enable«)

sw1>
sw1>enable
 Password:
sw1#

2. Переключиться в режим глобального конфигурирования (команда «configure terminal«)

sw1#
sw1#configure terminal
   Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#

3. Создать VLAN командой «vlan id«, где id — номер VLAN (После создания, консоль окажется в режиме конфигурирования VLAN, где можно задать перечисленные выше параметры для VLAN)

sw1(config)#
sw1(config)#vlan 200
sw1(config-vlan)#

4. Задать необходимые параметры, для созданного VLAN (например имя)

sw1(config-vlan)#
sw1(config-vlan)#name TESTVLAN
sw1(config-vlan)#

Если, в режиме конфигурирования VLAN, ввести знак вопроса, то отобразятся параметры, которые можно задать для данного VLAN:

sw1(config-vlan)#?
 VLAN configuration commands:
   are          Maximum number of All Route Explorer hops for this VLAN (or zero if none specified)
   backupcrf    Backup CRF mode of the VLAN
   bridge       Bridging characteristics of the VLAN
   exit         Apply changes, bump revision number, and exit mode
   media        Media type of the VLAN
   mtu          VLAN Maximum Transmission Unit
   name         Ascii name of the VLAN
   no           Negate a command or set its defaults
   parent       ID number of the Parent VLAN of FDDI or Token Ring type VLANs
   private-vlan Configure a private VLAN
   remote-span  Configure as Remote SPAN VLAN
   ring         Ring number of FDDI or Token Ring type VLANs
   said         IEEE 802.10 SAID
   shutdown     Shutdown VLAN switching
   state        Operational state of the VLAN
   ste          Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified)
   stp          Spanning tree characteristics of the VLAN
   tb-vlan1     ID number of the first translational VLAN for this VLAN (or zero if none)
   tb-vlan2     ID number of the second translational VLAN for this VLAN (or zero if none)

5. Выйти из режима конфигурирования vlan (команда «exit«, либо «end» — выход из режима глобального конфигурирования)

sw1(config-vlan)#
sw1(config-vlan)#end
sw1#

Не забываем сохранять конфигурацию командой «copy running-config  startup-config» в привилегированном режиме

sw1#
sw1#copy running-config startup-config
  Destination filename [startup-config]?
  Building configuration...
[OK]

Удалить VLAN можно командой «no vlan id» в режиме глобального конфигурирования:

sw1(config)#
sw1(config)#no vlan 200
sw1(config)#

2. Настройка портов на Cisco Catalyst

Порт на коммутаторе Cisco может находиться в одном из режимов:

 access — порт предназначен для подключения оконечного устройства. Принадлежит только одному VLAN. Входящий трафик от подключенного к порту устройства, маркируется заданным на порту VLAN.

 trunk — порт предназначен для подключения к другому коммутатору или маршрутизатору. Порт передаёт тегированный трафик. Может передавать  трафик как одного, так и нескольких VLAN через один физический кабель.

На Cisco Catalyst можно самому задать режим порта (trunk или access), либо задать автоопределение. При автоопределении режима, порт будет согласовываться с соседом (подключенным к этому порту коммутатором или иным устройством). Согласование режима порта происходит путём передачи DTP (Dynamic Trunking Protocol) фреймов. Для успешной работы протокола DTP, необходимо, что бы интерфейсы были в одном VTP домене (либо один из VTP доменов был null, неточно)

Автоопределение режима порта задаётся командой «switchport mode dynamic auto» или «switchport mode dynamic desirable» в режиме конфигурации интерфейса.

Если на интерфейсе установлено «switchport mode dynamic auto» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или  «dynamic desirable«

Если на интерфейсе установлено «switchport mode dynamic desirable» — то порт переходит в режим trunk, только, если порт соседнего коммутатора установлен в режим «trunk» или  «dynamic desirable» или «dynamic auto« 

Не все устройства поддерживают DTP, либо могут некорректно передавать DTP фреймы, в таком случае лучше задать режим (access или trunk) принудительно командами «switchport mode access» или «switchport mode trunk» в режиме конфигурации интерфейса, и отключить передачу DTP фреймов командой «switchport nonegotiate«.

Конфигурация порта по умолчанию:

Настройка порта в режим автоопределения. 

Действия:

— войти в привилегированный режим (команда: «enable«)

— войти в режим глобального конфигурирования (команда: «configure terminal«)

— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса, например «interface GigabitEthernet0/21″)

— задать динамический режим порта/интерфейса (команда: «switchport mode dynamic auto» или «switchport mode dynamic desirable«)

— (не обязательно) задать VLAN, который будет на интерфейсе, если порт перейдёт из режима trunk в режим access, по умолчанию VLAN 1 (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)

— (не обязательно) задать Native VLAN, для IEEE 802.1q транка, по умолчанию Native VLAN 1 (команда: «switchport trunk native vlan vlan-id«, где vlan-id — номер Native VLAN)

— добавить/удалить VLAN в транке, по умолчанию все номера VLAN разрешены (команды: «switchport trunk allowed vlan add vlan-list» — добавить в транк VLAN-ы перечисленные в vlan-list, «switchport trunk allowed vlan remove vlan-list» — удалить из транка VLAN-ы, перечисленные в vlan-list, в vlan-list вланы перечисляются через запятую без пробелов, а диапазоны через дефис, например 2,20,30-40,50 ). Можно сразу задать список необходимых VLAN (командой: «switchport trunk allowed vlan vlan-list«)

— включить порт/интерфейс (команда: «no shutdown«)

— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )

Пример:

sw1#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface gigabitEthernet 0/23
sw1(config-if)#switchport mode dynamic desirable
sw1(config-if)#switchport access vlan 50
sw1(config-if)#switchport trunk native vlan 100
sw1(config-if)#switchport trunk allowed vlan 2,30-35,40
sw1(config-if)#no shutdown
sw1(config-if)#end
sw1#

В данном примере порт 23 переведётся в режим trunk, если порт на соседнем коммутаторе установлен в режиме dynamic auto или dynamic disirable или trunk . В транке будут передаваться только VLAN 2, VLAN с 30 по 35 и VLAN 40. При работе порта в режиме trunk, приходящий на него не тегированный (native) трафик будет помещаться (маркироваться) в VLAN 100. Если порт на соседнем коммутаторе работает в режиме access, то интерфейс будет помещён в VLAN 50.

Настройка access порта.

VLAN на access порту может задаваться статически либо автоматически. Автоматическое назначение VLAN основывается на МАК адресе источника, используя протокол VQP (VLAN Query Protocol) и сервер VMPS (VLAN Management Policy Server). Сервером VMPS могут выступать коммутаторы только старших моделей, такие серии как Catalyst 4000, 5000 и 6500. Автоматическую настройку access порта через VQP в данной статье рассматривать не будем. Здесь будет показано только статическое задание VLAN на access порту.

Для включения access порта в необходимый VLAN, нужно сделать:

— войти в привилегированный режим (команда: «enable«)

— войти в режим глобального конфигурирования (команда: «configure terminal«)

— войти в режим конфигурирования сетевого интерфейса (команда: «interface interface-id«, где interface-id — имя и номер интерфейса)

— задать режим порта/интерфейса «access» (команда: «switchport mode access«)

— задать VLAN на порту/интерфейсе (команда: «switchport access vlan vlan-id«, где vlan-id — номер VLAN)

— включить порт/интерфейс (команда: «no shutdown«)

— выйти из режима конфигурирования интерфейса (команда: «exit» или «end» )

Пример:

Пусть к 22-му порту коммутатора подключен сервер, который необходимо поместить в 200-й VLAN

Настройка порта:

sw1>
sw1>enable
 Password:
sw1#
sw1#configure terminal
 Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface GigabitEthernet0/22
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 200
sw1(config-if)#no shutdown
sw1(config-if)#exit
sw1(config)#exit
sw1#

Настройка trunk порта.

Настройка порта в режиме trunk идентична настройки порта в режиме автоопределения, за исключением того, что режим нужно указать не dynamic а trunk.

Пример:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface gigabitEthernet 0/23
sw6(config-if)#switchport mode trunk
sw6(config-if)#switchport trunk allowed vlan 2,30-35,40
sw6(config-if)#no shutdown
sw6(config-if)#end
sw6#

В примере задаётся транк на 23-м порту, в транке разрешены только VLAN 2, VLAN с 30 по 35 и VLAN 40

Добавление VLAN в транковый порт выполняет команда: «switchport trunk allowed vlan add VLAN_NUM«

Пример добавления вланов 100 и 200 к существующим, в транковом порту 23:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface Gi0/23
sw6(config-if)#switchport trunk allowed vlan add 100,200
sw6(config-if)#
sw6(config-if)#end
sw6#

УдалениеVLAN из транкового порта выполняет команда: «switchport trunk allowed vlan remove VLAN_NUM«

Пример удаления вланов 100 и 200 из существующих, в транковом порту 23:

sw6#
sw6#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw6(config)#interface Gi0/23
sw6(config-if)#switchport trunk allowed vlan remove 100,200
sw6(config-if)#
sw6(config-if)#end
sw6#

Некоторые cisco коммутаторы поддерживают два протокола для работы с VLAN это IEEE 802.1q и ISL. Протокол ISL уже устарел и на многих современных коммутаторах не поддерживается. Поэтому предпочтительнее использовать протокол IEEE 802.1q

На таких коммутаторах, перед настройкой порта в режиме транка, нужно выбрать тип инкапсуляции dot1q (комана: «switchport trunk encapsulation dot1q» в режиме конфигурации интерфейса)

3. Проверка настройки VLAN

Посмотреть информацию о VTP  протоколе: «show vtp status«

Показать информацию обо всех VLAN на коммутаторе: «show vlan«

Посмотреть информацию об конкретном VLAN, и узнать на каких он портах: «show vlan id vlan-id«

Посмотреть режим работы порта, native vlan, access vlan и прочее: «show interfaces interface-id  switchport«

Иногда, необходимо на коммутаторе создать интерфейс 3-го уровня для VLAN. Например, для маршрутизации и фильтрации IP трафика между разными VLAN (должна быть поддержка L3 уровня как самой моделью коммутатора так и версией IOS). Либо просто создать интерфейс для управления этим коммутатором в специальном VLAN.

Сетевой интерфейс для VLAN создаётся в режиме глобального конфигурирования командой: «interface vlan-id«, где vlan-id — это номер VLAN.

Далее консоль переходит в режим конфигурирования интерфейса, где можно задать необходимые сетевые настройки ip адрес, маску сети, повесить ACL и прочее.

Пример создания L3 интерфейса для VLAN 200:

sw1#
sw1#configure terminal
  Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#interface vlan 200
sw1(config-if)#ip address 192.168.200.1 255.255.255.0
sw1(config-if)#end
sw1#

Мы уже рассматривали локальные сети VLAN в видеоуроках День 11, 12 и 13 и сегодня продолжим их изучение в соответствии с тематикой ICND2. Я записал предыдущее видео, которое ознаменовало окончание подготовки к сдаче экзамена ICND1, несколько месяцев назад и все это время до сегодняшнего дня был очень занят. Думаю, многие из вас успешно сдали этот экзамен, те же, кто отложил тестирование, могут дождаться окончания второй части курса и попробовать сдать комплексный экзамен CCNA 200-125.

Сегодняшним видеоуроком «День 34» мы начинаем тематику курса ICND2. Многие спрашивают меня, почему мы не рассмотрели OSPF и EIGRP. Дело в том, что эти протоколы не включены в тематику курса ICND1 и изучаются при подготовке к сдаче ICND2. С сегодняшнего дня мы начнем охват тем второй части курса и конечно же, изучим проколы OSPF и EIGRP. Перед тем, как начать сегодняшнюю тему, я хочу рассказать о структурировании наших видеоуроков. При изложении тематики ICND1 я не придерживался принятых шаблонов, а просто логически объяснял материал, так как считал, что такой способ легче для понимания. Теперь же, при изучении ICND2, я по просьбам слушателей стану подавать учебный материал в соответствии с учебным планом и программой курса Cisco.

Если вы зайдете на сайт компании, то увидите этот план и то, что весь курс разбит на 5 основных частей:

— Технологии коммутации локальных сетей (26% учебного материала);
— Технологии маршрутизации (29%);
— Технологии глобальных сетей (16%);
— Сервисы инфраструктуры (14%);
— Обслуживание инфраструктуры (15%).

Я начну с первой части. Если нажать на раскрывающееся меню справа, то можно увидеть детальную тематику данного раздела. Сегодняшний видеоурок охватит тематику раздела 1.1: «Настройка, проверка и устранение неполадок сетей VLAN (обычный / расширенный диапазон), охватывающих несколько свитчей» и подразделов 1.1а «Порты доступа (данные и голосовые сообщения)» и 1.1.b «VLAN по умолчанию».

Далее я постараюсь придерживаться этого же принципа изложения, то есть каждый видеоурок будет посвящен одному разделу с подразделами, а если материала окажется мало, я буду объединять в одном уроке тематику нескольких разделов, например, 1.2 и 1.3. Если же материала раздела будет много, я разобью его на два видео. В любом случае мы будем следовать программе курса, и вы легко сможете сравнить соответствие ваших записей актуальному учебному плану Cisco.

Вы видите на экране мой новый рабочий стол, это Windows 10. Если вы захотите усовершенствовать свой рабочий стол с помощью различных виджетов, можете посмотреть мое видео под названием «Pimp Your Desktop», где я рассказываю, как настроить рабочий стол компьютера в соответствии с вашими потребностями. Видео подобного рода я выкладываю на другом канале, ExplainWorld, так что можете воспользоваться ссылкой в правом верхнем углу и ознакомиться c его содержанием.

Перед началом урока попрошу вас не забывать делиться моими видео и ставить лайки. Хочу также напомнить наши контакты в социальных сетях и ссылки на мои персональные странички. Вы можете писать мне на электронную почту, и как я уже говорил, приоритет в получении моего персонального ответа будут иметь люди, совершившие пожертвование на нашем сайте.

Если вы не сделали пожертвования, ничего страшного, вы можете оставлять свои комментарии под видеоуроками на канале YouTube, и я буду отвечать на них по мере возможности.

Итак, сегодня, согласно расписанию Cisco, мы рассмотрим 3 вопроса: сравним Default VLAN, или VLAN по умолчанию, с Native VLAN, или «родным» VLAN, узнаем, чем отличается Normal VLAN (обычный диапазон VLAN) от расширенного диапазона сетей Extended VLAN и рассмотрим разницу между Data VLAN (VLAN данных) и Voice VLAN (голосовая VLAN). Как я сказал, мы уже изучали этот вопрос в предыдущих сериях, но довольно поверхностно, поэтому до сих пор многие ученики с трудом определяют разницу между типами VLAN. Сегодня я объясню это так, чтобы всем стало понятно.

Рассмотрим, в чем состоит разница между Default VLAN и Native VLAN. Если вы возьмете совершенно новый свитч Cisco с заводскими настройками, он будет иметь 5 VLAN – VLAN1, VLAN1002, VLAN1003, VLAN1004 и VLAN1005.

VLAN1 является VLAN по умолчанию для всех устройств Cisco, а VLAN 1002-1005 зарезервированы для Token Ring и FDDI. Сеть VLAN1 невозможно удалить или переименовать, к ней нельзя добавить интерфейсы, и все порты свитча по умолчанию принадлежат к этой сети, пока их не настроят по-другому. По умолчанию все свитчи могут общаться друг с другом, потому что все они являются частью VLAN1. Вот что означает «VLAN по умолчанию», или Default VLAN.

Если вы зайдете в настройки свитча SW1 и назначите два интерфейса для сети VLAN20, то они станут частью сети VLAN20. Перед тем, как приступить к сегодняшнему уроку, я настойчиво советую вам пересмотреть упомянутые выше серии 11,12 и 13 дней, потому что я не стану повторять, что такое VLAN и как они работают.

Я просто напомню, что нельзя автоматически приписать интерфейсы к сети VLAN20, пока её не создашь, поэтому сначала нужно зайти в режим глобальной конфигурации свитча и создать VLAN20. Вы можете посмотреть на консоль настроек CLI и понять, что я имею в виду. После того, как вы назначили эти 2 порта для работы с VLAN20, компьютеры PC1 и PC2 смогут связаться друг с другом, потому что они оба будут принадлежать одной сети VLAN20. Но компьютер PC3 все ещё будет частью VLAN1 и поэтому не сможет связаться с компьютерами сети VLAN20.

У нас есть второй свитч SW2, один из интерфейсов которого назначен для работы с VLAN20, и к этому порту подсоединен компьютер PC5. При такой схеме соединения PC5 не может связаться с PC4 и PC6, но при этом эти два компьютера могут общаться друг с другом, поскольку принадлежат к одной и той же сети VLAN1.

Оба свитча соединяются транком через соответственно настроенные порты. Не буду повторяться, просто скажу, что все порты свитча по умолчанию настроены на режим транкинга по протоколу DTP. Если к какому-то порту подсоединить компьютер, то этот порт будет использовать access mode. Если вы захотите перевести в этот режим порт, к которому подсоединен PC3, то должны будете ввести команду switchport mode access.

Итак, если вы соедините два свитча друг с другом, они образуют транк. Два верхних порта SW1 будут пропускать трафик только VLAN20, нижний порт – только трафик VLAN1, но транк-соединение будет пропускать через себя весь трафик, проходящий через свитч. Таким образом, к SW2 будет поступать трафик и VLAN1, и VLAN20.

Как вы помните, сети VLAN имеют локальное значение. Поэтому SW2 знает, что трафик, поступивший на порт VLAN1 от PC4, может быть отправлен PC6 только через порт, который также принадлежит VLAN1. Однако когда один свитч отсылает трафик другому свитчу по транку, он должен использовать механизм, который объяснить второму свитчу, что это за трафик. В качестве такого механизма используется сеть Native VLAN, которая подключена к транк-порту и пропускает через себя тегированный трафик.

Как я уже сказал, у свитча есть только одна сеть, которая не подвержена изменениям – это сеть по умолчанию VLAN1. Но по умолчанию Native VLAN и есть VLAN1. Что такое Native VLAN? Эта сеть, которая пропускает нетегированный трафик VLAN1, но как только на транк-порт поступает трафик от любой другой сети, в нашем случае VLAN20, он обязательно снабжается тегом. Каждый фрейм имеет адрес назначения DA, адрес источника SA и тег VLAN, содержащий в себе идентификатор сети VLAN ID. В нашем случае этот идентификатор показывает, что данный трафик относится к VLAN20, поэтому он может быть отправлен только через порт VLAN20 и предназначаться для PC5. Можно сказать, что Native VLAN решает, должен ли трафик быть тегированным или не тегированным.

Запомните, что VLAN1 по умолчанию является сетью Native VLAN, потому что по умолчанию все порты используют VLAN1 в качестве Native VLAN для передачи нетегированного трафика. Однако при этом сетью Default VLAN является только VLAN1, единственная сеть, которая не может быть изменена. Если свитч получает нетегированные фреймы на транковом порту, он автоматически причисляет их к Native VLAN.

Проще говоря, в свитчах Cisco в качестве Native VLAN можно использовать любую VLAN, например, VLAN20, а в качестве Default VLAN можно использовать только VLAN1.

При этом у нас может возникнуть проблема. Если мы поменяем для транк –порта первого свитча Native VLAN на VLAN20, то порт подумает: «раз это Native VLAN, то её трафик не нужно снабжать тегом» и отправит нетегированный трафик сети VLAN20 по транку второму свитчу. Свитч SW2, получив этот трафик, скажет: «отлично, этот трафик не имеет тега. Согласно моим настройкам, моя Native VLAN – это VLAN1, значит, я должен отправить этот нетегированный трафик по сети VLAN1». Таким образом, SW2 направит полученный трафик только PC4 и PC-6, хотя он предназначен PC5. Это создаст большую проблему безопасности, так как смешает трафик VLAN. Вот почему на обеих транк-портах всегда нужно настраивать одну и ту же Native VLAN, то есть если Native VLAN для транк порта SW1 – это VLAN20, то эта же VLAN20 должна быть установлена в качестве Native VLAN на транк-порте SW2.

Вот в чем заключена разница между Native VLAN и Default VLAN, и вам нужно помнить, что все Native VLAN в транке должны совпадать (примечание переводчика: поэтому лучше использовать в качестве Native VLAN сеть, отличную от VLAN1).

Давайте глянем на это с точки зрения свитча. Вы можете зайти в свитч и напечатать команду show vlan brief, после чего увидите, что все порты свитча подсоединены к Default VLAN1.

Ниже показаны ещё 4 сети VLAN: 1002,1003,1004 и 1005. Это тоже Default VLAN, вы видите это из их обозначения. Они являются сетями по умолчанию, потому что зарезервированы для конкретных сетей — Token Ring и FDDI. Как видите, они находятся в активном состоянии, но не поддерживаются, потому что к свитчу не подсоединены сети упомянутых стандартов.

Обозначение “default” для сети VLAN 1 не может быть изменено, потому что это сеть по умолчанию. Так как по умолчанию все порты свитча принадлежат к этой сети, все свитчи могут связываться друг с другом по умолчанию, то есть без необходимости дополнительной настройки портов. Если вы хотите подключить свитч к другой сети, вы входите в режим глобальных настроек и создаете эту сеть, например, VLAN20. Нажав «Ввод», вы перейдете к настройкам созданной сети и можете присвоить ей имя, например, Management, после чего выйти из настроек.

Если сейчас использовать команду show vlan brief, вы увидите, что у нас появилась новая сеть VLAN20, которой не соответствует ни один из портов свитча. Для того, чтобы присвоить этой сети конкретный порт, нужно выделить интерфейс, например, int e0/1, зайти в настройки этого порта и ввести команды switchport mode access и switchport access vlan20.

Если попросить систему показать состояние сетей VLAN, мы увидим, что теперь порт Ethernet 0/1 предназначается для сети Management, то есть автоматически был перемещен сюда из области портов, предназначенных по умолчанию для VLAN1.

Запомните, что каждый access-порт может иметь только одну Data VLAN, поэтому он не может одновременно обслуживать две сети VLAN.

Теперь глянем на Native VLAN. Я использую команду show int trunk и вижу, что порт Ethernet0/0 выделен под транк.

Мне не понадобилось делать это специально, потому что протокол DTP автоматически назначил данный интерфейс для транкинга. Порт находится в режиме desirable, инкапсуляция по типу n-isl, состояние порта – транкинг, сеть – Native VLAN1.

Далее приведен допустимый для транкинга диапазон номеров сетей VLAN 1-4094 и указано, что у нас работают сети VLAN1 и VLAN20. Сейчас я зайду в режим глобальной конфигурации и наберу команду int e0/0, благодаря которой перейду к настройкам данного интерфейса. Я пытаюсь вручную запрограммировать данный порт для работы в режиме транка командой switchport mode trunk, однако система не принимает команду, отвечая, что: «интерфейс с автоматическим режимом инкапсуляции транка не может быть переведен в режим «транк».

Поэтому я должен сначала настроить тип инкапсуляции транка, для чего использую команду switchport trunk encapsulation. Система выдала подсказки с возможными параметрами данной команды:

dot1q — во время транкинга порт использует инкапсуляцию транка стандарта 802.1q;
isl — во время транкинга порт использует инкапсуляцию транкинга только проприетарного протокола Cisco ISL;
negotiate – устройство осуществляет инкапсуляцию транкинга с любым устройством, подключенным к данному порту.

На каждом конце транка должен выбирается один и тот же тип инкапсуляции. По умолчанию свитч «из коробки» поддерживает только транкинг типа dot1q, поскольку этот стандарт поддерживают практически все сетевые устройства. Я запрограммирую наш интерфейс на инкапсуляцию транкинга по этому стандарту с помощью команды switchport trunk encapsulation dot1q, после чего использую ранее отвергнутую команду switchport mode trunk. Теперь наш порт запрограммирован на режим транка.

Если транк образован двумя свитчами Cisco, по умолчанию будет использоваться проприетарный протокол ISL. Если же один свитч поддерживает dot1q и ISL, а второй только dot1q, транк автоматически будет переведен в режим инкапсуляции dot1q. Если снова взглянуть на параметры транкинга, мы увидим, что теперь режим инкапсуляции транкинга интерфейса Et0/0 изменился с n-isl на 802.1q.

Если ввести команду show int e0/0 switchport, мы увидим все параметры состояния этого порта.

Вы видите, что по умолчанию VLAN1 является для транкинга «родной сетью» Native VLAN и при этом возможен режим тегирования трафика Native VLAN. Далее я использую команду int e0/0, захожу в настройки этого интерфейса и набираю switchport trunk, после чего система выдает подсказки возможных параметров данной команды.

Allowed означает, что если порт находится в режиме транка, то будут установлены допускаемые характеристики VLAN. Encapsulation активирует инкапсуляцию транкинга, если порт находится в режиме транка. Я использую параметр native, который означает, что в режиме транка для порта будут установлены native-характеристики, и ввожу команду switchport trunk native VLAN20. Таким образом, в режиме транка VLAN20 будет являться Native VLAN для данного порта первого свитча SW1.

У нас есть другой свитч, SW2, для транк-порта которого в качестве Native VLAN используется VLAN1. Сейчас вы видите, что протокол CDP выдает сообщение о том, что обнаружено несовпадении Native VLAN на обоих концах транка: транк-порт первого свитча Ethernet0/0 использует Native VLAN20, а транк-порт второго — Native VLAN1. Это иллюстрирует, в чем заключается разница между Native VLAN и Default VLAN.

Давайте приступим к рассмотрению обычного и расширенного диапазона сетей VLAN.

Долгое время Cisco поддерживала только диапазон номеров VLAN с 1 по 1005, при этом диапазон с 1002 по 1005 был зарезервирован по умолчанию для Token Ring и FDDI VLAN. Эти сети назывались обычными VLAN. Если помните, VLAN ID представляет собой тег размером 12 бит, который позволяет установить номер до 4096, однако по соображениям совместимости Cisco использовала номера только до 1005.

Расширенный диапазон VLAN включает в себя номера с 1006 по 4095. Его можно использовать на старых устройствах только в случае, если они поддерживают VTP v3. Если вы используете VTP v3 и расширенный диапазон VLAN, то должны отключить поддержку VTP v1 и v2, потому что первая и вторая версии не могут работать с VLAN, если они имеют номер больше 1005.

Так что если вы используете Extended VLAN для старых свитчей, VTP должен быть в состоянии «desable» и вам нужно вручную настроить его для VLAN, иначе не сможет происходить обновление базы данных VLAN. Если же вы собираетесь использовать Extended VLAN с VTP, вам необходима третья версия VTP.

Посмотрим на состояние VTP с помощью команды show vtp status. Вы видите, что свитч работает в режиме VTP v2, при этом возможна поддержка версий 1 и 3. Я присвоил ему доменное имя nwking.org.

Здесь важен режим управления VTP – сервер. Вы видите, что максимальное число поддерживаемых сетей VLAN равно 1005. Таким образом, можно понять, что данный свитч по умолчанию поддерживает только обычный диапазон VLAN.

Сейчас я наберу команду show vlan brief, и вы увидите VLAN20 Management, которая упоминается здесь, потому что является частью базы данных VLAN.

Если я сейчас попрошу показать текущую конфигурацию устройства командой show run, мы не увидим никакого упоминания о VLAN, потому что они содержатся только в базе данных VLAN.
Далее я использую команду vtp mode, чтобы настроить режим работы VTP. Свитчи старых моделей имели только три параметра для данной команды: client, который переводит свитч в режим клиента, server, включающий режим сервера, и transparent, переводящий свитч в «прозрачный» режим. Так как на старых свитчах полностью отключить VTP было невозможно, в этом режиме свитч, оставаясь в составе домена VTP, просто переставал принимать обновления базы данных сетей VLAN, поступающие на его порты по протоколу VTP.

В новых свитчах появился параметр off, позволяющий полностью отключить режим VTP. Давайте переведем устройство в прозрачный режим командой vtp mode transparent и еще раз посмотрим на текущую конфигурацию. Как видите, теперь в неё добавилась запись о VLAN20. Таким образом, если мы добавим какую-то сеть VLAN, чей номер находится в обычном диапазоне VLAN с номерами от 1 до 1005, и при этом VTP будет находиться в режиме transparent или off, то в соответствии с внутренними политиками VLAN эта сеть будет добавлена в текущую конфигурацию и в базу данных виртуальных локальных сетей.

Попробуем добавить VLAN 3000, и вы увидите, что в прозрачном режиме она тоже появилась в текущей конфигурации. Обычно если мы хотим добавить сеть из расширенного диапазона VLAN, то должны использовать команду vtp version 3. Как видите, обе сети VLAN20 и VLAN3000 показываются в текущей конфигурации.

Если выйти из режима transparent и включить режим сервера с помощью команды vtp mode server, а затем снова посмотреть на текущую конфигурацию, видно, что записи о VLAN полностью исчезли. Это произошло потому, что все сведения о VLAN хранятся только в базе данных VLAN и их можно просмотреть лишь в прозрачном режиме VTP. Поскольку я включил режим VTP v3, то после использования команды show vtp status можно увидеть, что максимальное количество поддерживаемых VLAN увеличилось до 4096.

Итак, база данных VTP v1 и VTP v2 поддерживает только обычные VLAN с номерами от 1 до 1005, а база данных VTP v3 включает в себя записи о расширенных VLAN с номерами от 1 до 4096. Если вы используете режим VTP transparent или VTP off, информация о VLAN будет добавлена в текущую конфигурацию. Если вы хотите использовать расширенный диапазон VLAN, устройство должно быть в режиме VTP v3. Вот в чем состоит разница между обычными и расширенными VLAN.

А сейчас мы сравним VLAN для данных и VLAN для голосовой передачи. Если вы помните, я сказал, что каждый порт может одновременно принадлежать только к одной VLAN.

Однако во многих случаях нам требуется настроить порт для работы с IP-телефоном. В современные IP-телефоны Cisco встроен свой свитч, поэтому вы можете просто подключить телефон кабелем к стеной розетке, а патч-кордом — к своему компьютеру. Проблема заключалась в том, что стенная розетка, к которой подключается порт телефона, должна была иметь две разных VLAN. Мы уже обсуждали в видеоуроках 11 и 12 дней, что нужно делать, чтобы не допустить петель трафика, как использовать концепцию «родной» VLAN, пропускающей нетегированный трафик, но это все были обходные методы. Окончательным решением проблемы стала концепция разделения VLAN на сети для трафика данных и сети для голосового трафика.

В этом случае вы объединяете все телефонные линии в голосовую VLAN. На рисунке показано, что компьютеры PC1 и PC2 могут принадлежать красной сети VLAN20, компьютер PC3 – зеленой сети VLAN30, но при этом все связанные с ними IP-телефоны будут принадлежать одной и той же желтой голосовой сети VLAN50.

Фактически каждый порт свитча SW1 будет иметь одновременно 2 сети VLAN – для данных и для голоса.

Как я сказал, access VLAN всегда имеет одну VLAN, у вас не может быть двух VLAN на одном порту. Вы не можете применить одновременно к одному интерфейсу команды switchport access vlan 10, switchport access vlan 20 и switchport access vlan 50. Но зато вы можете использовать команду для одного и того же интерфейса две команды: команду switchport access vlan 10 и команду switchport voice vlan 50. Итак, поскольку IP-телефон содержит внутри себя свитч, он может инкапсулировать и отправлять голосовой трафик VLAN50 и одновременно принимать и отправлять в режиме switchport access трафик данных сети VLAN20 свитчу SW1. Посмотрим, как настраивается данный режим.

Сначала мы создадим сеть VLAN50, а затем перейдем к настройкам интерфейса Ethernet 0/1 и запрограммируем его на режим switchport mode access. После этого я последовательно ввожу команды switchport access vlan 10 и switchport voice vlan 50.

Я забыл настроить одинаковый режим VLAN для транка, поэтому перейду к настройкам порта Ethernet 0/0 и введу команду switchport trunk native vlan 1. Теперь я попрошу показать параметры VLAN, и вы видите, что теперь на порту Ethernet 0/1 у нас имеются обе сети – VLAN 50 и VLAN20.

Таким образом, если вы увидите, что на одном порту расположены две VLAN, то это означает, что одна из них является голосовой сетью Voice VLAN. Это не может быть транком, потому что если посмотреть на параметры транка с помощью команды show int trunk, видно, что транк-порт содержит в себе все сети VLAN, включая сеть по умолчанию VLAN1.

Можно сказать, что технически, когда вы создаете сеть данных и голосовую сеть, каждый из этих портов ведет себя как полутранк: для одной сети он работает как транк, для другой как access –порт.

Если набрать команду show int e0/1 switchport, можно увидеть, что некоторые характеристики соответствуют двум режимам работы: у нас имеется и static access, и инкапсуляция транкинга. При этом режиму access mode соответствует сеть данных VLAN 20 Management и одновременно присутствует голосовая сеть VLAN 50.

Можно посмотреть на текущую конфигурацию, которая так же покажет, что на данном порту присутствуют сети access vlan 20 и voice vlan 50.

Вот в чем заключается отличие между сетями Data VLAN и Voice VLAN. Надеюсь, вы поняли все, о чем я рассказал, если нет – просто пересмотрите этот видеоурок еще раз.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Перед тем, как что-то делать, Вы должны понимать что делаете. Поэтому в начале — немного теории.
Что такое VLAN?!
Vlan это аббревиатура от Virtual Local Area Network, что в переводе означает «виртуальная локальная компьютерная сеть». Это логически объединенная группа хостов имеющая общий набор определенных требований и взаимодействующая таким образом, что независимо от их физического местонахождения, хосты видят друг друга так, как если бы они были подключены к широковещательному домену. При этом трафик тегируется в соответствии с правилами стандарта IEEE 802.1Q, т.е. внутрь фрейма помещается тег, содержащий информацию о принадлежности трафика к конкретному Vlan. Фактически, с помощью «влан» или «вилан» (тут уж кто как называет) можно делить сеть на логические сегменты и даже больше — технология позволяет группировать рабочие станции станциям в одну логическую сеть, даже если они находятся в разных сетях физически. При этом между ними спокойно ходит любой трафик — Юникаст, Бродкаст или Мультикаст, но только в пределах этой логической сети. 

На коммутаторах Cisco для управления Vlan используется специальный протокол VTP. Он позволяет создавая, переименовывая или удаляя влан на устройстве сервере — Вы автоматически делаете то же самое и на всех коммутаторах, подключенных в домен VTP. В небольшой сети это может быть и удобно, а вот в крупных сетях где коммутаторов уже десятки и сотни VTP переводят в состояние Transparent.

У каждой виртуальной сети есть свой идентификатор Vlan ID или VID, который используется в стандарте 802.1Q. Стандартный для сетевых устройств диапазон значений Vlan ID — от 0 до 4095. При этом, как правило, VID’ы 0 и 4095 использовать нельзя, так как они зарезервированы для иных задач и доступными остаются номера он 1 до 4094. Кстати, какое бы ни было ограничение на количество поддерживаемых вланов (10, 100 или 1000), их идентификаторы, тем не менее, можно брать из всего диапазона.
На оборудовании Циско различают две группы Vlan — normal-range и extended-range. По русски — обычный и расширенный диапазоны соответственно. В стандартный диапазон входят Vlan — от 1 до 1005, а в расширенный — от 1006 до 4094. При этом надо учитывать, что VID 1002 — 1005 зарезервированы для Token Ring и FDDI Vlan и их занять не получится.

Теперь давайте посмотрим на коммутатор Cisco Catalyst. В  своем примере я рассмотрю 2960 c версией IOS 12.2(35)SE5). Заходим на свитч в режим Enable. Набираем команду:

switch#show vlan

Результатом будет список всех созданных на устройстве влан:

Как Вы можете заметить первым в списке идет Vlan 1 с именем «Defaut». В конфигурации по умолчанию в него включены все порты.
Теперь , чтобы создать свой влан надо зайти в режим конфигурации:

switch#configure terminal

После этого набираем команду:

switch#vlan <vid>

В моём примере я создаю 11й влан:

Заметьте, что виртуальной сети можно дать имя с помощью команды name.

Удалить влан можно с помощью команды:

switch#no vlan <vid>

Примечание:
На древних версиях IOS все манипуляции с вланами приходилось осуществлять в отдельно базе — vlan database. К счастью, сейчас от этого анахронизма ушли.
Для того, чтобы добавить порт в созданный влан, нужно так же, в режиме конфигурации выбрать нужный порт:

switch#interface gigabitEthernet <номер_порта>

И набрать команду:

switch#switchport access vlan <vid>

Вот как это выглядит на «живом» коммутаторе:

Для управления коммутаторами cisco используется специальный управляющий Vlan. Для его настройки надо создать его в списке вланов, как описано выше, затем в режиме конфигурации набрать команду:

switch#interface vlan <vid>

Этим Вы создадите управляющую виртуальную сеть на коммутаторе. Теперь устройству надо присвоить IP-адрес:

switch(config-if)#ip address <IP_коммутатора> <маска сети>

После этого не забудьте поднять интерфейс, так как он по умолчанию выключен:

switch(config-if)#no shutdown

Пример настройки управления на коммутаторе Cisco 2960:

Не забудьте — для того, чтобы управление коммутатором было доступно, необходимо добавить в этот Vlan хотя бы один порт, либо, создать на других коммутаторах, с которых Вы хотите управлять этим устройством.

⇒ CISCO ⇐

Voice(AsteriskCisco)

Microsoft

Powershell

Python

SQLT-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL JAVA

Мото

Настройка VLAN

VLAN — это логический домен широковещательной рассылки, который может охватывать несколько физических сегментов LAN. Она позволяет администратору объединять станции по логической функции, проектной группе или приложению независимо от физического положения пользователей.

Разница между физической и виртуальной (логической) сетями продемонстрирована в следующем примере:

Ученики школы разделены на две группы. Каждому ученику первой группы дана красная карточка для идентификации. Каждому ученику второй группы дана синяя карточка. Директор объявляет, что ученики с красными карточками могут говорить только с другими обладателями красных карточек, а ученики с синими карточками — только с другими обладателями синих карточек. Таким образом, ученики логически разделены на две виртуальные группы или VLAN.
Благодаря такому логическому объединению широковещательный кадр рассылается только группе с красными карточками, несмотря на то, что группа с красными карточками и группа с синими карточками физически находятся в одной школе.
Этот пример также демонстрирует другую функцию VLAN. Широковещательные кадры не пересылаются между VLAN, они остаются внутри одной VLAN.
Каждая VLAN функционирует как отдельная локальная сеть. VLAN может охватывать один или несколько коммутаторов, что позволяет узлам работать так, как если бы они находились в одном сегменте.
VLAN выполняют две основные функции:
ограничение широковещательных рассылок;
объединение устройств в группы; устройства, расположенные в одной VLAN, невидимы для устройств, расположенных в другой VLAN.
Для передачи трафика между VLAN необходимо устройство 3-го уровня.
В коммутируемой сети устройство можно назначить во VLAN в соответствии с его положением, MAC-адресом, IP-адресом или приложениями, которые оно использует чаще всего. Администраторы задают принадлежность устройства VLAN статически или динамически.
Для задания статической принадлежности VLAN администратор должен вручную назначить каждый порт коммутатора в определенную VLAN. Например, порт fa0/3 можно назначить во VLAN 20. Любое устройство, подключающееся к порту fa0/3, автоматически становится членом VLAN 20.
Этот тип принадлежности VLAN проще всего настраивать и он самый популярный, но добавление, перемещение и изменение устройств потребует значительного вмешательства администратора. Например, перемещение узла из одной VLAN в другую потребует либо ручного переназначения порта коммутатора в новую VLAN, либо переключения кабеля рабочей станции в другой порт коммутатора, относящегося к новой VLAN.
Принадлежность устройства сети VLAN полностью прозрачна для пользователей. Пользователи, которые работают с устройством, подключенным к порту коммутатора, не знают, что являются членами VLAN.
Динамическая принадлежность VLAN требует наличия сервера управления политикой VLAN (VMPS). VMPS содержит базу данных, которая сопоставляет MAC-адреса с сетями VLAN. Когда
устройство подключается к порту, VMPS ищет его MAC-адрес в своей базе данных и временно назначает порт в соответствующую VLAN.
Динамическая принадлежность VLAN требует более сложной настройки и организации, но формирует более гибкую структуру, чем статическая принадлежность VLAN. Перемещение, добавление и изменение компонентов в динамической VLAN выполняется автоматически и не требует вмешательства администратора.
Примечание. Не все коммутаторы Catalyst поддерживают VMPS.
Максимальное общее число статических и динамических VLAN зависит от типа коммутатора и версии IOS. По умолчанию в качестве VLAN управления применяется VLAN1.
Администраторы используют IP-адрес VLAN управления для удаленной настройки коммутатора. Удаленный доступ к коммутатору позволяет администратору сети настраивать и обслуживать все конфигурации VLAN.
Кроме того, VLAN управления используется для обмена данными, например трафиком протоколов CDP (Cisco Discovery Protocol) и VTP (VLAN Trunking Protocol), с другими сетевыми устройствами.

При создании сети VLAN назначается номер и имя. Номер VLAN — это любое число из диапазона, доступного коммутатору, кроме VLAN1. Некоторые коммутаторы поддерживают примерно 1000 VLAN, другие — более 4000. Именование VLAN считается рекомендуемым методом управления сетью.
Для настройки VLAN используются следующие команды режима глобальной конфигурации: 
Switch(config)#vlan vlan_number 
Switch(config-vlan)#name vlan_name 
Switch(config-vlan)#exit 

назначает порты во VLAN. По умолчанию все порты относятся к VLAN1. Порты можно назначать по одному или диапазонами.
Используйте следующие команды для назначения отдельных портов в сети VLAN:
Switch(config)#interface fa#/# 
Switch(config-if)#switchport access vlan vlan_number 
Switch(config-if)# exit 

Используйте следующие команды для назначения диапазонов портов в сети VLAN: 
Switch(config)#interface range fa#/start_of_range — end_of_range
Switch(config-if)#switchport access vlan vlan_number
Switch(config-if)#exit
 

Для проверки и обслуживания VLAN используются следующие команды: show vlan
выводит подробный список номеров и имен VLAN, активных на коммутаторе, а также портов, назначенных в каждую из них;
выводит статистику протокола STP, если он настроен, для каждой VLAN.
show vlan brief
выводит сводный список, в котором отображаются только активные VLAN и их порты.
show vlan id номер_id
выводит сведения об определенной VLAN по ее идентификатору.

Устройства, подключенные к VLAN, взаимодействуют только с другими устройствами в этой VLAN, при этом устройства могут быть подключены как к одному, так и к разным коммутаторам.
Коммутатор связывает каждый порт с определенным номером VLAN. При приеме кадра на порте коммутатор добавляет идентификатор VLAN (VLAN ID — VID) в кадр Ethernet. Добавление идентификатора VLAN в кадр Ethernet называется маркировкой кадра. Самый распространенный стандарт маркировки кадра — IEEE 802.1 q.
Стандарт 802.1Q, который иногда сокращается до dot1q, подразумевает вставку 4-байтного поля метки в кадр Ethernet. Эта метка находится между адресом источника и полем type/length (тип/длина)
Минимальный размер кадров Ethernet составляет 64 байта, максимальный — 1518 байта, однако размер маркированного кадра Ethernet может достигать 1522 байта.
Кадры включают следующие поля:
MAC-адреса источника и назначения;
длина кадра;
полезные данные;
контрольная последовательность кадра (FCS).
Поле FCS обеспечивает выявление ошибок и гарантирует целостность всех битов в кадре.
Метка увеличивает минимальный размер кадра Ethernet с 64 до 68 байт. Максимальный размер увеличивается с 1518 до 1522 байт. Коммутатор перерассчитывает FCS, так как количество битов в кадре увеличивается.
Если порт, совместимый с 802.1Q, подключен к другому порту, также совместимому с 802.1Q, данные маркировки VLAN передаются между ними.
Если подключенный порт несовместим с 802.1Q, метка VLAN будет удалена, прежде чем кадр достигнет среды.
Устройства без поддержки 802.1Q будут воспринимать маркированный кадр Ethernet как слишком большой. Они отбросят кадр и сообщат об ошибке «большой кадр (англ.: baby giant)».

VLAN выполняют три основные функции:
ограничение размера широковещательных рассылок;
улучшение производительности сети;
повышение безопасности.
Чтобы в полной мере воспользоваться преимуществами VLAN, необходимо распространить их на несколько коммутаторов.
Для портов коммутатора можно задать две разные роли. Порт может быть определен как порт доступа или как магистральный порт.
Порт доступа
Порт доступа принадлежит только одной VLAN. Как правило, отдельные устройства, такие как компьютеры и серверы, подключаются к портам такого типа. Если несколько компьютеров подключаются к одному порту доступа через концентратор, все устройства, подключенные к концентратору, будут принадлежать к одной VLAN.
Магистральный порт
Магистральный порт — это канал типа «точка-точка» между коммутатором и другим сетевым устройством. Магистральные подключения служат для передачи трафика нескольких VLAN через один канал и обеспечивают им доступ ко всей сети. Магистральные порты необходимы для передачи трафика нескольких VLAN между устройствами при соединении двух коммутаторов, коммутатора и маршрутизатора или коммутатора и сетевого адаптера узла с поддержкой транкинга 802.1Q.

Без магистральных портов для каждой VLAN требовалось бы отдельное соединение между коммутаторами. 
Например, корпорации со 100 VLAN потребуется 100 каналов связи. При такой организации сеть не масштабируется должным образом и очень дорога. Магистральные каналы позволяют решить эту проблему за счет передачи трафика нескольких VLAN через один канал.

IEEE 802.1Q — стандартный и утвержденный метод маркировки кадров. Корпорация Cisco разработала собственный протокол маркировки кадров под названием межкоммутаторный канал (ISL). Коммутаторы более высокого класса, такие как Catalyst 6500, поддерживают оба протокола маркировки, однако большинство коммутаторов LAN, таких как 2960, поддерживают только 802.1Q.
По умолчанию порты коммутатора работают в режиме доступа. Чтобы настроить порт коммутатора в качестве магистрального порта, используйте следующие команды:
Switch(config)#interface fa(controler # / port #)
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate}

Коммутаторы, поддерживающие и 802.1Q и ISL, требуют последней инструкции. Коммутатор 2960 не требует этой инструкции, так как поддерживает только 802.1Q.
Параметр согласования используется по умолчанию на многих коммутаторах Cisco. Он позволяет устройству автоматически обнаруживать тип инкапсуляции соседнего коммутатора.

Новые коммутаторы могут обнаруживать тип канала, заданный на противоположной стороне. В зависимости от подключенного устройства канал настраивается в качестве магистрального порта или в качестве порта доступа.
Switch(config-if)#switchport mode dynamic {desirable | auto}

В требуемый режим порт становится магистральным, если порт на другой стороне находится в режиме desirable или auto.
В автоматический режим порт становится магистральным, если порт на другой стороне находится в режиме trunk или desirable.
Чтобы вернуть магистральный порт в режим доступа, введите одну из следующих команд: 
Switch(config)#interface fa (controler # / port #) 
Switch(config-if)#no switchport mode trunk 
или 
Switch(config-if)#switchport mode access

Транкинг позволяет нескольким VLAN пересылать трафик между коммутаторами, используя один порт.
Магистральный канал пропускает трафик с 4-байтным полем метки в кадре, если на обеих сторонах настроен протокол 802.1Q. Метка кадра содержит идентификатор VLAN ID.
Когда коммутатор получает маркированный кадр на магистральном порту, он удаляет метку, прежде чем переслать кадр из порта доступа. Коммутатор пересылает кадр, только если порт доступа относится к той же VLAN, что и маркированный кадр.
Однако некоторые типы трафика должны проходить через канал 802.1Q без идентификатора VLAN. Трафик без идентификатора VLAN называется немаркированным. Примеры немаркированного трафика: CDP (Cisco Discovery Protocol), VTP и определенные типы голосового трафика. Немаркированный трафик сводит к минимуму задержки, связанные с проверкой метки идентификатора VLAN.
Для поддержки немаркированного трафика используется специальная VLAN, которая называется собственной VLAN. Немаркированные кадры, принятые на порте 802.1Q, передаются в собственную VLAN. На коммутаторах Cisco Catalyst в качестве собственной VLAN по умолчанию используется VLAN 1.
Любую VLAN можно настроить в качестве собственной. Убедитесь, что собственная VLAN для магистрального подключения 802.1Q одинакова на обеих сторонах канала. В противном случае в топологии STP могут возникнуть петли.
Введите следующую команду для магистрального подключения 802.1Q, чтобы назначить идентификатор собственной VLAN физическому интерфейсу:
Switch(config-if)#dot1q native vlan vlan-id
Хотя VLAN могут охватывать несколько коммутаторов, только устройства, относящиеся к одной VLAN, могут взаимодействовать друг с другом.
Для соединения между VLAN необходимо устройство 3-го уровня. Такая организация позволяет администратору сети осуществлять строгий контроль над типами трафика, которые передаются из одной VLAN в другую.
Один из методов маршрутизации между VLAN требует отдельного подключения интерфейса к устройству 3-го уровня для каждой VLAN.
Другой метод соединения между VLAN требует функции, которая называется подынтерфейсами. Подынтерфейсы позволяют логически разделить один физический интерфейс на несколько логических путей. Для каждой VLAN настраивается отдельный путь или подынтерфейс.
Взаимодействие между VLAN с использованием подынтерфейсов требует настройки как маршрутизатора, так и коммутатора.
Коммутатор
Настройте интерфейс коммутатора в качестве магистрального канала 802.1Q.

Чтобы настроить маршрутизацию между VLAN, выполните следующие действия:
Настройте магистральный порт на коммутаторе. 
Switch(config)#interface fa0/2 
Switch(config-if)#switchport mode trunk

На маршрутизаторе настройте интерфейс FastEthernet без IP-адреса и маски подсети. 
Router(config)#interface fa0/1 
Router(config-if)#no ip address Router(config-if)#no shutdown

На маршрутизаторе настройте один подынтерфейс с IP-адресом и маской подсети для каждой VLAN. Каждый подынтерфейс использует инкапсуляцию 802.1Q.
Router(config)#interface fa0/0.10
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0

Проверьте конфигурацию и работоспособность маршрутизации между VLAN с помощью следующих команд.
Switch#show trunk
Router#show ip interfaces
Router#show ip interfaces brief
Router#show ip route
С увеличением размера и сложности сети централизованное управление структурой VLAN становится критически важным. Протокол VTP (VLAN Trunking Protocol) — это протокол обмена сообщениями 2-го уровня, который предоставляет метод управления базой данных VLAN с центрального сервера в сетевом сегменте. Маршрутизаторы не пересылают обновления VTP.
Без автоматизированного метода управления корпоративной сетью с сотнями VLAN потребовалась бы ручная настройка каждой VLAN на каждом коммутаторе. Любое изменение структуры VLAN потребовало дополнительной ручной настройки. Один неверно набранный номер может стать причиной неустойчивости соединений по всей сети.
Чтобы решить эту проблему, корпорация Cisco создала протокол VTP, который автоматизирует многие задачи конфигурации VLAN. VTP гарантирует согласованное обслуживание конфигурации VLAN по всей сети и уменьшает необходимость в управлении и мониторинге VLAN.

VTP — это протокол обмена сообщениями с архитектурой «клиент-сервер», который добавляет, удаляет и переименовывает VLAN в одном домене VTP. Все коммутаторы под общим управлением являются частью домена. У каждого домена есть уникальное имя. Коммутаторы VTP обмениваются сообщениями VTP только с другими коммутаторами в домене.
Существует две разные версии VTP: 1 и 2. Версия 1 — версия по умолчанию и она несовместима с версией 2. На всех коммутаторах необходимо настроить одну версию протокола.
VTP использует три режима: серверный, клиентский и прозрачный. По умолчанию все коммутаторы являются серверами. Рекомендуется настроить хотя бы два коммутатора в сети в качестве серверов, чтобы обеспечить резервирование.
При использовании VTP каждый сервер объявляет сообщения через свои магистральные порты. Сообщения включают домен управления, номер версии конфигурации, известные VLAN и параметры каждой VLAN. Кадры объявлений отправляются по адресу многоадресной рассылки, поэтому их получают все соседние узлы.
Каждый коммутатор VTP сохраняет базу данных VLAN, включающую номер версии конфигурации, в энергонезависимой памяти (NVRAM). Если VTP получает обновление с более высоким номером версии, чем номер в базе данных, коммутатор добавляет новые данные в свою базу данных VLAN.
Номер изменения конфигурации VTP начинается с нуля. При внесении изменений номер версии конфигурации увеличивается на единицу.

Номер версии продолжает увеличиваться, пока не достигает 2 147 483 648. При достижении этого значения счетчик сбрасывается в ноль. Кроме того, номер версии сбрасывается при перезагрузке коммутатора.
Проблема, связанная с номером версии, может возникнуть, если кто-то добавит в сеть коммутатор с более высоким номером версии, не перезагрузив его. Поскольку по умолчанию коммутатор находится в серверном режиме, новые, но неверные данные могут перезаписать корректные данные VLAN на всех остальных коммутаторах.

Один из способов обеспечить защиту от этой критической ситуации состоит в задании паролей VTP для проверки коммутаторов. Перед добавлением нового коммутатора в существующую сеть всегда перезагружайте его, чтобы сбросить номер версии. Кроме того, при добавлении коммутатора в сеть, в которой уже есть коммутатор в серверном режиме, убедитесь, что новый коммутатор настроен в прозрачном или клиентском режиме.
 

При качественном планировании и проектировании VLAN обеспечивают безопасность, экономят полосу пропускания и локализуют трафик в корпоративной сети. Все эти функции объединяются для улучшения производительности сети.
Некоторые из рекомендуемых методов настройки VLAN в корпоративной сети приводятся ниже.
организация размещения серверов;
отключение неиспользуемых портов;
настройка VLAN управления с номером, отличным от 1;
использование протокола VTP;
настройка доменов VTP;
перезагрузка новых коммутаторов перед их добавлением в существующую сеть.
В то же время VLAN не являются ответом на все проблемы.
Неправильное внедрение VLAN может привести к излишнему усложнению сети, которое станет причиной неустойчивого соединения и снижения производительности сети.
VLAN изолируют определенные типы трафика по соображениям безопасности. Для перемещения трафика между VLAN необходимо устройство 3-го уровня, которое увеличивает стоимость внедрения и повышает уровень запаздывания в сети.

———————————————-

Произведем настройку vlan на сетевом интерфейсе комутатора:

#conf t

Создаем виртуальную сеть

#vlan 2

Даем имя

#name test-vlan
#exit

Привязываем интерфейсы

#interface range FatEthernet 0/13 — 14

#switchport mode access

#switchport access vlan 2

Ставим голос на 3й влан:

#switchport voice vlan 3
#exit

————————————————

Настроим VLAN на интерфейсе маршрутизатора:

Убьем физический адрес

router>en
router#conf t
router#interface fastethernet 0/0
router#no ip address

Создадим под-интерфейс

router#interface fastethernet 0/0.1

Зададим инкапсуляцию и свяжем с VLAN 333

router#encapsulation dot1Q 333

Зададим ip и маску

router#ip address 192.168.1.10 255.255.255.0
router#end

—————————————————

Просмотр информации о VLAN’ах:
# show vlan brief

Создание статического транка:
(config)# interface fa0/13
(config-if)# switchport trunk encapsulation dot1q
(config-if)# switchport mode trunk

Комментарии пользователей

Сертификации R&S больше нет, но данная информация по-прежнему полезна.

Материалы курса Cisco CCNA-3 часть 1 ( третья часть курса CISCO CCNA R&S ), уроки 1 — 5.

Кратко — нужно чётко знать, чем отличаются 802.1D, 802.1Q, 802.1s, 802.1w, 802.1X и что такое AAA, порты RADIUS. Много вопросов на экзамене про STP, выбор корневого моста и альтернативных портов. Нужно знать диапазон MAC адресов для HSRP.  

Урок 1

Иерархическая модель архитектуры сети

Основные понятия, которые потом очень часто используются:

• Уровень доступа;
• Уровень распределения;
• Уровень ядра.

Уровень доступа обеспечивает возможность подключения пользователей — VLAN, безопасность портов, STP.

Уровень распределения используется для пересылки трафика из одной локальной сети в другую — EtherChannel, ACL, QoS.

И наконец, центральный уровень, уровень ядра, представляет собой высокоскоростную магистраль между распределенными сетями — OSPF, EIGRP, для ускорения пересылки сервисы нагружающие процессор, такие как ACL, QoS — не используются.

В целях экономии уровень ядра может быть слит воедино с уровнем распределения — свёрнутое (вырожденное) ядро.

Если вся сеть предприятия находится в 1 здании, занимает здание целиком или часть здания, то скорее всего это будет 2 уровневая модель сети со свёрнутым ядром. Когда предприятие занимает несколько соседних зданий, в этом случае можно ожидать, что модель сети будет 3 уровневая.

В любом случае необходимость выделения отдельного уровня ядра возникает, когда уровень распределения сильно разрастается. Если в уровне распределения 3 и более слоёв коммутаторов, то уже есть необходимость в уровне ядра.

Корпоративная архитектура Cisco

Основные понятия:

• Комплекс зданий предприятия (Enterprise Campus);
• Границы предприятия (Enterprise Edge);
• Границы поставщика услуг (Service Provider Edge);
• Удаленный (филиал, сотрудник, ЦОД).

Enterprise Campus охватывает всю инфраструктуру комплекса (уровни доступа, распределения и ядра). Модуль уровня доступа содержит коммутаторы 2 и 3 уровней, обеспечивающие необходимую плотность портов. Здесь осуществляется реализация сетей VLAN и транковых каналов к уровню распределения. Важно предусмотреть избыточные каналы к коммутаторам уровня распределения здания (STP). Модуль уровня распределения объединяет уровни доступа здания с помощью устройств 3 уровня. На этом уровне осуществляются маршрутизация, контроль доступа и работы службы QoS. Модуль уровня ядра обеспечивает высокоскоростное соединение между модулями уровня распределения, серверными фермами в ЦОД и границей корпорации. При проектировании данного модуля особое внимание уделяется резервным каналам, быстрой сходимости и отказоустойчивости.

Комплекс зданий предприятия может включать дополнительные модули:

• Серверная ферма и ЦОД — данная область обеспечивает возможность высокоскоростного подключения и защиту для серверов. Критически важно обеспечить безопасность, избыточность и отказоустойчивость (STP, EtherChannel). Системы управления сетями отслеживают производительность с помощью специального устройства и доступности сети;
• Сервисный модуль — данная область обеспечивает доступ ко всем сервисам (службы IP-телефонии, беспроводной контроллер и объединенные сервисы).

Enterprise Edge включает в себя модули для подключения к Интернету и сетям VPN и WAN.

Service Provider Edge предоставляет службы для доступа к Интернету, коммутируемой телефонной сети (PSTN) и сети WAN.

Все входящие и исходящие данные в модели составной корпоративной сети (ECNM) проходят через пограничное устройство. На этом этапе система может проверить все пакеты и принять решение об их допуске в корпоративную сеть. Кроме того, на границе предприятия можно настроить системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) для защиты от вредоносных действий.

Качественно спроектированная сеть не только контролирует трафик, но и ограничивает размер доменов возникновения ошибки. Домен сбоя — представляет собой область сети, на которую влияют сбои в работе критически важного устройства или сетевой службы.

Иерархическая модель архитектуры обеспечивает самый простой и дешевый метод контроля размера домена сбоя на уровне распределения.

Маршрутизаторы или многоуровневые коммутаторы обычно развертываются парами, при этом коммутаторы уровня доступа распределяются между ними равномерно. Данная конфигурация называется блоком коммутации здания или отдела. Каждый блок коммутации функционирует независимо от других. Поэтому в случае отказа отдельного устройства сеть будет продолжать работать

Принципы масштабируемости

Базовая стратегия проектирования сети включает в себя следующие рекомендации:

• Следует использовать расширяемое модульное оборудование или кластерные устройства, которые можно легко модернизировать для увеличения их возможностей. Некоторые устройства можно интегрировать в кластер, чтобы они работали как одно устройство. Это упрощает управление и настройку;
• Иерархическую сеть следует проектировать с учетом возможностей добавления, обновления и изменения модулей в случае необходимости, не затрагивая при этом схему других функциональных областей сети. Например, создание отдельного уровня доступа, который можно расширить, не затрагивает уровни распределения и ядра сети комплекса зданий;
• Создайте иерархическую стратегию адресов IPv4 или IPv6. При тщательном планировании IPv4-адресов исключается необходимость повторной адресации сети для поддержки дополнительных пользователей и сервисов;
• Выберите маршрутизаторы или многоуровневые коммутаторы, чтобы ограничить широковещательные рассылки и отфильтровать нежелательный трафик из сети. Используйте устройства 3 уровня для фильтрации и сокращения объема трафика к ядру сети.

К дополнительным требованиям в отношении проектирования сети относятся следующие:

• Реализация избыточных каналов в сети между критически важными устройствами, а также между устройствами уровня доступа и уровня ядра;
• Реализация нескольких каналов между различными устройствами с использованием функций агрегирования каналов (EtherChannel) или распределением нагрузки в соответствии с равной стоимостью в целях увеличения пропускной способности, технологию EtherChannel можно использовать в том случае, если в связи с ограничениями бюджета невозможно приобрести высокоскоростные интерфейсы и оптоволоконные кабели;
• Реализация беспроводного подключения для поддержки мобильности и расширения;
• Использование масштабируемого протокола маршрутизации и реализация в этом протоколе маршрутизации функций, позволяющих изолировать обновления маршрутизации и минимизировать размер таблицы маршрутизации.

Принципы избыточности

• Одним из способов реализации избыточности является установка запасного оборудования и обеспечение отказоустойчивых сервисов для критически важных устройств;
• Другим способом реализации избыточности является использование избыточных путей;

Протокол STP обеспечивает избыточность, необходимую для надёжности, и при этом устраняет логические петли. Это обеспечивается за счёт механизма отключения резервных путей в коммутируемой сети до тех пор, пока этот путь не потребуется (например, в случае сбоя).

Принципы увеличения пропускной способности

В иерархической модели сети в некоторых каналах между коммутаторами доступа и коммутаторами распределения может потребоваться обработка большего объема трафика, чем в других каналах.

EtherChannel использует существующие порты коммутатора. Таким образом, исключены дополнительные затраты на модернизацию канала с помощью более скоростного и дорогостоящего подключения.

Принципы расширения уровня доступа

Сеть должна быть спроектирована таким образом, чтобы при необходимости доступ к сети мог расширяться для пользователей и устройств. Все более важное значение приобретает расширение возможностей подключения на уровне доступа посредством беспроводного подключения. Беспроводное подключение обладает множеством преимуществ, среди которых повышенная гибкость, снижение затрат и возможность роста и адаптации в соответствии с изменением требований сети.

Платформы коммутации

На уровне доступа можно использовать менее дорогостоящие коммутаторы с более низкой производительностью, используя коммутаторы с более высокой производительностью на уровнях распределения и ядра, где скорость передачи данных в большей степени влияет на производительность сети.

Многоуровневые коммутаторы, как правило, развертываются на уровнях ядра и распределения коммутируемой сети предприятия. Многоуровневые коммутаторы характеризуются своей способностью создавать таблицу маршрутизации, поддерживать несколько протоколов маршрутизации и передавать IP-пакеты со скоростью, приближенной к скорости передачи данных на 2 уровне (аппаратная обработка пакетов в отличие от маршрутизатора).

Под плотностью портов коммутатора подразумевается количество портов, доступных на одном коммутаторе.

Примечание. Уровень доступа можно оборудовать коммутаторами серии 2960 или для удешевления 2950, уровень распределения коммутаторами 3560 или для удешевления 3550.

Требования к маршрутизатору

Маршрутизаторы используют сетевую часть IP-адреса назначения для маршрутизации пакетов к нужному получателю. Если канал недоступен или перегружен трафиком, то они выбирают альтернативный путь. Интерфейс маршрутизатора — это шлюз по умолчанию в локальной сети, которая подключена к данному интерфейсу.

Функции:

• Ограничивают широковещательные рассылки;
• Соединяют удаленные площадки;
• Логически группируют пользователей по отделам и используемым приложениям;
• Обеспечивают повышенную безопасность.

Базовая стратегия проектирования сети (обобщение)

• Следует использовать расширяемое модульное оборудование или кластерные устройства;
• Иерархическую сеть следует проектировать с учетом возможностей добавления, обновления и изменения модулей в случае необходимости, не затрагивая при этом схему других функциональных областей сети;
• Создайте иерархическую стратегию адресов IPv4 или IPv6;
• Выберите устройства 3 уровня, чтобы ограничить широковещательные рассылки и отфильтровать нежелательный трафик из сети;
• Реализация избыточных каналов в сети между критически важными устройствами (STP), а также между устройствами уровня доступа и уровня ядра;
• Реализация нескольких каналов между различными устройствами с использованием функций агрегирования каналов (EtherChannel);
• Реализация беспроводного подключения для поддержки мобильности и расширения;
• Использование масштабируемого протокола маршрутизации  (OSPF, EIGRP) и реализация в этом протоколе маршрутизации функций, позволяющих изолировать обновления маршрутизации и минимизировать размер таблицы маршрутизации.

Выбор маршрутизатора

Поскольку серия 1900 рассчитана на небольшие офисы в 15-20 рабочих мест, а серия 3900 уже довольно дорогая, то оптимальным выбором можно считать серию 2900. Не следует забывать, что второе поколение маршрутизаторов с интегрированными службами Cisco (ISR G2) серий 1900, 2900 и 3900 поставляется с универсальным образом прошивки universalk9, который по умолчанию содержит функционал IP Base. Для расширения функционала требуется установка лицензии, а не установка нового образа прошивки. При этом каждый ключ лицензирования уникален для конкретного устройства и привязан к серийному номеру устройства. Подробнее в последнем уроке части 2.

Управление

Внеполосное управление (out-band) используется для начальной настройки или в том случае, если сетевое подключение недоступно. Для настройки с использованием внеполосного управления необходимо следующее:

• Прямое подключение к консольному порту или порту AUX;
• Клиент с поддержкой эмуляции терминала.

Внутриполосное (in-band — через общий канал) используется для отслеживания и внесения изменений конфигурации в сетевом устройстве через сетевое подключение. Для настройки необходимо следующее:

• Хотя бы один подключенный и исправный сетевой интерфейс;
• Протоколы Telnet, SSH или HTTP для доступа к устройству Cisco.

Базовая настройка коммутатора

Проверьте и сохраните конфигурацию коммутатора, используя команду copy running-config startup-config. Чтобы очистить конфигурацию коммутатора, введите команду erase startup-config, а затем команду reload. Кроме того, может потребоваться удаление всех данных сети VLAN с помощью команды delete flash:vlan.dat. При наличии необходимых конфигураций коммутатора их можно просмотреть с помощью команды show running-config.

Базовые команды show коммутатора

• show port-security – отображает все порты с включенной системой безопасности. Чтобы изучить данные конкретного интерфейса, добавьте в команду идентификатор интерфейса. В выходных данных указывается информация о максимально разрешенном количестве адресов, текущем количестве, количестве нарушений безопасности и действиях, которые необходимо выполнить;
• show port-security address – отображает все защищенные MAC-адреса, настроенные на всех интерфейсах коммутатора;
• show interfaces – отображает все интерфейсы с данными о состоянии канала (протокола), пропускной способности, надёжности, инкапсуляции, параметрах дуплексного режима и статистике ввода-вывода;
• show mac-address-table – отображает все MAC-адреса, полученные коммутатором, в том виде, в котором они получены (динамические/статические), номер порта и сеть VLAN, назначенную порту.

Как и маршрутизатор, коммутатор также поддерживает использование команды show cdp neighbor.

Базовые команды show маршрутизатора

Связанные с маршрутизацией:

• show ip protocols – отображает сведения о настроенных протоколах маршрутизации. Если настроен протокол OSPF, к таким данным относятся идентификатор процесса OSPF, идентификатор маршрутизатора, сети, объявляемые маршрутизатором, соседние устройства, от которых маршрутизатор принимает обновления, и значение административной дистанции по умолчанию, равное 110 для OSPF;
• show ip route – отображает сведения в таблице маршрутизации, в том числе: коды маршрутизации, известные сети, значение административной дистанции и метрики, способы получения маршрутов, следующий переход, статические маршруты и маршруты по умолчанию;
• show ip ospf neighbor – отображает сведения о соседях OSPF, данные о которых были получены, включая идентификатор маршрутизатора соседнего устройства, приоритет, состояние (Full = отношения смежности установлены), IP-адрес и локальный интерфейс, получивший сведения о соседнем устройстве;

Связанные с интерфейсом:

• show interfaces – отображает все интерфейсы с данными о состоянии канала (протокола), пропускной способности, надёжности, инкапсуляции, дуплексном режиме и статистике ввода-вывода. Если команда задана без указания конкретного интерфейса, отображаются все интерфейсы. Если конкретный интерфейс указывается после команды, отображаются сведения только для этого интерфейса;
• show ip interfaces – отображает сведения об интерфейсах, включая: состояние протокола, IP-адрес, если настроен вспомогательный адрес, а также информацию о том, настроен ли список контроля доступа (ACL) на интерфейсе. Если команда задана без указания конкретного интерфейса, отображаются все интерфейсы. Если конкретный интерфейс указывается после команды, отображаются сведения только для этого интерфейса;
• show ip interface brief – отображает все интерфейсы с данными об IP-адресации и состоянием канального протокола;
• show protocols – отображает сведения о включенном маршрутизируемом протоколе и состоянии протокола для интерфейсов.

show cdp neighbors – еще одна команда, связанная с подключением. Данная команда отображает сведения об устройствах с прямым подключением, включая идентификатор устройства, локальный интерфейс, к которому подключено устройство, функции поддержки (R = маршрутизатор, S = коммутатор), платформу и идентификатор порта удалённого устройства. Параметр details включает в себя сведения об IP-адресации и версию IOS.

Урок 2

Проблемы избыточности 1 уровня

Трехуровневая иерархическая модель сети, которая использует уровни ядра, распределения и доступа с избыточностью, призвана устранить единую точку отказа в сети. Использование нескольких физически подключенных каналов между коммутаторами обеспечивает физическую избыточность в коммутируемой сети.

Это повышает надёжность и доступность сети. Наличие альтернативных физических каналов для передачи данных по сети позволяет пользователям получить доступ к сетевым ресурсам даже в случае сбоя одного из каналов.

Нестабильность базы данных MAC-адресов

В отличие от IP-пакетов, кадры Ethernet не содержат атрибут время жизни (TTL). Как результат, если не используется механизм блокирования постоянного распространения этих кадров в коммутируемой сети, кадры продолжают распространяться между коммутаторами бесконечно или до тех пор, пока не произойдет сбой канала, в результате чего петля будет прервана. Такое постоянное распространение между коммутаторами может привести к нестабильности базы данных MAC-адресов. Это может произойти вследствие пересылки широковещательных кадров.

Широковещательные кадры пересылаются из всех портов коммутатора, за исключением исходного входного порта. Это гарантирует, что все устройства в домене широковещательной рассылки могут получить кадр. При наличии нескольких путей для пересылки кадров может возникнуть бесконечная петля. В случае возникновении петли таблица MAC-адресов на коммутаторе может постоянно изменяться за счёт обновлений от широковещательных кадров, что приводит к нестабильности базы данных MAC-адресов.

Широковещательный шторм

Широковещательный шторм возникает в случае, когда в петлю на 2 уровне попадает столько кадров широковещательной рассылки, что при этом потребляется вся доступная полоса пропускания. Соответственно, для пользовательского трафика нет доступной полосы пропускания, и сеть становится недоступной для обмена данными. Описанная ситуация — отказ в обслуживании (DoS), CPU коммутатора загружен на 100% (основной признак петли на 2 уровне), CLI коммутатора отвечает с большой задержкой либо либо вообще недоступен.

Множественная передача кадров

Кадры широковещательной рассылки являются не единственным типом кадров, на которые влияет возникновение петель. Кадры одноадресной рассылки, отправленные в сеть, где возникла петля, могут стать причиной дублирования кадров, поступающих на устройство назначения.

Spanning Tree Protocol (STP)

Протокол связующего дерева — при реализации в проектировании физической избыточности возникают петли. Петли являются причиной серьезных неполадок в коммутируемой сети.

Протокол STP разработан для решения подобных проблем.

Протокол STP обеспечивает наличие только одного логического пути между всеми узлами назначения в сети путем намеренного блокирования резервных путей, которые могли бы вызвать петлю.

Порт считается заблокированным, когда заблокирована отправка и прием данных на этот порт. К таким данным не относятся кадры BPDU, которые используются протоколом STP для предотвращения петель.

Типы протоколов STP

Протоколов много, легко в них запутаться, поэтому разобьём их на 2 класса.

Протоколы IEEE

Это свободно распространяемые протоколы:

• STP, Spanning Tree Protocol: первая версия IEEE 802.1D предполагает использование только одного экземпляра протокола spanning-tree для всей сети независимо от количества VLANs;
• RSTP, Rapid Spanning Tree Protocol (IEEE 802.1w): доработанный протокол STP, который обеспечивает более быстрое схождение, чем протокол STP. По-прежнему один экземпляр на все VLANs;
• MSTP, Multipul Spanning Tree Protocol (IEEE 802.1s): или просто MST — стандарт, созданный на основе предыдущей собственной реализации протокола MISTP компании Cisco. Является расширением протокола RSTP. Несколько экземпляров RSTP, но не по одному экземпляру на все VLANs, а по одному экземпляру на группу VLANs.

Протоколы CISCO

Проприетарные протоколы, собственность компании CISCO:

• PVST+ (Per VLAN STP): является усовершенствованным протоколом STP компании Cisco, в котором для каждой отдельной VLAN используется отдельный экземпляр STP;
• Rapid PVST+: усовершенствованный корпорацией Cisco протокол RSTP. Rapid PVST+ предоставляет отдельный экземпляр RSTP для каждой VLAN.

Также CISCO использует в своих коммутаторах MSTP(MST). Изначально реализация CISCO протокола MSTP обеспечивала до 16 экземпляров протокола RSTP (посмотреть можно здесь):

В соответствии со спецификацией IEEE 802.1s мост MST должен поддерживать, по крайней мере, два экземпляра:
Один внутренний экземпляр связующего дерева (IST);
Один или более экземпляров множественного связующего дерева (MSTI).
...
Реализация Cisco поддерживает 16 экземпляров: один IST (экземпляр 0) и 15 экземпляров MSTI.

В новых прошивках количество инстансов приведено к стандарту — 64.

Примечание. Устаревшие проприетарные функции Cisco UplinkFast и BackboneFast в рамках данного курса не рассматриваются. Эти функции заменены реализацией протокола Rapid PVST+, в которую данные функции включены как часть реализации стандарта RSTP.

Примечание. Коммутатор Catalyst 2960 поддерживает протоколы PVST+, Rapid PVST+ и MST, однако только одна из версий может быть настроена для всех VLANs.

Основные версии стандарта STP:

• 802.1D-1998: первая версия стандарта STP;
• 802.1D-2004: обновленная версия стандарта STP, в которую входит RSTP

Протоколы STP IEEE находятся в постоянной доработке по настоящее время (802.1Q-2014, 802.1Q-2018..).

Характеристики протоколов STP

В коммутаторах Cisco Catalyst по умолчанию используется режим протокола spanning-tree PVST+, включенный на всех портах. Для использования быстрого протокола Rapid PVST+ на таком коммутаторе его необходимо явно настроить. Коммутаторы Catalyst 2960 с IOS 15.0, по умолчанию используют PVST+, однако содержат многие характеристики стандарта IEEE 802.1D-2004 (например, альтернативные порты вместо неназначенных портов).

Кадр BPDU

Bridge protocol data unit (BPDU) представляет собой кадр обмена сообщениями, которым обмениваются коммутаторы с STP.

Рассмотрим структуру BPDU:

• В первых четырех полях указаны протокол, версия, тип сообщения и флаги состояния;
• Следующие четыре поля используются для определения корневого моста и стоимости пути к нему (в поле BID — Bridge ID указывается приоритет и идентификатор MAC адреса моста, отправляющего сообщение);
• Последние четыре поля являются полями таймера, которые определяют интервал отправки сообщений BPDU и продолжительность хранения данных, полученных посредством процесса BPDU (по умолчанию max age — 20 секунд, hello time -2 секунды, forward delay — 15 секунд);
• Кадр содержит MAC-адрес назначения 01:80:C2:00:00:00, который является адресом групповой рассылки для группы протокола spanning-tree. При адресации кадра с использованием этого MAC-адреса все коммутаторы, настроенные для протокола spanning-tree, принимают и считывают данные из кадра. Все остальные устройства в сети игнорируют кадр.

Корневой мост

Корневой мост (Root Bridge) — одно из основных понятий STP. Алгоритм протокола spanning-tree (STA) назначает один из коммутаторов в качестве корневого моста и использует его как точку привязки для расчёта всех путей.

Выбор корневого моста

Коммутатор с наименьшим значением BID автоматически становится корневым мостом для расчётов STA (алгоритм протокола spanning-tree).

BID

• Каждый кадр BPDU содержит идентификатор BID, который определяет коммутатор, отправивший BPDU;
• Идентификатор BID состоит из 3 полей: значение приоритета, дополнительный расширенный идентификатор системы, MAC-адрес отправляющего кадр BPDU коммутатора
• Самое низкое значение BID определяется комбинацией значений в этих трех полях.

Подробнее: сначала сравниваются приоритеты коммутаторов, если они равны, то MAC адреса — выбирается коммутатор с меньшим значением.

Свойства корневого моста

• Корневой мост выбирается для каждого экземпляра протокола STP;
• Экземпляр протокола STP определяется номером VLAN (если все порты на всех коммутаторе являются принадлежат одной VLAN (например, VLAN1), значит, существует только один экземпляр протокола STP);
• Расширенный идентификатор системы используется для определения экземпляра протокола STP.

Приоритет моста

• По умолчанию для всех коммутаторов Cisco используется значение приоритета 32768;
• Значения варьируются в диапазоне от 0 до 61440 с шагом в 4096;
• Допустимые значения приоритета: 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, 57344, 61440 (коммутаторы Catalyst серий 2960 и 3560 не поддерживают настройку приоритета моста равному значению 65536 = 16 x 4096, поскольку это предполагает использование пятого бита) ;
• Все остальные значения отклоняются;
• Приоритет моста 0 имеет преимущество по сравнению со всеми остальными значениями приоритета моста.

Расширенный идентификатор системы

• IEEE 802.1D — VLAN не использовались, на всех коммутаторах использовалось один общий экземпляр STP, приоритет моста был 16 бит;
• IEEE 802.1D-2004 — от приоритета моста «откусили» 12 бит для VLAN, то есть в этом поле указывается номер VLAN;
• Это объясняет, почему значение приоритета моста можно настроить только кратным 4096 или 2^12.

Приоритет моста получается из суммирования поля Приоритет моста и поля Расширенный идентификатор системы. По умолчанию для VLAN 1 это 32768+1 = 32769, а если VLAN 10, то соответственно 32768+10=32778.

Механизм STP

Расчёт STP производится следующим образом:

1. Сначала происходят выборы корневого моста;
2. Затем каждый некорневой свич выбирает среди своих портов корневой порт;
3. Затем выбираются назначенные порты для каждого сегмента;
4. Корневые и назначенные порты переводятся в состояние передачи, остальные в состояние блокировки.

Основные сложности возникают для пункта 3: какой порт будет назначенным в режиме передачи, а какой альтернативным в режиме блокировки.

Рекомендации по корневому мосту

• По умолчанию коммутаторы настроены с одинаковым приоритетом и содержат один и тот же расширенный идентификатор системы, поэтому коммутатор, MAC-адрес которого имеет наименьшее шестнадцатеричное значение, будет иметь наименьший идентификатор BID и станет корневым;
• Чтобы гарантировать, что решение относительно корневого моста оптимально соответствует требованиям сети, администратору рекомендуется настроить выбранный коммутатор корневого моста с наименьшим приоритетом;
• При этом также гарантируется, что добавление в сеть новых коммутаторов не спровоцирует выбор нового корневого моста;
• Корневой коммутатор выбирается по причине более централизованного расположения, или по причине более высокой мощности, или по причине удобства/безопасности доступа;
• Чтобы предотвратить случайную смену корневого моста настраивается Root Guard, который предотвращает изучение через эти порты информации о новом корневом мосте:

SW1(config)# interface fa 0/24
SW1(config-if)# spanning-tree guard root
%SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Root guard enabled on port FastEthernet0/24.

Порты

Определение оптимального пути

• Пока STA определяет оптимальные пути до корневого моста для всех портов коммутатора в домене широковещательной рассылки, пересылка трафика по сети заблокирована;
• Стоимость порта, зависит от скорости порта коммутатора на данном маршруте;
• Стоимость пути равна сумме всех значений стоимости порта по пути к корневому мосту;
• Если для выбора доступно несколько путей, STA выбирает путь с наименьшей стоимостью.

Стоимость порта

Команды IOS установки стоимости порта

spanning-tree cost number - назначение стоимости
no spanning-tree cost - сброс стоимости

Роли портов описывают их связь с корневым мостом в сети, а также указывают, разрешена ли для них пересылка трафика:

• Назначенные порты (Designated Port) — все некорневые порты, которым разрешено пересылать трафик по сети;
• Альтернативные и резервные порты (Alternate и Backup) — альтернативные и резервные порты настраиваются в состояние блокировки во избежание возникновения петель;
• Корневые порты (Root Port) — порты коммутатора, находящиеся максимально близко к корневому мосту;
• Отключенные порты (Disabled Port) – отключенным называется порт коммутатора, питание которого отключено.

Выбор корневого порта на коммутаторе

• Сначала сравниваются значения стоимости пути к корневому мосту, порт с меньшей стоимостью пути выбирается корневым;
• Если имеются 2 порта с одинаковой минимальной стоимостью пути к корневому мосту и порты подключены к разным соседним коммутаторам, то каждый порт смотрит в пришедший кадр BPDU и находит там значение BID (то есть BridgeID соседнего коммутатора, к которому подключен этот порт). Порт, для которого BID меньше, становится корневым;
• Если BridgeID равны или порты подключены к одному и тому же соседнему коммутатору, то каждый порт смотрит в пришедший кадр BPDU и находит там значение PortID (это PortID порта соседнего коммутатора, куда подключён данный порт). Порт, для которого данное значение меньше, становится корневым.

Выбор назначенных и альтернативных портов

Для простоты предположим что только один VLAN и соответственно один экземпляр STP (независимо от вида протокола, будет далее). Задача разбивается на две части:

• Нахождение заблокированных линков между коммутаторами.

Корневой мост найден, все его порты назначенные, корневые порты на некорневых коммутаторах тоже найдены. Все альтернативные пути от каждого коммутатора к корневому мосту должны быть заблокированы.

Проще всего нарисовать схему, подписать корневой мост, его назначенные порты, проставить корневые порты, тогда заблокированные линки обычно без труда находятся.

• Линк блокируется только с одной стороны (так сделано для быстрого его включения в работу в случае необходимости). На одной стороне заблокированного линка будет назначенный порт, на другой стороне заблокированный альтернативный порт.

С какой стороны линка порт будет альтернативный? Если STA нужно заблокировать передачу по линку между 2 коммутаторами, назначенным становится порт у коммутатора с меньшей стоимостью пути до корневого моста. В случае когда стоимости равны, то сравниваются последовательно:

• BID — порт коммутатора с меньшим BID становится назначенным;
• PortID — порт коммутатора с меньшим PortID становится назначенным;
• MAC адреса портов — порт с меньшим MAC становится назначенным

Такая длинная процедура сравнения гарантирует выбор назначенного и альтернативного порта.

Приоритет порта и PortID

По умолчанию приоритет порта равен 128 и меняется командой из режима интерфейса:

S1(config-if)#spanning-tree port-priority number

Диапазон от 0 до 240 с шагом 16:

Some older switches may allow setting
the priority in different increments.

Поскольку дефолтное значение приоритета одинаково, оно не играет значения в выборе роли порта. Менять приоритет нужно для тонкой настройки в случае необходимости.

PortID формируется добавлением к приоритету порта значения идентификатора интерфейса. Идентификатор интерфейса в общем случае это номер порта, поэтому, допустим, у F0/18 он будет больше (десятичное значение 18), чем у F0/1 (1).

PortID выводится либо в шестнадцатеричном виде, например, 0x8016, либо в десятичном, тогда приоритет отделён точкой, например, 128.22 для F0/22:

PortID = PortPriority.IntID

Пример по выбору корневого порта

Возьмем 2 коммутатора 2950, соединим порты, придётся сделать кросс кабели, Auto-MDIX на 2950 нет.

Часть 1, приоритеты портов не меняем

На Switch1 будут порты 10 и 17, на Switch2 18 и 24, соответственно 24 -> 10, а 18 -> 17. Коммутатор Switch1 принудительно сделаем корневым, его порты назначенные:

Switch1(config)# spanning-tree vlan 1 root primary

Коммутатор Switch2 должен решить какой порт 18 или 24 будет альтернативным, а какой корневой.

Достаточно хитрый механизм. Как уже говорил, важно помнить, что порт всегда смотрит информацию в пришедшем кадре BPDU.

• Стоимость пути до корневого моста, понятное дело, для обоих портов одинаковая. Переходим к следующему шагу;
• Каждый порт (18 и 24) смотрит в пришедшем кадре BPDU BID соседнего коммутатора. Поскольку подключены они оба к Switch1, то значения будут равны. Переходим к следующему шагу;
• Каждый порт (18 и 24) смотрит в пришедшем кадре BPDU PortID смежного порта на другом коммутаторе. Для Fa0/18 это 128.17, для Fa0/24 это 128.10. Поскольку 128.10 меньше чем 128.17, то корневым будет Fa0/24.

И хотя F0/24 имеет собственный PorID больше, чем у F0/18:

Именно он становится корневым портом, потому что подключён к порту с меньшим PortID (на F0/1 не надо обращать внимание, это линк к моему компьютеру):

Теперь переключим порт F0/18 коммутатора Switch2 из порта F0/17 в порт F0/9.

Теперь уже F0/18 корневой порт, так как теперь он подключён к порту с меньшим PortID 128.9 против 128.10 для F0/24.

Наглядно видно, что порты выбираются указанным выше способом.

Часть 2, с изменением приоритетов портов

Побалуемся приоритетами портов. Для этого у порта F0/24 на коммутаторе Switch2 явно изменим приоритет на 64 и для верности перезагрузим коммутатор, чтобы STA пересчитал всё заново:

Смотрим:

Порт F0/24 как он был в конце прошлого примера альтернативным в состоянии блокировки, так и остался. Ничего не изменилось и пока ничего интересного. Теперь поменяем на 64 приоритет порта F0/10 на Switch1, куда включён F0/24:

Ждём перерасчёт и смотрим на Switch2.

F0/24 теперь рутовый. Наглядно видно, что играет роль не собственный приоритет порта, а порта соседнего коммутатора, куда данный порт подключён.

Процесс BPDU

• Изначально каждый коммутатор в домене широковещательной рассылки считает себя корневым мостом для экземпляра протокола spanning-tree, поэтому отправленные кадры BPDU содержат идентификатор BID локального коммутатора в качестве идентификатора корневого моста;
• Когда смежные коммутаторы принимают кадр BPDU, они сопоставляют содержащийся в нем идентификатор корневого моста с локальным идентификатором корневого моста. Если идентификатор корневого моста в кадре BPDU имеет меньшее значение, чем локальный идентификатор корневого моста, коммутатор обновляет локальный идентификатор и тот идентификатор, который содержится в сообщениях BPDU;
• Если локальный идентификатор корневого моста имеет меньшее значение, чем идентификатор корневого моста, полученный в кадре BPDU, кадр BPDU отбрасывается;
• Сначала сравнивается значение приоритета, если значения приоритета равны, тогда сравниваются значения MAC-адресов;
• После обновления идентификатора корневого моста в целях определения нового корневого моста, все последующие кадры BPDU, отправленные с этого коммутатора, будут содержать новый идентификатор корневого моста и обновленное значение стоимости пути.

Рекомендации по STP

Выбор протокола STP

Предположим, планируется к внедрению новая сеть на некоторых коммутаторах, коммутаторы естественно поддерживают разные протоколы STP. Возникает вопрос: какой из протоколов STP выбрать?

Малое количество VLANs (пара десятков или чуть больше):

• Все коммутаторы CISCO, выбираем Rapid PVST+;
• Смешанная среда разных вендоров, выбираем MSTP(MST).

Большое количество VLANs (сотни):

• Выбираем MSTP(MST) вне зависимости от вендора.

Такой подход обеспечит распределение нагрузки по линкам с учётом VLANs на втором уровне. Что это значит? Например, когда протокол RSTP блокирует линк, он это делает для всех VLANs. Через линк никакая информация (кроме BPDU) не ходит. Когда протокол MSTP блокирует линк, то он это делает для группы VLANs, при этом информация для других VLANs передаётся через линк. Таким образом суммарное количество передаваемой информации увеличивается.

Расходуемые ресурсы CPU, памяти на обсчёт инстансов и отправку BPDU возрастают при возрастании количества VLANs. Если разговор про большое количество VLANs, то тут надо сказать, что количество поддерживаемых экземпляров STP тоже конечно и зависит от модели коммутатора. Только MSTP здесь сможет помочь.

Выбор протокола также сильно зависит от топологии. Например, если топология звезда (она же Hub and Spoke), тогда каждый периферийный коммутатор соединён с центральным или одиночным линком, или агрегацией линков. В этом случае никакого преимущества от использования MSTP не будет, все линки между коммутаторами задействованы для всех VLANs. В этом случае выберу RSTP, так как его настройка проще и компактнее в конфигурации (зависит от вендора).

Самое важное тут: есть подход один инстанс на все VLANs, есть подход инстанс на каждую VLAN и есть компромиссный MST. Какой подход выбрать зависит от многих факторов.

Да, ещё один момент: MSTP требует ручной настройки, так как по умолчанию все VLANs помещаются в нулевой инстанс. То есть заработать-то заработает, но только одно дерево, выигрыша никакого не будет по сравнению с RSTP, не будет распределения нагрузки по линкам. Как найду время выложу статью. Тот же Rapid PVST+ автоматически создаст отдельный инстанс на каждую VLAN и всё замечательно. А здесь нет, извольте инстанс для каждой группы VLANs прописать ручками.

На каких портах включать STP?

Понятное дело STP нужно включать на транках между коммутаторами. Нужно ли включать STP для пользовательских портов? Встречал в сети комментарии, что STP «есть чистое зло и его нужно выключать везде, где только можно», ну а уж на пользовательских портах особенно. Это заблуждение. На пользовательских портах STP нужно включать обязательно.

Пример. На IP-телефоне (допустим AVAYA) есть 2 гнезда: для сети и для компьютера (сам он по сути и есть коммутатор). Если оба гнезда подключить к сети, к одной VLAN, то сеть без STP (и без LoopBack Detection (LBD)) за несколько секунд ляжет. Причём не только коммутатор, куда подключен этот телефон, а вообще вся часть сети, на которую этот VLAN распространяется. Это может сделать по незнанию или по ошибке любой сотрудник. Вы долго будете бегать по этажам «кудахтая» и пытаясь понять что же случилось. Так что можете не включать STP, но.. это до первой петли 🙂

Что ещё можно улучшить?

При использовании классического STP порт при подключении устройства поднимается довольно долго. Чтобы ускорить включение порта используйте быстрые протоколы STP: RSTP, MSTP и Rapid PVST+.

На пользовательских портах (где это совместимо с оконечным оборудованием) включайте опцию PortFast. Рекомендация CISCO: совместно с BPDU Guard. Порты будут подниматься мгновенно. При получении на порту BPDU, порт блокируется. Требуется ручная разблокировка или настройка очистки состояний errdisable по таймеру. На транках к серверам, на транке к маршрутизатору, используйте опцию PortFast Trunk.

STP (802.1D)

• Один заблокированный порт должен блокировать все сети VLAN;
• Требуется вычисление только одного экземпляра протокола spanning-tree.

Роли портов

• Root Port — корневой порт коммутатора;
• Designated Port — назначенный порт сегмента;
• Nondesignated Port — неназначенный порт сегмента;
• Disabled Port — порт который находится в выключенном состоянии.

Состояния портов

• Blocking — блокирование;
• Listening — прослушивание;
• Learning — обучение;
• Forwarding — пересылка;
• Disabled — отключённый.

CISCO в своих коммутаторах расширяет стандарт 802.1D проприетарными решениями и называется он PVST+ Этот стандарт используется в коммутаторах CISCO по умолчанию.

RSTP (802.1w)

• Протокол RSTP (802.1w) заменяет собой исходный стандарт 802.1D, поддерживая при этом функции обратной совместимости. Сохраняется большая часть терминологии, относящейся к исходному стандарту 802.1D, и большинство параметров остаются неизменными. Кроме того, 802.1w поддерживает возврат к более ранней версии 802.1D, обеспечивающей взаимодействие с предыдущими моделями коммутаторов на отдельных портах. Например, алгоритм протокола spanning-tree RSTP выбирает корневой мост точно так же, как и исходная версия 802.1D;
• RSTP сохраняет те же форматы BPDU, что и исходный IEEE 802.1D, за исключением того, что в поле версии установлено значение 2, что указывает на протокол RSTP, а поле флагов задействует все 8 бит;
• Протокол RSTP может активно подтвердить возможность безопасного перехода порта в состояние пересылки, не полагаясь на конфигурацию таймера.

Протокол RSTP использует байт флага BPDU версии 2:

• Биты 0 и 7 используются для изменения топологии и подтверждения их поступления в исходный 802.1D;
• Биты 1 и 6 используются для процесса согласования предложения (для быстрого схождения);
• Биты со 2 по 5 выполняют кодирование роли и состояния порта;
• Биты 4 и 5 используются для кодирования роли порта с использованием 2-битного кода.

Особенности RSTP

• Данные протокола на порте могут устареть сразу же, если пакеты приветствия не приняты три раза подряд (по умолчанию — в течение шести секунд) или по истечении максимального времени существования;
• Поскольку BPDU используется в качестве механизма keepalive, три подряд пропущенных BPDU указывают на потерю соединения между мостом и его соседним корневым мостом или выделенным мостом. Быстрое устаревание данных позволяет быстро обнаруживать сбои;
• Протокол RSTP использует BPDU типа 2 версии 2 (исходный стандарт 802.1D используется BPDU типа 0 версии 0).

Пограничный порт

• Никогда не будет подключен к коммутатору;
• Немедленно переходит в режим пересылки.

spanning-tree portfast

Примечание. Не рекомендуется настраивать граничные порты, которые будут соединены с другим коммутатором. Это может иметь негативные последствия для RSTP, поскольку появляется вероятность возникновения временной петли, приводящей к задержке схождения RSTP.

Поскольку PortFast предназначен для минимизации времени ожидания портами доступа схождения протокола spanning-tree, эту функцию рекомендуется использовать только на портах доступа.

Тип канала

• Точка-точка: порт, работающий в полнодуплексном режиме; как правило, соединяет два коммутатора и является кандидатом на быстрый переход в состояние пересылки;
• Общий: порт, работающий в полудуплексном режиме; соединяет коммутатор с концентратором, объединяющим несколько устройств;
• Тип канала позволяет определить, может ли порт сразу перейти в состояние пересылки при условии выполнения определённых условий;
• Для граничных и неграничных портов требуются разные условия;
• Тип канала определяется автоматически, но его можно переопределить с помощью явной команды.

spanning-tree link-type parameter

Характеристики ролей портов с учетом типа канала

• корневые порты не используют параметр типа канала; корневые порты могут осуществлять быстрый переход в состояние пересылки после синхронизации порта;
• альтернативные и резервные порты в большинстве случаев не используют параметр типа канала;
• назначенные порты максимально эффективно используют параметр типа канала. Быстрый переход в состояние пересылки для назначенного порта выполняется только в том случае, если для параметра типа канала установлено значение point-to-point.

Чтобы проверить, включен ли PortFast и BPDU для порта коммутатора, используйте команду show running-config,

Роли портов

• Root;
• Designated;
• Alternate — альтернативный путь к корневому коммутатору. Путь отличается от того, который использует корневой порт;
• Backup — запасной путь в сегмент.

Состояния портов

• Learning;
• Forwarding;
• Discarding.

По сравнению с исходной версией STP новые роли портов: Alternate и Backup.

Из рисунка видно: Blocking+Listening -> Discarding. STP ждёт 30 секунд (по умолчанию) перед переводом в состояние передачи:

• 15 секунд на состояние Listening, где смотрится приходят ли на порт кадры BPDUs. В течении этого времени MAC адреса не заносятся в динамическую таблицу;
• 15 секунд на состояние Learning, также просматривается приходят ли BPDUs, но также заполняется таблица MAC адресов.

Если порт находится в состоянии блокировки, то требуются ещё дополнительные 20 секунд. Чтобы истек таймер и коммутатор понял, что, связанный с данным блокированным портом, форвардящий порт отвалился.

PVST+

Per-VLAN Spanning Tree Plus (разработан CISCO на основе 802.1D)

отличие PVST+ от 802.1D

• Сеть может использовать независимый экземпляр реализации стандарта CST для каждой сети VLAN в пределах сети;
• Позволяет одному транковому порту на коммутаторе блокировать отдельную сеть VLAN, не блокируя при этом остальные сети VLAN;
• PVST+ можно использовать для распределения нагрузки на 2 уровне;
• Привносит некоторые фичи из Rapid PVST+, такие как: PortFast, UplinkFast, BackboneFast.

PVST+ имеют следующие характеристики

• Поддерживается оптимальное распределение нагрузки;
• Может привести к значительному необоснованному потреблению ресурсов ЦП, если настроено большое количество сетей VLAN.

Состояние портов

Аналогично исходному STP. Ещё раз подробнее.

Каждый порт коммутатора проходит через пять возможных состояний порта и три таймера BPDU. Если порт коммутатора переходит непосредственно из состояния блокировки в состояние пересылки, не используя во время перехода данные о полной топологии, порт может временно создавать петлю данных:

• Blocking: порт не участвует в пересылке кадров. Порт принимает кадры BPDU, чтобы определить местоположение и идентификатор корневого моста;
• Listening: прослушивание пути к корневому мосту. На этом этапе порт коммутатора не только принимает кадры BPDU, но также передает свои собственные кадры BPDU и сообщает смежным коммутаторам о том, что порт коммутатора готовится к участию в активной топологии;
• Learning: изучение MAC-адресов. На этапе подготовки к пересылке кадров порт начинает заполнять таблицу MAC-адресов;
• Forwarding: порт считается частью активной топологии. Он пересылает кадры данных, отправляет и принимает кадры BPDU;
• Disabled: ( отключен администратором) порт 2 уровня не участвует в протоколе spanning-tree и не пересылает кадры.

show spanning-tree summary

Алгоритм PVST+

1. Выбор одного корневого моста: только один коммутатор может выступать в роли корневого моста (для данной сети VLAN);
2. Выбор корневого порта на каждом некорневом мосту: протокол STP устанавливает один корневой порт на каждом некорневом мосту. Корневой порт является путем с наименьшей стоимостью от некорневого моста к корневому мосту, указывая оптимальный путь к корневому мосту;
3. Выбор назначенного порта в каждом сегменте: назначенный порт предоставляет маршрут с наименьшей стоимостью к корневому мосту;
4. Остальные порты в коммутируемой сети являются альтернативными: как правило, остаются в состоянии блокировки, что позволяет логически разорвать петлевую топологию. Когда порт находится в состоянии блокировки, он не пересылает трафик, но по-прежнему может обрабатывать полученные сообщения BPDU.

Параметры по умолчанию для Catalyst 2960

Настройка корневого моста метод 1

spanning-tree vlan vlan-id root primary
spanning-tree vlan vlan-id root secondary

Настройка корневого моста метод 2

spanning-tree vlan vlan-id priority number

PortFast и BPDU Guard

• PortFast можно использовать на портах доступа для обеспечения немедленного подключения этих устройств к сети;
• В конфигурации PortFast прием кадров BPDU никогда не допускается;
• Когда функция BPDU guard включена, она переводит порт в состояние отключения из-за ошибки при получении BPDU;

At the reception of BPDUs, the BPDU guard operation disables the port that has PortFast configured. The BPDU guard transitions the port into errdisable state, and a message appears on the console. This message is an example:

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. 
Disabling 2/1 

• Технологию Cisco PortFast рекомендуется использовать для DHCP. Без PortFast компьютер может отправить запрос DHCP до перехода порта в состояние пересылки;
• Если функция PortFast включена на порте, подключенном к другому коммутатору, возникнет риск возникновения петли протокола spanning-tree.

В глобальном режиме:

spanning-tree portfast default - используется для включения PortFast на всех нетранковых интерфейсах
spanning-tree portfast bpduguard default - включает BPDU guard на всех портах с поддержкой PortFast

в режиме конфигурации порта:

spanning-tree portfast
spanning-tree bpduguard enable

show spanning-tree active - отобразить сведения только для активных интерфейсов

Rapid PVST+

Разработан CISCO на основе 802.1D.

отличие Rapid PVST+ от RSTP

• Сеть может использовать независимый экземпляр реализации стандарта RSTP для каждой сети VLAN в пределах сети;
• Позволяет одному транковому порту на коммутаторе блокировать отдельную сеть VLAN, не блокируя при этом остальные сети VLAN;
• Rapid PVST+ можно использовать для распределения нагрузки на 2 уровне.

Роли портов

Аналогично RSTP.

• Root;
• Designated;
• Alternate — альтернативный путь к корневому коммутатору. Путь отличается от того, который использует корневой порт;
• Backup — запасной путь в сегмент.

RSTP поддерживает новый тип порта: альтернативный порт в состоянии отбрасывания. Отсутствуют порты, работающие в режиме блокирования;

Если порт настроен в качестве альтернативного или резервного, он может немедленно перейти в состояние пересылки, не дожидаясь схождения сети.

Состояние портов

Аналогично RSTP.

• Learning;
• Forwarding;
• Discarding.

Для настройки конфигурации Rapid PVST+ требуется только команда режима глобальной конфигурации:

spanning-tree mode rapid-pvst

и может быть команда очистки:

cleaning spanning-tree detected-protocols

При определении настраиваемого интерфейса к допустимым интерфейсам относятся физические порты, сети VLAN и агрегированные каналы. Диапазон идентификаторов сети VLAN — от 1 до 4094, если установлен расширенный образ ПО или от 1 до 1005, если установлен стандартный образ ПО.

Примечание. Как правило, нет необходимости в настройке параметра типа канала точка-точка для протокола Rapid PVST+, поскольку совместно используемый тип канала является нетипичным.

Команды для проверки:

show spanning-tree vlan number
show running-config

Ещё раз основные отличия протоколов CISCO от старых первоначальных протоколов IEEE: поддерживают 1 экземпляр протокола связующего дерева на VLAN, а не 1 экземпляр на все VLAN, поэтому могут служить для распределения нагрузки на уровне 2.

 FHRP

Одним из способов для устранения единой точки отказа на шлюзе по умолчанию является реализация виртуального маршрутизатора.

Несколько роутеров сгруппированы в один виртуальный роутер, имеющий свой виртуальный IP и виртуальный MAC, которые используются на клиентах для работы со шлюзом. Помимо этого каждый роутер имеет свой отдельный IP и MAC.

Протоколы

• HSRP является проприетарным протоколом Cisco, который предназначен для обеспечения сквозного переключения IPv4-устройства первого перехода;
• HSRP для IPv6 проприетарный протокол FHRP Cisco, который предоставляет те же функции HSRP, но для среды IPv6. Группа IPv6 HSRP содержит виртуальный MAC-адрес, производный от номера группы HSRP и виртуального локального IPv6-адреса канала, производного от виртуального MAC-адреса HSRP. Для виртуального локального IPv6-адреса канала HSRP отправляются периодические объявления маршрутизатора (RA), если группа HSRP активна. Когда группа становится неактивной, RA прекращаются после отправки последнего из них;
• VRRPv2 открытый протокол выбора, динамически назначающий VRRP-маршрутизаторам ответственность за один или несколько виртуальных маршрутизаторов в IPv4-сети LAN;
• VRRPv3 предоставляет функции поддержки IPv4- и IPv6-адресов. VRRPv3 работает в неоднородных средах и предоставляет более широкие возможности масштабирования, чем VRRPv2;
• GLBP проприетарный протокол FHRP Cisco, который обеспечивает балансировку нагрузки;
• GLBP для IPv6: проприетарный протокол FHRP Cisco, который предоставляет те же функции GLBP, но для среды IPv6;
• IRDP заявлен в RFC 1256, является предыдущей версией решения FHRP.

HSRP

Версии протокола

Существует две версии протокола HSRP 1 и 2:

• Multicast адрес:
  • в версии 1 используется адрес 224.0.0.2 (как и в CGMP);
  • в версии 2 используется адрес 224.0.0.102.
• Количество групп:
  • в версии 1 до 255 групп;
  • в версии 2 до 4096.
• Виртуальный MAC адрес (xx и xxx — номер группы HSRP):
  • в версии 1 0000:0C07:ACxx;
  • в версии 2 0000:0C9F:Fxxx.

HSRP standby группа  — эмулирует виртуальный маршрутизатор. В одном VLAN может быть 255 групп. Группа состоит из:

• 1 Active маршрутизатор;
• 1 Standby маршрутизатор;
• один виртуальный маршрутизатор;
• другие маршрутизаторы.

Тут уточнение, разговор идёт обычно про 2 маршрутизатора — Active и Standby и как-то забывается, что физических маршрутизаторов может быть больше 2.

IP-адрес группы — должен быть из сети, в которой находятся маршрутизаторы, однако не может быть адресом, который уже присвоен маршрутизатору или хосту.

Настройка HSRP на интерфейсе активного роутера:

standby 1 ip virtual_ip
standby 1 priority number - где number больше 100 (у активного маршрутизатора приоритет больше)
standby 1 preempt - позволяет перехватывать роль active роутеру с большим приоритетом, например, после перезагрузки (по умолчанию эта функция выключена)

Настройка HSRP на интерфейсе резервного роутера:

standby 1 ip virtual_ip

Примечание. Virtual_ip указывается без маски.

Для проверки HSRP:

show standby {brief}

Для проверки на стороне компьютера после настройки шлюза по умолчанию на Virtual_ip, можно проверить таблицу ARP:

arp -a

Тогда можно увидеть среди MAC адресов автоматически сгенерированный MAC из требуемого диапазона и относится он к Virtual_ip:

Подробнее о HSRP можно посмотреть в курсе CCNA R&S 6.0 Bridging Course.

Пример схемы внедрения HSRP

Несколько запутанно, но разобрать полезно.

В этом примере используется конфигурация на DSW1:

track 10 ip route 10.1.21.128 255.255.255.224 metric threshold
threshold metric up 63 down 64

interface Vlan10
ip address 10.2.1.1 255.255.255.0
ip helper-address 10.1.21.129
standby 10 ip 10.2.1.254
standby 10 priority 200
standby 10 preempt
standby 10 track 10 decrement 60

И конфигурация на DSW2:

interface Vlan10
ip address 10.2.1.2 255.255.255.0
ip helper-address 10.1.21.129
standby 10 ip 10.2.1.254
standby 10 priority 150
standby 10 preempt

Приоритет для DSW1 200, а для DSW2 150, поэтому DSW1 в состоянии active. Но также происходит IP SLA отслеживание маршрута по метрике. Если метрика выходит за переделы, то срабатывает decrement 60 и приоритет DSW1 становится 200 — 60 = 140, меньше чем у DSW2.

За счёт команды standby 10 preempt при измении приоритета сразу происходят перевыборы активного маршрутизатора. Тогда DSW2 становится active, DSW1 standby.

Что это за маршрут?

DSW1# show ip route
...
D 10.1.21.128/27 [90/156160] via 10.1.4.5, 00:22:55, Ethernet1/0

Это некий «важный» маршрут от DSW1 к R4 и происходит отслеживание его доступности. Почему важный? Потому что 10.1.21.129, как видно (ip helper-address 10.1.21.129), сервер DHCP, обслуживающий внутреннюю подсеть.

Что значит threshold metric up 63 down 64? Пороги срабатывания:

Метрика 63 и меньше считается состоянием Up, 64 и больше — Down. Почему так? Ведь метрика для маршрута на самом деле 156160. Потому что для исходных метрик используется делитель:

К метрике применяется делитель 2560: 156160 / 2560 = 61. Подробнее тут. Получается 61 < 63 и состояние Up. Смотрим ещё:

DSW1# show track 10
Track 10
IP route 10.1.21.128 255.255.255.224 metric threshold
Metric threshold is Up (EIGRP/156160/61)
2 changes, last change 00:44:41
Metric threshold down 64 up 63
First-hop interface is Ethernet1/0
Tracked by:
HSRP Vlan10 10

Возможно отлеживание не маршрута, а интерфейса:

track 10 interface FastEthernet1/0/1 line-protocol

Для конфигурации HSRP при этом остаётся:

standby 10 track 10 decrement 60

Задействование обоих маршрутизаторов

В примере выше трафик маршрутизирует только DSW1, DSW2 простаивает. А если схема будет не внутри сети? Если 2 маршрутизатора (R1 и R2), каждый из маршрутизаторов подключен к своему провайдеру и хочется использовать распределение нагрузки?

Тогда создаётся 2 группы HSRP. В одной группе активным роутером будет будет R1, во второй R2. В каждой группе свой виртуальный роутер по умолчанию. Разделяем устройства внутри сети: часть устройств использует первый виртуальный роутер по умолчанию, другая часть второй. При отвале маршрута, линка или самого физического роутера, обе группы HSRP используют оставшийся физический роутер как активный.

GLBP

GLBP обеспечивает распределение нагрузки на несколько  маршрутизаторов (шлюзов) используя 1 виртуальный IP-адрес и несколько виртуальных MAC-адресов.

Члены GLBP группы выбирают один шлюз который будет активным виртуальным шлюзом Active Virtual Gateway (AVG) для этой группы.

GLBP Gateway Priority — определяет выбор нового AVG, если старый AVG станет недоступным. Приоритет можно определить на каждом маршрутизаторе значением от 1 до 255 командой:

glbp priority value

Маршрутизатор с большим приоритетом становится AVG.

Каждый член группы участвует в передаче пакетов, используя виртуальный MAC адрес, выданный AVG. Этих членов группы называют Active Virtual Forwarders (AVF). AVG ответственен за выдачу ответов по протоколу Address Resolution Protocol (ARP) на запросы к виртуальному IP-адресу. Распределение нагрузки достигается тем что AVG отвечает на ARP запросы используя разные виртуальные MAC адреса. GLBP поддерживает до 1024 групп на интерфейс и максимум 4 AVF на группу. MAC адреса AVF выдаются по механизму round-robin (round-robin используется по умолчанию, есть и другие механизмы), другими словами попеременно.

Пример. Если пользовательский хост запросит у AVG MAC адрес для формирования пакета, то AVG вернёт 1 из 4 MAC адресов AVF.

Парольная аутентификация между членами группы производится используя MD5 или в виде plain text.

Подробнее:

• http://xgu.ru/wiki/GLBP
• http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ft_glbp.html

Настройка GLBP на интерфейсе пересылающего роутера:

glbp 1 ip virtual_ip
glbp 1 load-balancing round-robin

Настройка GLBP на интерфейсе резервного роутера:

glbp 1 ip virtual_ip
glbp 1 preemt
standby 1 priority number - где number >100
glbp 1 load-balancing round-robin

Для проверки GLBP:

show glbp {brief}

Отличить HSRP от GLBP можно по тому, что в выводе для GLBP указано Forwarder, а в выводе для HSRP Active router, Standby router.

Урок 3

EtherChannel

Предпосылки

• Можно использовать каналы с более высокой скоростью (например 10 Гбит/с) в агрегированном канале между коммутаторами уровня доступа и распределения. Однако добавление каналов с более высокой скоростью — довольно дорогостоящее решение;
• Можно увеличить число физических каналов между коммутаторами, что позволит увеличить общую скорость обмена данными между коммутаторами. Однако по умолчанию на устройствах коммутации включён протокол связующего дерева (STP). Протокол STP блокирует избыточные каналы во избежание петель коммутации.

По этим причинам оптимальным решением для ускорения обмена является реализация технологии EtherChannel. При настройке EtherChannel создаётся виртуальный интерфейс, который называется агрегированный канал (port channel). Физические интерфейсы объединяются в интерфейс агрегированного канала.

Технология EtherChannel имеет много достоинств:

• Большинство задач конфигурации выполняется на интерфейсе EtherChannel, а не на отдельных портах. Это обеспечивает согласованную конфигурацию на всех каналах;
• EtherChannel использует существующие порты коммутатора. Для обеспечения более высокой пропускной способности не требуется дорогостоящая замена канала на более быстрый;
• Между каналами, которые являются частью одного и того же EtherChannel, происходит распределение нагрузки. В зависимости от используемого оборудования может быть реализован один или несколько методов распределения нагрузки.
• EtherChannel создает объединение, которое рассматривается, как один логический канал. Если между двумя коммутаторами существует несколько объединений EtherChannel, протокол STP может блокировать одно из объединений во избежание петель коммутации. Если протокол STP блокирует один из избыточных каналов, он блокирует весь EtherChannel. При этом блокируются все порты, относящиеся к этому каналу EtherChannel. Если существует только один канал EtherChannel, все физические каналы в EtherChannel активны, поскольку STP видит только один (логический) канал;
• EtherChannel предоставляет функции избыточности, поскольку общий канал считается одним логическим соединением. Кроме того, потеря одного физического соединения в пределах канала не приводит к изменению в топологии. Следовательно, пересчёт дерева кратчайших путей не требуется. При условии, что имеется хотя бы одно физическое соединение, EtherChannel продолжает работать даже в том случае, если общая пропускная способность снижается из-за потери соединения в пределах EtherChannel.

Виды распределения нагрузки:

• Распределение нагрузки по физическим каналам на основе МАС-адреса источника и МАС-адреса назначения;
• Распределение нагрузки по физическим каналам на основе IP-адреса источника и IP-адреса назначения.

Ограничения:

• Типы интерфейсов нельзя смешивать. Например, нельзя смешивать Fast Ethernet и Gigabit Ethernet в пределах одного канала EtherChannel;
• В настоящее время все каналы EtherChannel могут содержать до восьми совместимо настроенных Ethernet-портов;
• Коммутаторы Cisco IOS в настоящее время поддерживают шесть каналов EtherChannel;
• EtherChannel создает связь типа «один в один», то есть один канал EtherChannel соединяет только два устройства. Канал EtherChannel можно создать между двумя коммутаторами или между сервером с включённым EtherChannel и коммутатором;
• Конфигурация порта отдельного участника группы EtherChannel должна выполняться согласованно на обоих устройствах. Если физические порты на одной стороне настроены в качестве транковых, то физические порты на другой стороне также должны быть настроены в качестве транковых с тем же самым native VLAN. Кроме того, все порты в каждом канале EtherChannel должны быть настроены как порты 2 уровня;
• В EtherChannel все порты обязательно должны иметь одинаковую скорость, одинаковые настройки дуплекса и одинаковые настройки VLAN. При любом изменении порта после создания канала также изменяются все остальные порты канала.

Примечание.  На многоуровневых коммутаторах Cisco Catalyst  можно настроить каналы EtherChannel 3 уровня. Канал EtherChannel 3 уровня имеет один IP-адрес. Настройка интерфейса агрегированного канала применяется на все физические интерфейсы, связанные с этим каналом.

Ручное включение и согласование

Etherchannel можно образовать путем согласования с использованием одного из двух протоколов, PAgP или LACP.

Также возможна настройка статического или безусловного канала EtherChannel без использования PAgP или LACP.

PAgP

PAgP — это проприетарный протокол Cisco, который предназначен для автоматизации создания каналов EtherChannel. Когда канал EtherChannel настраивается с помощью PAgP, пакеты PAgP пересылаются между портами с поддержкой EtherChannel в целях согласования создания канала. Когда PAgP определяет совпадающие соединения Ethernet, он группирует их в канал EtherChannel. Далее EtherChannel добавляется в дерево кратчайших путей как один порт.

Если включён протокол PAgP, он также участвует в управлении EtherChannel. Отправка пакетов PAgP выполняется с интервалом в 30 секунд.

Режимы протокола PAgP:

• On — этот режим принудительно назначает интерфейс в канал без использования PAgP. Интерфейсы, настроенные в режиме On (Вкл), не обмениваются пакетами PAgP;
• PAgP desirable (рекомендуемый) — этот режим PAgP помещает интерфейс в активное состояние согласования, в котором интерфейс инициирует согласование с другими интерфейсами путем отправки пакетов PAgP;
• PAgP auto (автоматический) — этот режим PAgP помещает интерфейс в пассивное состояние согласования, в котором интерфейс отвечает на полученные пакеты PAgP, но не инициирует согласование PAgP.

Режимы должны быть совместимыми на каждой из сторон. Если одна из сторон настроена в автоматическом режиме, она помещается в пассивное состояние, ожидая инициации согласования EtherChannel другой стороной. Если для другой стороны также задан автоматический режим, то согласование не начнётся и EtherChannel не образуется. Если все режимы отключены с помощью команды no или ни один из режимов не настроен, EtherChannel отключается.

Режим Вкл помещает интерфейс в канал EtherChannel без выполнения согласования. Этот режим работает только в том случае, если для другой стороны также задан режим Вкл. Если для другой стороны параметры согласования заданы с помощью PAgP, образование EtherChannel не выполняется, поскольку та сторона, для которой задан режим Вкл, не выполняет согласование.

LACP

LACP изначально определён как стандарт IEEE 802.3ad. Тем не менее, теперь протокол LACP определяется более новой версией, стандартом IEEE 802.1AX для локальных и городских сетей.

Поскольку протокол LACP относится к стандарту IEEE, его можно использовать для упрощения работы с каналами EtherChannel в неоднородных средах. На устройствах Cisco поддерживаются оба протокола.

Режимы протокола LACP:

• On (Вкл) — этот режим принудительно помещает интерфейс в канал без использования LACP. Интерфейсы, настроенные в режиме On, не обмениваются пакетами LACP;
• LACP active (активный) — в этом режиме LACP порт помещается в активное состояние согласования. В этом состоянии порт инициирует согласование с другими портами путем отправки пакетов LACP;
• LACP passive (пассивный) — в этом режиме LACP порт помещается в пассивное состояние согласования. В этом состоянии порт отвечает на полученные пакеты LACP, но не инициирует согласование пакетов LACP.

Как и в случае с PAgP, для формирования канала EtherChannel режимы должны быть совместимы на обеих сторонах. Режим Вкл повторяется, поскольку он создает конфигурацию EtherChannel безусловно, без динамического согласования PAgP или LACP.

Рекомендации

При настройке EtherChannel рекомендуется соблюдать следующие инструкции и ограничения:

• Поддержка EtherChannel. Все интерфейсы Ethernet на всех модулях должны поддерживать EtherChannel; при этом не требуется, чтобы эти интерфейсы были физически смежными или находились на одном модуле;
• Скорость и дуплексный режим.Настройте все интерфейсы в EtherChannel для работы на одной скорости и в одном дуплексном режиме;
• Сопоставление сетей VLAN. Все интерфейсы в объединении EtherChannel должны быть назначены в один VLAN или настроены в качестве транкового канала;
• Диапазон сетей VLAN. EtherChannel поддерживает одинаковые разрешённые диапазоны сетей VLAN на всех интерфейсах в транковом канале EtherChannel. Если разрешённый диапазон сетей VLAN не совпадает, интерфейсы не смогут создать EtherChannel даже при выборе auto илиdesirable режимов.

Если данные параметры необходимо изменить, настройку следует выполнять в режиме конфигурации интерфейса агрегированного канала. После настройки интерфейса агрегированного канала все введённые команды также применяются на отдельные интерфейсы. Однако конфигурации, примененные к отдельным интерфейсам, не влияют на интерфейс агрегированного канала. Следовательно, изменение конфигурации интерфейса, относящегося к каналу EtherChannel, может вызвать проблемы с совместимостью.

Ещё раз: 8 портов в 1 EhterChannel максимум, 6 EtherChannel на коммутатор максимум.

Настройка

Настройка EtherChannel с использованием LACP проходит в два этапа:

Шаг 1. Укажите интерфейсы, составляющие группу EtherChannel, используя команду режима глобальной конфигурации interface range interface. Ключевое слово range позволяет выбрать несколько интерфейсов и настроить их одновременно. Рекомендуется сперва отключить эти интерфейсы, чтобы избежать активности в канале из-за неполной конфигурации.

Шаг 2. Создайте интерфейс агрегированного канала с помощью команды channel-group identifier mode mode режима конфигурации диапазона интерфейса.

Проверка

Сначала с помощью команды show interface port-channel отображается общий статус интерфейса агрегированного канала.

Когда на одном устройстве настроено несколько интерфейсов агрегированного канала, необходимо использовать команду show etherchannel summary.

Используйте команду show etherchannel port-channel, чтобы отобразить сведения о конкретном интерфейсе агрегированного канала.

Чтобы просмотреть данные о роли физического интерфейса в работе EtherChannel, следует выполнить команду show interfaces etherchannel.

Устранение неполадок

Все интерфейсы в EtherChannel должны иметь одинаковые настройки скорости и дуплексного режима, на транковых каналах одинаковые настройки native VLAN и разрешенных VLAN, на портах доступа — одинаковый VLAN:

• назначьте все порты в EtherChannel одной VLAN или настройте их в качестве транковых каналов. Порты с различными native VLAN не могут образовать EtherChannel;
• При настройке EtherChannel на транковых каналах необходимо убедиться, что во всех транковых каналах режим транка настроен одинаково. Несогласованность режимов транка на портах EtherChannel может привести к тому, что EtherChannel не будет работать, а порты будут отключены (состояние errdisable );
• Все входящие в EtherChannel порты поддерживают одинаковый диапазон разрешённых VLAN. Если диапазоны разрешённых VLAN не совпадают, порты не смогут сформировать EtherChannel;
• Параметры динамического согласования для PAgP и LACP должны быть настроены с учётом совместимости на обоих концах EtherChannel.

Примечание. Легко спутать протокол PAgP или LACP с DTP, поскольку оба протокола используются для автоматизации поведения на транковых каналах. Протоколы PAgP и LACP используются для агрегирования каналов (EtherChannel). DTP используется для автоматизации создания транковых каналов. Как правило, если настроен транковый канал EtherChannel, то EtherChannel (PAgP или LACP) настраивается в первую очередь, и только после этого настраивается DTP.

Примечание. EtherChannel и STP должны взаимодействовать. По этой причине важен порядок выполнения связанных с EtherChannel команд, и именно поэтому лучше Port-Channel удалить и снова добавить с новыми параметрами, а не изменять напрямую. При попытке изменить конфигурацию интерфейса напрямую ошибки STP приводят к тому, что связанные порты переходят в состояние блокировки или в состояние errdisable (не дружит с STP).

Урок 4

Беспроводные сети

Беспроводные сети в целом можно разделить на следующие категории:

• Беспроводная персональная сеть (WPAN).Радиус действия данной сети составляет несколько метров. В сетях WPAN используются устройства с поддержкой Bluetooth или Wi-Fi Direct;
• Беспроводные сети LAN (WLAN). Сети данного типа работают в диапазоне нескольких сотен метров (например, в комнате, в доме, в офисе и даже в сетях комплекса зданий);
• Глобальные сети (WWAN). Эти сети действуют в радиусе нескольких километров (например, в муниципальной сети, сети сотовой связи или даже в каналах междугородней связи посредством СВЧ-реле).

Стандарты

• Bluetooth. Изначально является стандартом WPAN IEEE 802.15, который использует процесс сопряжения устройств для обмена данными на расстояниях до 100 метров (0,1 км);
• Wi-Fi (wireless fidelity, беспроводная достоверность). Стандарт сетей WLAN IEEE 802.11, обычно развертываемых в целях предоставления доступа к сети для пользователей домашней и корпоративной сети (включая передачу данных, голоса и видео) на расстояниях до 300 м (0,18 мили);
• WiMAX (протокол широкополосной радиосвязи). Стандарт сетей WWAN IEEE 802.16, который обеспечивает беспроводной широкополосный доступ на расстояниях до 50 км (30 миль);
• Сотовый широкополосный доступ. Впервые использован для сотовых телефонов 2-го поколения в 1991 году (2G). В 2001 и 2006 гг. в рамках технологий мобильной связи третьего (3G) и четвертого (4G) поколений стали доступный более высокие скорости;
• Спутниковый широкополосный доступ.Предоставляет сетевой доступ к удалённым объектам за счёт использования направленной спутниковой антенны, отрегулированной по геостационарному спутнику (GEO). Как правило, эта технология отличается более высокой стоимостью и к тому же требует обеспечения прямой видимости.

Для беспроводных LAN стандарта 802.11 выделяются следующие частотные полосы:

• 2,4 ГГц (УВЧ): 802.11b/g/n/ad
• 5 ГГц (СВЧ): 802.11a/n/ac/ad
• 60 ГГц (КВЧ): 802.11ad

Точки доступа могут быть автономными и управляемыми контроллером.

Примечание. Некоторые точки доступа могут работать как в автономном режиме, так и в режиме точки доступа, управляемой контроллером.

Для небольших беспроводных сетей Cisco предлагает следующие решения в виде беспроводных автономных точек доступа.

• Точка доступа Cisco WAP4410N. Эта точка доступа идеально подходит для небольших компаний, которым требуются две точки доступа и поддержка небольшой группы пользователей;
• Точки доступа Cisco WAP121 и WAP321. Эти точки доступа идеально подходят для небольших компаний, которым требуется упростить беспроводную сеть за счёт использования нескольких точек доступа;
• Точка доступа Cisco AP541N. Эта точка доступа идеально подходит для небольших и средних компаний, которым требуется надежный и простой в управлении кластер точек доступа.

Примечание. Большинство точек доступа корпоративного уровня поддерживает PoE.

Кластеры

Точки доступа WAP121, WAP321 и AP541N поддерживают кластеризацию точек доступа без использования контроллера. Кластер предоставляет единую точку администрирования и позволяет администратору просматривать развертывание точек доступа как одну беспроводную сеть, а не как набор отдельных беспроводных устройств. В  частности, точки доступа WAP121 и WAP321 поддерживают единую точку настройки (Single Point Setup, SPS).

SPS позволяет включить для сети LAN возможность масштабирования до четырех точек доступа WAP121 и до восьми точек доступа WAP321, точка доступа Cisco AP541N способна объединить в кластер до 10 точек доступа и поддерживает несколько кластеров.

Существует возможность создания кластера с использованием двух точек доступа. Для этого необходимо соблюдать следующие условия:

• На точках доступа включен режим кластеризации;
• Точки доступа, входящие в кластер, имеют одно имя кластера;
• Точки доступа подключены к одному сегменту сети;
• Точки доступа используют один режим радиосвязи (т. е. оба модуля радиосвязи относятся к стандарту 802.11n).

Meraki

Для управляемой облачной архитектуры Cisco Meraki требуются следующие компоненты:

• Точки беспроводного доступа под облачным управлением Cisco. Для различных беспроводных сетей существуют различные модели;
• Облачный контроллер Meraki (MCC). Контроллер MCC предоставляет для системы беспроводной локальной сети Meraki функции централизованного управления, оптимизации и мониторинга. MCC — это не устройство, которое нужно приобрести и установить для управления точками беспроводного доступа. MCC, скорее, представляет собой облачный сервис, который постоянно выполняет мониторинг, оптимизацию и создание отчетов о поведении сети;
• Веб-панель управления. Веб-панель управления Meraki Dashboard выполняет удалённую настройку и диагностику.

Cisco Unified

Архитектура беспроводной сети Cisco Unified требует наличия следующих устройств:

• «Легкие» точки доступа. Точки беспроводного доступа моделей Cisco Aironet 1600, 2600 и 3600 обеспечивают надежный сетевой доступ для узлов;
• Контроллеры для предприятий малого и среднего бизнеса. Беспроводные контроллеры Cisco серии 2500, виртуальный контроллер беспроводной сети Cisco или модуль контроллера беспроводной сети Cisco для Cisco ISR G2 предоставляют возможность развертывания корпоративных сетей WLAN базового уровня для предприятий малого или среднего бизнеса с целью беспроводной передачи данных.

Антенны

Точки доступа Cisco Aironet могут использовать:

• Всенаправленные антенны Wi-Fi. Заводской модуль Wi-Fi зачастую использует базовые дипольные антенны, которые также называются гибкими штыревыми выдвижными антеннами, аналогичные тем, которые используются в портативных рациях. Всенаправленные антенны обеспечивают покрытие на 360 градусов и идеально подходят для офисов открытой планировки, вестибюлей, конференц-залов и наружных площадок;
• Направленные антенны Wi-Fi. Направленные антенны фокусируют радиосигнал в заданном направлении. Таким образом, улучшается сигнал к точке доступа и от нее в том направлении, куда направлена антенна, что обеспечивает большую мощность сигнала в одном направлении и меньшую — во всех остальных направлениях;
• Антенны типа «волновой канал» (Yagi) — это радиоантенны направленного действия, которые можно использовать для создания сетей Wi-Fi дальнего действия. Эти антенны, как правило, используются для расширения диапазона «горячих точек» вне здания в определённом направлении или для обеспечения доступа к пристройке.

Стандарты IEEE 802.11n/ac/ad используют технологию MIMO для повышения пропускной способности и поддержки до четырех антенн одновременно.

Примечание.  Маршрутизаторы 802.11n начального уровня поддерживают пропускную способность 150 Мбит/с, используя один радиомодуль Wi-Fi и одну антенну, присоединённую к устройству, два радиомодуля и две антенны на маршрутизаторе 802.11n поддерживают скорость передачи данных до 300 Мбит/с, а для обеспечения скорости 450 и 600 Мбит/с требуются три и четыре радиомодуля и антенны соответственно.

Топология

Стандарт 802.11 определяет два основных режима топологии беспроводной сети:

• Режим прямого подключения (ad hoc). В этом режиме два устройства соединены по беспроводной сети без использования таких устройств инфраструктуры, как беспроводной маршрутизатор или точка доступа. К примерам этого режима можно отнести Bluetooth и Wi-Fi Direct;
• Инфраструктурный режим. В этом режиме беспроводные клиенты соединены друг с другом посредством беспроводного маршрутизатора или точки доступа (например, как в сетях WLAN). Точки доступа подключены к сетевой инфраструктуре посредством кабельной распределительной системы, например, Ethernet.

Архитектура IEEE 802.11  определяет два структурных элемента топологии инфраструктурного режима: базовый набор сервисов (BSS) и расширенный набор сервисов (ESS).

Базовый набор сервисов

BSS состоит из одной точки доступа, которая взаимодействует со всеми связанными беспроводными клиентами. Зона покрытия, в пределах которой беспроводные клиенты BSS могут поддерживать связь друг с другом называется зоной основного обслуживания (BSA). Если беспроводной клиент выходит из зоны основного обслуживания, он больше не может напрямую связываться с другими беспроводными устройствами в пределах зоны BSA. BSS является структурным элементом топологии, а BSA — фактической зоной покрытия (термины BSA и BSS зачастую используются как взаимозаменяемые).

MAC-адрес 2 уровня используется для уникальной идентификации каждого набора BSS, который называется идентификатором базового набора сервисов (BSSID). Таким образом, идентификатор BSSID является формальным именем BSS и всегда связан только с одной точкой доступа.

Расширенный набор сервисов

Когда один набор BSS обеспечивает недостаточное радиочастотное покрытие, то с помощью общей распределительной системы можно связать два или более наборов BSS, что образует расширенный набор сервисов (ESS). Набор сервисов ESS представляет собой объединение двух или более наборов BSS, взаимосвязанных посредством кабельной распределительной системы. Теперь беспроводные клиенты в одной зоне BSA могут обмениваться данными с беспроводными клиентами в другой зоне BSA в пределах одного набора ESS. Перемещающиеся мобильные беспроводные клиенты в роуминге могут переходить из одной зоны BSA в другую (с тем же набором ESS) и без проблем выполнять подключение. Зоны BSA в составе ESS должны перекрываться на 10-15%.

Примечание. В рамках стандарта 802.11 режим прямого соединения называется IBSS.

Кадр

802.11 содержат следующие поля:

• Управление кадром (Frame Control). Определяет тип кадра беспроводной сети и содержит подполя для версии протокола, типа кадра, типа адреса, настроек управления питанием и безопасности;
• Продолжительность (Duration). Как правило, используется для обозначения оставшегося времени, требуемого для приема следующего передаваемого кадра;
• Адрес 1 (Address1). Как правило, содержит MAC-адрес принимающего беспроводного устройства или точки доступа;
• Адрес 2 (Address2). Как правило, содержит MAC-адрес передающего беспроводного устройства или точки доступа;
• Адрес 3 (Address3). В отдельных случаях содержит MAC-адрес назначения, например, интерфейс маршрутизатора (шлюз по умолчанию), к которому подключена точка доступа;
• Контроль последовательности (Sequence Control).Содержит подполя для номера последовательности и номера фрагмента. Номер последовательности обозначает номер последовательности каждого кадра. Номер фрагмента обозначает номер каждого кадра, отправленного из фрагментированного кадра;
• Адрес 4 (Address4). Обычно отсутствует, поскольку используется только в режиме прямого соединения;
• Полезная нагрузка (Payload). Содержит данные для передачи;
• FCS. Контрольная последовательность кадра, которая используется для контроля ошибок 2 уровня.

Типы кадра

Кадр беспроводной сети может относиться к одному из трех типов:

• Кадр управления — используется в процессе обслуживания процесса обмена данными, например, при поиске, аутентификации и ассоциации с точкой доступа;
• Контрольный кадр — используется для упрощения обмена кадрами данных между беспроводными клиентами;
• Кадр данных — используется для переноса полезной нагрузки.

Технологии насыщения канала:

• Распределение сигнала в прямой последовательности (Direct-sequence spread spectrum, DSSS) — DSSS представляет собой технологию модуляции распределения сигнала. Технология распределения спектра разработана в целях распространения сигнала по большей частотной полосе, что повышает его устойчивость к помехам. С помощью технологии DSSS сигнал умножается на значение «искусственно созданного шума», которое также называется кодом расширения спектра. Поскольку получателю известен код расширения спектра, то после его добавления он может математически удалить и повторно выстроить исходный сигнал. По факту это обеспечивает избыточность передаваемого сигнала, предотвращая, таким образом, снижение качества среды беспроводной сети. Технология DSSS используется стандартом 802.11b, а также в радиотелефонах, работающих на частоте 900 МГц, 2,4 ГГц, 5,8 ГГц, сотовых сетях CDMA и сетях GPS;
• Скачкообразная смена рабочей частоты с расширением спектра (Frequency-hopping spread spectrum, FHSS) — для обмена данными тоже использует методы распределения спектра. Эта технология аналогична DSSS, но передает радиосигналы посредством быстрой коммутации сигнала несущей частоты по множеству частотных каналов. При использовании FHSS отправитель и получатель должны синхронизироваться, чтобы «узнать», на какие каналы следует перейти. Этот процесс перехода сигнала между каналами обеспечивает более эффективное использование каналов, что снижает их перегрузку. Портативные рации и радиотелефоны, работающие на частоте 900 МГц, тоже используют FHSS, в то время как Bluetooth полагается на одну из вариаций этой технологии. Технология FHSS, кроме того, используется исходным стандартом 802.11;
• Мультиплексирование с ортогональным делением частот (Orthogonal frequency-division multiplexing, OFDM) — представляет собой разновидность мультиплексирования с делением частот, в рамках которой один канал использует несколько подканалов на смежных частотах. Подканалы в системе OFDM точно ортогональны относительно друг друга, что позволяет подканалам перекрываться без взаимных помех. В результате система OFDM позволяет максимально увеличить эффективность спектра без помех на смежных каналах. В сущности эта технология позволяет принимающей станции «услышать» сигнал. Поскольку OFDM использует подканалы, это делает использование канала максимально эффективным. OFDM используется несколькими системами связи, включая стандарт 802.11a/g/n/ac.

Ассоциация клиента с точкой доступа

Кадры управления используются беспроводными устройствами для выполнения следующего процесса, состоящего из трех этапов.

• Обнаружение новой точки беспроводного доступа;
• Аутентификация на точке доступа;
• Ассоциация с точкой доступа.

Общие настраиваемые параметры беспроводной сети

• Идентификатор SSID — идентификатор SSID представляет собой уникальный идентификатор, который беспроводной клиент использует, чтобы различать беспроводные сети в одной зоне. Имя SSID отображается в списке доступных беспроводных сетей на клиенте. В зависимости от конфигурации сети идентификатор SSID может совместно использоваться несколькими точками доступа в сети. Обычно длина имени составляет от 2 до 32 символов;
• Пароль — обязательно предоставляется беспроводным клиентом для аутентификации на точке доступа. Иногда пароль называют ключом безопасности;
• Сетевой режим (Network mode) — относится к стандартам сети WLAN 802.11a/b/g/n/ac/ad. Точки доступа и беспроводные маршрутизаторы могут работать в смешанном режиме, т. е. они могут одновременно использовать несколько стандартов;
• Режим безопасности (Security mode) — этот термин относится к настройкам параметров безопасности (WEP, WPA или WPA2). Следует всегда активировать самый высокий из доступных уровней безопасности;
• Настройки канала (Channel settings) — относится к частотным полосам, которые используются для передачи беспроводных данных. Беспроводные маршрутизаторы и точка доступа могут выбирать настройки канала. Также, в случае помех со стороны другой точки доступа или беспроводного устройства, эти настройки также можно задать вручную.

Обнаружение точек доступа

Этот процесс может выполняться в следующих режимах:

• Пассивный режим (Passive mode) — точка доступа открыто объявляет свою службу путем регулярной отправки кадров сигнала широковещательной рассылки, содержащих имя SSID, сведения о поддерживаемых стандартах и настройки безопасности. Основная задача сигнала — разрешить беспроводным клиентам получать данные о доступных сетях и точках доступа в данной зоне для выбора нужной сети и точки доступа;
• Активный режим (Active mode) — беспроводные клиенты должны знать имя SSID. Беспроводной клиент инициирует процесс путем отправки по широковещательной рассылке кадра запроса поиска на несколько каналов. Запрос поиска содержит имя SSID и сведения о поддерживаемых стандартах. Активный режим может понадобиться в том случае, если для беспроводного маршрутизатора или точки доступа настроен запрет широковещательной рассылки кадров сигнала.

Аутентификация

Стандарт 802.11 изначально разработан с учетом двух механизмов аутентификации:

• Открытая аутентификация — по сути аутентификация NULL, в рамках которой беспроводной клиент отправляет запрос аутентификации, и точка доступа отправляет в ответ подтверждение. Открытая аутентификация обеспечивает подключение к беспроводной сети для любого беспроводного устройства. Такой метод аутентификации следует использовать только в тех случаях, когда безопасность не имеет большого значения;
• Аутентификация согласованного ключа — эта технология подразумевает использование ключа, предварительно согласованного клиентом и точкой доступа.

Каналы

Полоса 2,4 ГГц поделена на несколько каналов. В целом общая пропускная способность канала составляет 22 МГц, и каждый канал отделяется полосой 5 ГГц. Стандарт 802.11b определяет 11 каналов для Северной Америки. Пропускная способность 22 МГц вкупе с разделением частот полосами 5 МГц, подразумевает перекрывание последовательных каналов.

Примечание. В Европе работают 13 каналов 802.11b.

Стандарт 802.11n может использовать соединение каналов, при котором два канала 20 МГц объединяются в один канал 40 МГц. Соединение каналов увеличивает пропускную способность за счёт использования для доставки данных одновременно двух каналов.

Большинство современных точек доступа могут автоматически регулировать каналы, чтобы обойти помехи.

Примечание. Стандарт IEEE 802.11ac использует OFDM с шириной каналов в 80,160 и 80+80.

Угрозы

Беспроводные сети особенно подвержены следующим угрозам:

• Беспроводные злоумышленники;
• Вредоносные приложения;
• Перехват данных;
• Атаки DoS.

Две функции обеспечения безопасности:

• Сокрытие идентификатора SSID. Точки доступа и некоторые беспроводные маршрутизаторы позволяют отключить кадр сигнала идентификатора SSID. Беспроводные клиенты должны вручную определить имя SSID, чтобы подключиться к сети;
• Фильтрация MAC-адресов. Администратор может вручную разрешить или запретить клиентам беспроводной доступ в зависимости от MAC-адреса их физического оборудования.

Примечание. В целях оптимизации производительности, сети Wireless-N должны использовать режим безопасности WPA2-Personal.

Стандарты IEEE 802.11i, Wi-Fi Alliance WPA и WPA2 используют следующие протоколы шифрования:

• Шифрование с использованием временных ключей (TKIP). TKIP является методом шифрования, который используется стандартом WPA. Он обеспечивает поддержку предыдущих версий оборудования сетей WLAN за счёт устранения исходных уязвимостей, характерных для метода шифрования 802.11 WEP. Он использует WEP, однако выполняет шифрование полезной нагрузки 2 уровня с использованием TKIP и выполняет проверку целостности сообщений в зашифрованном пакете, чтобы убедиться в том, что сообщение не используется несанкционированно;
• Усовершенствованный стандарт шифрования (AES). AES является методом шифрования, который используется стандартом WPA2. Этот метод является предпочтительным, поскольку соответствует отраслевому стандарту IEEE 802.11i. AES выполняет те же функции, что и TKIP, но обеспечивает значительно более надежный метод шифрования. Он использует протокол CCMP, который позволяет узлам назначения распознавать зашифрованные и незашифрованные биты, используемые несанкционированно.

Примечание. По возможности всегда следует выбирать 802.11i/WPA2 с AES.

WPA и WPA2 поддерживают два типа аутентификации.

• Персональная — предназначена для домашних сетей и небольших корпоративных сетей. Пользователи выполняют аутентификацию, используя предварительно согласованный ключ (PSK). Беспроводные клиенты выполняют аутентификацию на точке доступа, используя предварительно согласованный пароль. Специализированный сервер аутентификации не требуется;
• Корпоративная — предназначена для корпоративных сетей, но требует наличия сервера аутентификации службы дистанционной аутентификации пользователей (RADIUS). Хотя этот тип аутентификации более сложен для настройки, он обеспечивает повышенную безопасность. Устройство должно выполнить аутентификацию посредством сервера RADIUS, после чего пользователи должны пройти аутентификацию, используя стандарт 802.1X, который задействует для аутентификации усовершенствованный протокол аутентификации (EAP).

Для корпоративного режима безопасности требуется сервер аутентификации, авторизации и учета (AAA) RADIUS.

Эти поля являются обязательными для передачи точке доступа требуемых данных для связи с сервером AAA, которые представлены ниже:

• IP-адрес сервера RADIUS — доступный адрес сервера RADIUS;
• Номера портов UDP — официально назначенные порты UDP 1812 для аутентификации RADIUS и 1813 для учета RADIUS. Также возможно использование портов UDP 1645 и 1646;
• Согласованный ключ — используется для аутентификации на точке доступа посредством сервера RADIUS.

Примечание. Поле пароля не отображается, так как аутентификация и авторизация текущего пользователя обрабатываются стандартом 802.1X, который предоставляет централизованную аутентификацию конечных пользователей на базе сервера.

При входе в систему по стандарту 802.1X для обмена данными с точкой доступа и сервером RADIUS используется протокол EAP. EAP представляет собой платформу для аутентификации доступа к сети. Этот протокол предоставляет механизм безопасной аутентификации и согласование безопасного закрытого ключа, который впоследствии можно использовать для сеанса шифрования беспроводной связи с использованием механизмов шифрования TKIP или AES.

Урок 5

Устранение неполадок в OSPF для одной области

Маршрутизаторы и коммутаторы 3 уровня узнают об удалённых сетях одним из двух следующих способов:

• Вручную — удалённые сети задаются вручную в таблице маршрутизации с помощью статических маршрутов;
• Динамически — удалённые маршруты вносятся автоматически с помощью протокола динамической маршрутизации.

Примечание. Все протоколы динамической маршрутизации способны объявлять и распространять статические маршруты в своих обновлениях маршрутизации.

Свойства OSPF:

• Бесклассовость — протокол разработан как бесклассовый, следовательно, он поддерживает использование VLSM и маршрутизации CIDR;
• Эффективность — изменения маршрутизации запускают обновления маршрутизации (без периодических обновлений). Протокол использует алгоритм поиска кратчайшего пути SPF для выбора оптимального пути;
• Быстрая сходимость — быстрота распространения изменений сети;
• Масштабируемость — подходит для использования как в небольших, так и в больших сетях. Для поддержки иерархической структуры маршрутизаторы группируются в области;
• Безопасность — поддерживает аутентификацию Message Digest 5 (MD5). Если эта функция включена, маршрутизаторы OSPF принимают только зашифрованные сообщения маршрутизации от равноправных узлов с одинаковым предварительно заданным паролем.

Типичная настройка OSPFv2 для одной области

Проверка OSPFv2

• show ip ospf neighbor — команда используется для того, чтобы убедиться, что маршрутизатор сформировал отношения смежности с соседними маршрутизаторами. Если идентификатор соседнего маршрутизатора не отображается или не показывает состояние FULL, это значит, что оба маршрутизатора не создали отношения смежности OSPF;
• show ip protocols — эта команда обеспечивает быструю проверку критически важных данных конфигурации OSPF. К таким данным относятся идентификатор процесса OSPF, идентификатор маршрутизатора, сети, объявляемые маршрутизатором, соседние устройства, от которых маршрутизатор принимает обновления, и значение административной дистанции по умолчанию, равное 110 для OSPF;
• show ip ospf — эта команда используется для отображения идентификатора процесса OSPF и идентификатора маршрутизатора, а также сведений об OSPF SPF и об области OSPF;
• show ip ospf interface — эта команда предоставляет подробный список интерфейсов, где работает протокол OSPF, с ее помощью можно определить, правильно ли были составлены выражения network;
• show ip ospf interface brief — эту команду рекомендуется использовать для отображения краткой информации и состояния интерфейсов по протоколу OSPF.

Типичная настройка OSPFv3 для одной области

Проверка OSPFv3

• show ipv6 ospf neighbor — команда используется для того, чтобы убедиться, что маршрутизатор сформировал отношения смежности с соседними маршрутизаторами. Если идентификатор соседнего маршрутизатора не отображается или не показывает состояние FULL, это значит, что оба маршрутизатора не создали отношения смежности OSPF;
• show ipv6 protocols — позволяет быстро проверить критически важные данные конфигурации OSPFv3, включая идентификатор процесса OSPF, идентификатор маршрутизатора и интерфейсы, включенные для OSPFv3;
• show ipv6 route ospf — предоставляет сведения о маршрутах OSPFv3, содержащихся в таблице маршрутизации;
• show ipv6 ospf interface brief — эту команду рекомендуется использовать для отображения краткой информации и состояния интерфейсов, участвующих в OSPFv3.

Типы сетей OSPF

• Точка-точка — это сеть, которая содержит два маршрутизатора, подключенных друг к другу по одному общему каналу. Как правило, эта конфигурация используется в сетях WAN;
• Широковещательная сеть множественного доступа — содержит несколько маршрутизаторов, подключенных друг к другу по сети Ethernet;
• Нешироковещательная сеть множественного доступа (NBMA) — содержит несколько маршрутизаторов, подключенных друг к другу в сети, которая запрещает широковещательную адресацию, например, Frame Relay;
• Многоточечная сеть — содержит несколько маршрутизаторов, подключенных в звездообразной топологии через сеть NBMA. Часто используется для подключения филиалов (концы звезд) к центральному узлу (концентратор);
• Виртуальные каналы — особая сеть OSPF, используемая для соединения отдалённых областей OSPF с областью магистрали.

Проблемы сетей множественного доступа

Сеть множественного доступа — это сеть с несколькими устройствами в одной и той же среде передачи, которые обмениваются данными между собой. Локальные сети Ethernet — это наиболее распространённый пример широковещательных сетей множественного доступа

• Установление большого количества отношений смежности;
• Избыточная лавинная рассылка пакетов LSA.

Проблема управления большим количеством отношений смежности и лавинной рассылки пакетов LSA в сети с множественным доступом решается за счёт выделенного маршрутизатора (DR).

На случай сбоя выделенного маршрутизатора (DR) также выбирается резервный назначенный маршрутизатор (BDR).

Остальные маршрутизаторы, не являющиеся DR или BDR, станут маршрутизаторами DROTHER.

Вместо лавинной рассылки объявлений LSA всем маршрутизаторам в сети, маршрутизаторы DROTHER отправляют свои LSA только маршрутизаторам DR и BDR с помощью адреса групповой рассылки 224.0.0.6 (все маршрутизаторы DR).

DR использует групповую рассылку 224.0.0.5 (все маршрутизаторы OSPF). В конечном счёте, только один маршрутизатор производит рассылку объявлений LSA по сети с множественным доступом.

Примечание. Выбор DR/BDR происходит только в сетях с множественным доступом и не может произойти в сетях «точка-точка».

Проверка ролей OSPF

Для проверки отношений смежности OSPF используйте команду show ip ospf neighbor.

В отличие от последовательных каналов, которые отображают только состояние FULL/-, состояние соседних устройств в сетях с множественным доступом может быть:

• FULL/DROTHER — это маршрутизатор DR или BDR, полностью смежный с маршрутизатором, который не является DR или BDR. Эти два соседних устройства могут обмениваться пакетами приветствия (hello), обновлениями, запросами, ответами и подтверждениями;
• FULL/DR — маршрутизатор полностью смежен с указанным соседним маршрутизатором DR. Эти два соседних устройства могут обмениваться пакетами приветствия (hello), обновлениями, запросами, ответами и подтверждениями;
• FULL/BDR — маршрутизатор полностью смежен с указанным соседним маршрутизатором BDR. Эти два соседних устройства могут обмениваться пакетами приветствия (hello), обновлениями, запросами, ответами и подтверждениями;
• 2-WAY/DROTHER — маршрутизатор, не являющийся DR или BDR, имеет соседские отношения с другим маршрутизатором, который тоже не является DR или BDR. Эти два соседних устройства обмениваются пакетами приветствия (hello).

Нормальное состояние для маршрутизатора OSPF — FULL. Если маршрутизатор длительное время находится в другом состоянии, это означает, что у него возникли проблемы с формированием отношений смежности. Единственным исключением из этого правила является состояние 2-WAY, что нормально для широковещательной сети с множественным доступом.

Выбор ролей DR и BDR по протоколу OSPF

• Маршрутизаторы в сети выбирают маршрутизатор с самым высоким приоритетом интерфейса в качестве DR. Маршрутизатор со вторым по величине приоритетом интерфейса становится BDR. Приоритет может быть представлен любым числом от 0 до 255. Чем выше приоритет, тем больше вероятность, что маршрутизатор будет выбран в качестве DR. Если приоритет настроен на значение 0, то маршрутизатор не получит роль DR. Приоритет по умолчанию интерфейсов, подключенных к широковещательной сети множественного доступа, равен 1. Соответственно, при отсутствии иных настроек, все маршрутизаторы обладают равным приоритетом, и для выборов DR/BDR будет использоваться другой метод;
• Если приоритеты интерфейсов равны, то в качестве DR будет выбран маршрутизатор с наивысшим идентификатором. Маршрутизатор со вторым по величине идентификатором становится BDR.

Идентификатор маршрутизатора определяется одним из трех способов:

• Идентификатор маршрутизатора может быть настроен вручную;
• Если идентификатор маршрутизатора не настроен, тогда в качестве идентификатора маршрутизатора принимается наивысший IPv4 адрес интерфейса Loopback;
• Если интерфейсы loopback не настроены, то идентификатор маршрутизатора определяется по наивысшему IPv4 адресу активного физического интерфейса.

Процедура выбора DR и BDR начинается сразу после появления в сети с множественным доступом первого активного маршрутизатора с интерфейсом, где включен OSPF.

Примечание. Если в сети IPv6 на маршрутизаторе не настроены IPv4-адреса, то идентификатор маршрутизатора необходимо настроить вручную с помощью команды router-id, в противном случае OSPFv3 не запускается.

Примечание. На последовательных интерфейсах приоритет по умолчанию настроен на значение 0, поэтому они не выбирают DR и BDR.

Процедура выбора занимает всего несколько секунд. Если в сети с множественным доступом загрузились не все маршрутизаторы, то роль DR может получить маршрутизатор не с самым высоким идентификатором. Это может быть более простой маршрутизатор, загрузка которого занимает меньше времени.

Примечание. Процесс выбора DR и BDR по протоколу OSPF не является приоритетным. Если после завершения выбора DR/BDR в сети появляется новый маршрутизатор с более высоким приоритетом или идентификатором, то этот новый маршрутизатор не перенимает роль DR или BDR, поскольку эти роли уже назначены. Добавление нового маршрутизатора не приводит к новому процессу выбора.

Смена ролей

Когда какой-либо маршрутизатор выбран в качестве DR, то он сохраняет эту роль, пока не произойдет одно из следующих событий:

• Сбой DR;
• Сбой или остановка OSPF-процесса на DR;
• Сбой или отключение интерфейса с множественным доступом на DR.

Если происходит сбой DR, то его роль автоматически перенимает BDR. Это происходит даже в том случае, если после первоначального выбора DR/BDR к сети добавляется другой маршрутизатор DROTHER с более высоким идентификатором или приоритетом. Однако когда BDR перенимает роль DR, происходит новый выбор BDR и его роль получает маршрутизатор DROTHER с высоким идентификатором или приоритетом.

Рекомендации

Вместо того чтобы полагаться на идентификатор маршрутизатора, рекомендуется управлять выбором посредством настройки приоритетов интерфейсов. Приоритеты — это значение для интерфейса, исходя из которого интерфейс обеспечивает улучшенное управление сетью с множественным доступом. Также это позволяет маршрутизатору выполнять роль DR в одной сети, и DROTHER — в другой.

Чтобы настроить приоритет интерфейса, используйте следующие команды:

ip ospf priority value — команда интерфейса OSPFv2
ipv6 ospf priority value — команда интерфейса OSPFv3

value может быть:

• 0 — маршрутизатор не становится DR или BDR;
• От 1 до 255 — чем выше значение приоритета, тем больше вероятность, что маршрутизатор станет DR или BDR на данном интерфейсе.

Примечание. Если приоритет интерфейса настраивается после включения OSPF, то администратор должен отключить процесс OSPF на всех маршрутизаторах, а затем повторно включить его, чтобы инициировать новый процесс выбора DR/BDR.

Очистка процесса OSPF производится из привилегированного режима:

clear ip ospf process — на всех маршрутизаторах

Распространение маршрута по умолчанию

Для распространения маршрута по умолчанию на граничном маршрутизаторе должны быть настроены:

 ip route 0.0.0.0 0.0.0.0 {ip-address | exit-intf} - статический маршрут по умолчанию
 default-information originate

ipv6 route ::/0 {ipv6-address | exit-intf}
default-information originate

Примечание. Обозначение E2 в таблице маршрутизации указывает на то, что это внешний маршрут.

Интервалы OSPF

Интервалы приветствия (hello) и простоя (dead) OSPF настраиваются для каждого интерфейса. По умолчанию 10 секунд и 40 секунд. Интервалы OSPF должны совпадать, иначе соседские отношения смежности не установятся.

Рекомендуется изменять таймеры OSPF, чтобы маршрутизаторы быстрее могли обнаружить сбои в сети. Это увеличивает трафик, но иногда важнее обеспечить быструю сходимость, чем экономить на трафике.

ip ospf hello-interval seconds
ip ospf dead-interval seconds

Чтобы восстановить значения интервалов по умолчанию:

no ip ospf hello-interval
no ip ospf dead-interval

Сразу после изменения интервала приветствия hello CISCO IOS автоматически приравнивает интервал простоя dead к четырем интервалам приветствия. Однако чтобы изменения были задокументированы в конфигурации, всегда полезно явно изменить таймер, а не полагаться на автоматические функции IOS.

ipv6 ospf hello-interval seconds
ipv6 ospf dead-interval seconds

Атаки на маршрутизаторы

К видам фальсификации данных о маршрутах относятся:

• перенаправление трафика для создания петель маршрутизации;
• перенаправление трафика в целях его прочтения на незащищённом канале;
• перенаправление трафика в целях его удаления.

Для защиты обновлений от фальсификации применяется аутентификация.

Аутентификация OSPF

OSPF поддерживает три типа аутентификации:

• Нулевая (Null) — это способ по умолчанию, который означает, что аутентификация для OSPF не используется;
• Простая аутентификация по паролю — также ее называют аутентификацией на базе открытого ключа, поскольку пароль в обновлении отправляется по сети в виде обычного текста. Этот способ аутентификации OSPF считается устаревшим;
• Аутентификация MD5 — наиболее безопасный и рекомендуемый способ аутентификации. Аутентификация MD5 гарантирует более высокий уровень безопасности, равноправные узлы не обмениваются паролями. Вместо этого он вычисляется по алгоритму MD5. Отправителя аутентифицируют совпадающие результаты.

Примечание. Различные формы аутентификации MD5 поддерживаются протоколами RIPv2, EIGRP, OSPF, IS-IS и BGP.

Примечание. OSPFv3 не обладает собственными возможностями аутентификации. Вместо этого для защиты передачи данных между соседними устройствами он полностью полагается на IPsec с помощью команды режима конфигурации интерфейса:

 ipv6 ospf authentication ipsec spi

Механизм MD5

Message Digest 5 (MD5) не шифрует сообщение, поэтому его содержимое легко прочитать. Отправляющий маршрутизатор R2 объединяет сообщение маршрутизации с предварительно согласованным секретным ключом и рассчитывает подпись с помощью алгоритма MD5. Принимающий маршрутизатор делает тоже самое:

• Если подписи совпадают, то R2 принимает обновление маршрутизации;
• Если подписи не совпадают, то R2 отбрасывает обновление.

Настройка MD5

Чтобы включить аутентификацию MD5 OSPF глобально, выполните следующие настройки:

ip ospf message-digest-key number md5 пароль - команда режима конфигурации интерфейса
area area-id authentication message-digest - команда режима конфигурации маршрутизатора

Пример. Настраиваем аутентификацию на маршрутизаторе R5 и смотрим соседей OSPF:

Таймер истёк и сосед R3 отвалился. Настраиваем аутентификацию на R3:

и проверяем ещё раз:

Работоспособность восстановлена, теперь уже с аутентификацией MD5.

Чтобы включить аутентификацию MD5 на отдельных интерфейсах, настройте следующее:

ip ospf message-digest-key number md5 пароль - команда режима конфигурации интерфейса
ip ospf authentication message-digest - команда режима конфигурации интерфейса

На одном и том же маршрутизаторе аутентификация OSPF MD5 может использоваться как глобально, так и по отдельности. Однако настройки на интерфейсе заменяют настройки, выполненные в глобальном режиме. Используемые пароли аутентификации MD5 в одной области могут быть разными. Однако они должны совпадать между соседними устройствами.

Проверка аутентификации

show ip ospf interface | include Message
show ip route ospf

Условия формирования отношений смежности

Протокол маршрутизации OSPF является одним из самых распространённых протоколов маршрутизации, используемых в больших корпоративных сетях. Поиск и устранение неполадок, связанных с обменом информацией о маршрутах, является одним из важнейших навыков для сетевого специалиста, который занимается реализацией и поддержкой крупных маршрутизируемых корпоративных сетей, в которых протокол OSPF используется в качестве протокола внутреннего шлюза.

Значение process-id имеет локальное значение, то есть оно не обязательно должно быть идентичным значениям на других маршрутизаторах OSPF для установления отношений смежности между этими соседними устройствами.

Типичные причины проблем со смежностью:

• Интерфейсы находятся в разных подсетях;
• Типы сетей OSPF не совпадают;
• Таймеры приветствия или простоя OSPF не совпадают;
• Интерфейс по направлению к соседнему устройству неправильно настроен в качестве пассивного;
• Отсутствует или неправильна настроена одна из команд network OSPF;
• Аутентификация настроена неверно.

Состояния OSPF

Примечание. При поиске и устранении неполадок в работе соседних устройств OSPF помните, что нормальные состояния — это FULL или 2WAY. Все остальные состояния являются временными, маршрутизатор не должен находиться в этих состояниях слишком долго.

Настройка пути OSPF

Команда passive-interface запрещает отправку обновлений маршрутов через указанный интерфейс маршрутизатора. В большинстве случаев команда используется для уменьшения трафика в локальных сетях, поскольку им не нужно получать сообщения протокола динамической маршрутизации.

Команда изменяет только метрику пропускной способности, используемую алгоритмом OSPF для расчёта стоимости маршрутизации, но не меняет фактическую пропускную способность (скорость) канала:

bandwidth kilobits

Изменение метрик стоимости канала с помощью команды

ip ospf cost number

это наиболее простой и предпочтительный способ изменения стоимости маршрутов OSPF. Помимо изменения
стоимости, используя пропускную способность, у сетевого администратора могут быть другие причины
для изменения стоимости маршрута. Например, предпочтение конкретного поставщика услуг или фактическая стоимость канала или маршрута в денежном выражении.

Чтобы протокол OSPF правильно определил путь, необходимо изменить эталонную пропускную способность, задав более высокое значение с учетом сетей, содержащих каналы, скорость которых выше 100Mbit. Для настройки эталонной пропускной способности используйте команду режима конфигурации маршрутизатора:

 auto-cost reference-bandwidth Mbps

В статье будет рассмотрен вопрос выполнения настроек VLAN в Cisco

Настройка VLAN на коммутаторах Cisco под управлением IOS

Некоторые обозначения:

• access port – это порт, который принадлежит к одному VLAN, и может передавать нетегированный информационный трафик;
• trunk port – это коммутационный порт, посредством которого может передаваться тегированный трафик от одного либо нескольких VLAN.

Коммутаторы Cisco ранних версий работали с двумя протоколами: 802.1Q, ISL. Второй из них относится к проприетарному протоколу, который применяется в коммутационных платформах Cisco. Этот протокол позволяет инкапсулировать фрейм с целью передачи данных о причастности к тому или иному VLAN. Современные модели этот протокол не поддерживают, а работают только с 802.1Q.

Создается VLAN с идентификатором 2 и задается для него имя следующим образом:

sw1(config)# vlan 2

sw1(config-vlan)# name test

Для удаления VLAN с идентификатором 2 используется:

sw1(config)# no vlan 2

Настройка Access портов

Для назначения коммутационного порта в VLAN нужно:

sw1(config)# interface fa0/1

sw1(config-if)# switchport mode access

sw1(config-if)# switchport access vlan 2

Диапазон коммутационных портов с fa0/4 до fa0/5 для VLAN 10 выполняется следующим образом:

sw1(config)# interface range fa0/4 — 5

sw1(config-if-range)# switchport mode access

sw1(config-if-range)# switchport access vlan 10

Чтобы просмотреть информацию о состоянии VLAN нужно:

sw1# show vlan brief

VLAN Name Status Ports

—- ——————————— ——— ——————————-

1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,

Fa0/10, Fa0/11, Fa0/12, Fa0/13,

Fa0/14, Fa0/15, Fa0/16, Fa0/17,

Fa0/18, Fa0/19, Fa0/20, Fa0/21,

Fa0/22, Fa0/23, Fa0/24

2 test active Fa0/1, Fa0/2

10 VLAN0010 active Fa0/4, Fa0/5

15 VLAN0015 active Fa0/3

Настройка Trunk

Чтобы иметь возможность передачи трафика от нескольких VLAN посредством одного порта, его следует перевести в режим trunk. Конкретные режимы интерфейса (режим умолчания отличаются для разных моделей):

• auto – это автоматический режим порта, из которого переход в режим trunk возможен только в том случае, если порт на другом конце связи будет в режиме desirable или on;
• desirable – это режим, из которого порт может перейти к режиму trunk; в этом состоянии он периодично посылает DTP-кадры к другому порту, запрашивая его перейти в режим trunk; этот режим будет установлен, если другой порт находится в одном из трех режимов: auto, desirable или on;
• trunk – в этом случае порт постоянно пребывает в состоянии trunk, даже если другой порт не может поддерживать такой же режим;
• nonegotiate – это режим, с которого порт готов выполнить переход к режиму trunk; он не выполняет передачу DTP-кадров к другому порту. Этот режим предусмотрен для исключения конфликтных ситуаций с другим оборудованием (не бренда Cisco). В этом случае коммутационное устройство на другом конце связи должно быть настроено в ручном режиме для использования режима trunk.

По умолчанию для режима trunk разрешаются все VLAN. Чтобы через любой из поддерживаемых VLAN выполнялась передача данных, он должен быть активным. В активную фазу он переходит тогда, когда его создали на коммутаторе и один из его портов находится в режиме up/up.

VLAN создается на коммутаторе посредством команды vlan. Также он может формироваться автоматически на коммутаторе, когда к нему добавляются интерфейсы в режиме access.

В схеме, используемой с целью демонстрации настроек для коммутаторов sw1 и sw2, требуемые VLAN создадутся в момент добавления access-портов к соответствующим VLAN:

sw1(config)# interface fa0/3

sw1(config-if)# switchport mode access

sw1(config-if)# switchport access vlan 15

% Access VLAN does not exist. Creating vlan 15

Поскольку на коммутаторе sw3 отсутствуют access-порты, нужно создать все нужные VLAN:

sw3(config)# vlan 2,10,15

Чтобы автоматически создать VLAN на устройствах коммутации, можно применять протокол VTP.

Настройка статического Trunk

Чтобы создать статический trunk нужно:

sw1(config)# interface fa0/22

sw1(config-if)# switchport mode trunk

Модели коммутаторов, которые поддерживают ISL, после попытки перевода интерфейса в режим статического trunk могут выбрасывать следующую ошибку:

sw1(config-if)# switchport mode trunk

Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.

Ошибка генерируется потому, что процесс динамического определения инкапсуляции (выбор 802.1Q или ISL) может поддерживаться только с динамическим режимом trunk. Для настройки статического trunk нужно процедуру инкапсуляции также сделать статической. Этот тип коммутаторов предусматривает явное указание типа инкапсуляции для конкретного интерфейса:

sw1(config-if)# switchport trunk encapsulation dot1q

После этого повторно выполняется команда для настойки статического trunk – switchport mode trunk.

Динамическое создание Trunk

Dynamic Trunk Protocol (DTP) является проприетарным протоколом Cisco, обеспечивающим коммутационным устройствам возможность определять находится ли в состоянии поднятия trunk соседний коммутатор и какой протокол нужно задействовать ISL или 802.1Q. DTP включается по умолчанию. Он владеет следующими режимами интерфеса:

• auto – порт пребывает в автоматическом режиме и перейдет в trunk, когда на другом конце связи порт будет on или desirable; если на противоположных концах порты в режиме auto, trunk задействован не будет;
• desirable – из этого состояния порт может перейти к trunk; он периодически совершает посылку DTP-кадров к порту на другом конце; trunk будет установлен, если порт на другой стороне будет on, desirable, auto;
• nonegotiate – из этого состояния порт может перейти в trunk, DTP-кадры при этом не передаются; этот режим нужен чтобы предотвратить конфликт межу Cisco и не Cisco оборудованием.

Для перевода интерфейса в режим auto:

sw1(config-if)# switchport mode dynamic auto

Для перевода интерфейса в режим desirable:

sw1(config-if)# switchport mode dynamic desirable

Для перевода интерфейса в режим nonegotiate:

sw1(config-if)# switchport nonegotiate

Для проверки текущего режима DTP:

sw# show dtp interface

Разрешенные VLAN’

Изначально, по умолчанию, в trunk разрешаются все VLAN. Также можно создать ограничение перечня VLAN, которые можно передавать через тот или иной trunk. Чтобы указать список разрешенных VLAN для порта fa0/22 нужно выполнить:

sw1(config)# interface fa0/22

sw1(config-if)# switchport trunk allowed vlan 1-2,10,15

Чтобы добавить еще один разрешенный VLAN:

sw1(config)# interface fa0/22

sw1(config-if)# switchport trunk allowed vlan add 160

Для удаления VLAN из списка разрешенных:

sw1(config)# interface fa0/22

sw1(config-if)# switchport trunk allowed vlan remove 160

Native VLAN

Для стандарта 802.1Q используется понятие native VLAN. Информационный трафик для этого VLAN будет передаваться нетегированным. По умолчанию его роль выполняет VLAN 1, но можно указать и иной VLAN как native.

Для настройки VLAN 5 в native нужно:

sw1(config-if)# switchport trunk native vlan 5

После этого весь трафик, который принадлежит к VLAN 5, передастся посредством trunk-интерфейса нетегированным, а весь трафик, который пришел на trunk-интерфейс будет иметь маркировку, как принадлежащий к VLAN 5.

Настройка процесса маршрутизации между VLAN

Все настройки, касающиеся назначения портов VLAN, которые ранее выполнены для sw1, sw2, sw3 сохраняются. Для дальнейших настроек коммутатор sw3 используется как устройство 3-уровня.

Для этой схемы выполнять дополнительные настройки на маршрутизаторе не нужно. Коммутационная платформа будет реализовывать процесс маршрутизации между сетевыми конфигурациями разных VLAN, а к маршрутизатору будет отправляться трафик, который предназначен для других сетей.

Настройки для коммутатора sw3:

VLAN / интерфейс 3го уровня IP-адрес

VLAN 2 10.0.2.1 /24

VLAN 10 10.0.10.1 /24

VLAN 15 10.0.15.1 /24

Fa 0/10 192.168.1.2 /24

Ч

тобы включить маршрутизацию на коммутаторе нужно:

sw3(config)# ip routing

Для определения адреса в VLAN, который будет использован, как маршрут по умолчанию для компьютерных систем во VLAN 2:

sw3(config)# interface Vlan2

sw3(config-if)# ip address 10.0.2.1 255.255.255.0

sw3(config-if)# no shutdown

Чтобы задать адрес для VLAN 10:

sw3(config)# interface Vlan10

sw3(config-if)# ip address 10.0.10.1 255.255.255.0

sw3(config-if)# no shutdown

Процесс перевода интерфейсов в режим 3-го уровня

Интерфейс fa0/10 соединяется с маршрутизатором и может переводиться в режим 3-го уровня. Для выполнения этой процедуры с заданием IP-адреса нужно:

sw3(config)#interface FastEthernet 0/10

sw3(config-if)# no switchport

sw3(config-if)# ip address 192.168.1.2 255.255.255.0

sw3(config-if)# no shutdown

R1 будет играть роль шлюза по умолчанию для конкретной сети. Информация, которая не предназначена для сети VLAN будет передаваться к R1.

Для настройки маршрута по умолчанию нужно выполнить:

sw3(config) ip route 0.0.0.0 0.0.0.0 192.168.1.1

Просмотр информации

Для просмотра информации о транке:

Port Mode Encapsulation Status Native vlan

Fa0/22 on 802.1q trunking 1

Port Vlans allowed on trunk

Fa0/22 1-2,10,15

Port Vlans allowed and active in management domain

Fa0/22 1-2,10,15

Port Vlans in spanning tree forwarding state and not pruned

Fa0/22 1-2,10,15

Чтобы выполнить просмотр информации о настройках интерфейса (trunk) нужно:

sw1# show interface fa0/22 switchport

Name: Fa0/22

Switchport: Enabled

Administrative Mode: trunk

Operational Mode: trunk

Administrative Trunking Encapsulation: dot1q

Operational Trunking Encapsulation: dot1q

Operational Dot1q Ethertype: 0x8100

Negotiation of Trunking: On

Access Mode VLAN: 1 (default)

Trunking Native Mode VLAN: 1 (VLAN_1)

Administrative Native VLAN tagging: enabled

Operational Native VLAN tagging: disabled

Voice VLAN: none

Administrative private-vlan host-association: none

Administrative private-vlan mapping: none

Operational private-vlan: none

Trunking VLANs Enabled: ALL

Pruning VLANs Enabled: 2-1001

Capture Mode Disabled

Capture VLANs Allowed: ALL

Чтобы выполнить просмотр информации о настройках интерфейса (access):

sw1# show interface fa0/3 switchport

Name: Fa0/3

Switchport: Enabled

Administrative Mode: static access

Operational Mode: static access

Administrative Trunking Encapsulation: negotiate

Operational Trunking Encapsulation: native

Operational Dot1q Ethertype: 0x8100

Negotiation of Trunking: Off

Access Mode VLAN: 15 (VLAN0015)

Trunking Native Mode VLAN: 1 (default)

Administrative Native VLAN tagging: enabled

Operational Native VLAN tagging: disabled

Voice VLAN: none

Administrative private-vlan host-association: none

Administrative private-vlan mapping: none

Operational private-vlan: none

Trunking VLANs Enabled: ALL

Pruning VLANs Enabled: 2-1001

Capture Mode Disabled

Capture VLANs Allowed: ALL

Просмотреть информацию о VLAN:

sw1# show vlan brief

VLAN Name Status Ports

—- ——————————— ——— ——————————-

1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9,

Fa0/10, Fa0/11, Fa0/12, Fa0/13,

Fa0/14, Fa0/15, Fa0/16, Fa0/17,

Fa0/18, Fa0/19, Fa0/20, Fa0/21,

Fa0/22, Fa0/23, Fa0/24

2 test active Fa0/1, Fa0/2

10 VLAN0010 active Fa0/4, Fa0/5

15 VLAN0015 active Fa0/3

Диапазоны VLAN

VLANs Диапазон Использование Передается VTP

0, 4095 Reserved Только для системного использования. —

1 Normal VLAN по умолчанию. Можно использовать, но нельзя удалить. Да

2-1001 Normal Для VLANов Ethernet. Можно создавать, удалять и использовать. Да

1002-1005 Normal Для FDDI и Token Ring. Нельзя удалить. Да

1006-4094 Extended Только для VLANов Ethernet. Версия 1 и 2 нет, версия 3 да

Примеры настройки

Базовая настройка VLAN (без настройки маршрутизации)

Для коммутатора sw3 маршрутизация между VLAN не настроена, поэтому хосты могут передаваться только в области одного VLAN.

Хосты для коммутатора sw1 в VLAN 2 могут взаимодействовать сами с собой и с хостами VLAN 2 коммутатора sw2. Правда они не могут взаимодействовать с хостами других VLAN коммутаторов sw1 и sw2.

Не все возможные настройки являются обязательными. К примеру, перечислять разрешенные VLAN для trunk не обязательно для его работы, но нужно выполнять явную настройку разрешенных VLAN.

Настройка trunk для sw1 и sw2 несколько отличается от sw3. Для него не нужно задавать инкапсуляцию trunk, так как sw3 может поддерживать только режим 802.1Q.

Конфигурация sw1 имеет вид:

!

interface FastEthernet0/1

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/2

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/3

switchport mode access

switchport access vlan 15

!

interface FastEthernet0/4

switchport mode access

switchport access vlan 10

!

interface FastEthernet0/5

switchport mode access

switchport access vlan 10

!

interface FastEthernet0/22

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 1,2,10,15

Конфигурация sw2 имеет вид:

!

interface FastEthernet0/1

switchport mode access

switchport access vlan 10

!

interface FastEthernet0/2

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/3

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/22

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 1,2,10

!

Конфигурация sw3 имеет вид:

!

vlan 2,10,15

!

interface FastEthernet0/1

switchport mode trunk

switchport trunk allowed vlan 1,2,10,15

!

interface FastEthernet0/2

switchport mode trunk

switchport trunk allowed vlan 1,2,10

!

Конфигурация с настройкой маршрутизации между VLAN

Для коммутатора sw3 выполнена настройка маршрутизации между VLAN, поэтому для этой схемы хосты могут обмениваться в области одного VLAN и между разными VLAN.

Процедуры настройки коммутаторов sw1 и sw2 аналогичные, как и прошлый раз. Добавлены только некоторые настройки для коммутатора sw3.

Конфигурация sw1 имеет вид:

!

interface FastEthernet0/1

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/2

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/3

switchport mode access

switchport access vlan 15

!

interface FastEthernet0/4

switchport mode access

switchport access vlan 10

!

interface FastEthernet0/5

switchport mode access

switchport access vlan 10

!

interface FastEthernet0/22

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 1,2,10,15

Конфигурация sw2 имеет вид:

!

interface FastEthernet0/1

switchport mode access

switchport access vlan 10

!

interface FastEthernet0/2

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/3

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/22

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 1,2,10

!

Конфигурация sw3 имеет вид:

!

ip routing

!

vlan 2,10,15

!

interface FastEthernet0/1

switchport mode trunk

switchport trunk allowed vlan 1,2,10,15

!

interface FastEthernet0/2

switchport mode trunk

switchport trunk allowed vlan 1,2,10

!

!

interface FastEthernet0/10

no switchport

ip address 192.168.1.2 255.255.255.0

!

!

interface Vlan2

ip address 10.0.2.1 255.255.255.0

!

interface Vlan10

ip address 10.0.10.1 255.255.255.0

!

interface Vlan15

ip address 10.0.15.1 255.255.255.0

!

!

ip route 0.0.0.0 0.0.0.0 192.168.1.1

!

Настройка VLAN для маршрутизаторов Cisco

Передача трафика между VLAN поддерживается за счет маршрутизатора. Чтобы он мог передать данные от одного VLAN к другому (между сетями) нужно, чтобы в каждой из сетей он имел свой интерфейс. Чтобы не выделять множество физических

интерфейсов в этом случае правильно создавать логические подинтерфейсы. Их создают на физических интерфейсах каждого VLAN. Порт коммутатора, который ведет к маршрутизатору, должен настраиваться как тегированный порт (trunk).

Схема, для которой процесс маршрутизации выполняется между VLAN на маршрутизаторе, называется «router on a stick». IP адреса шлюзов по умолчанию для VLAN:

VLAN IP-адрес

VLAN 2 10.0.2.1 /24

VLAN 10 10.0.10.1 /24

VLAN 15 10.0.15.1 /24

Для логических подинтерфейсов нужно указать, что на интерфейс будет приходить тегированный трафик, а также указать номер соответствующего VLAN. Выполнить эту процедуру можно соответствующей командой при настройке подинтерфейса:

R1(config-if)# encapsulation dot1q

Чтобы создать логический подинтерфейс для VLAN 2:

R1(config)# interface fa0/0.2

R1(config-subif)# encapsulation dot1q 2

R1(config-subif)# ip address 10.0.2.1 255.255.255.0

Чтобы создать логический подинтерфейс для VLAN 10:

R1(config)# interface fa0/0.10

R1(config-subif)# encapsulation dot1q 10

R1(config-subif)# ip address 10.0.10.1 255.255.255.0

Порт, ведущий от коммутатора к маршрутизатору должен настраиваться как статический trunk:

interface FastEthernet0/20

switchport trunk encapsulation dot1q

switchport mode trunk

Пример настройки

Конфигурационные файлы для первой схемы:

Для конфигурации sw1:

!

interface FastEthernet0/1

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/2

switchport mode access

switchport access vlan 2

!

interface FastEthernet0/3

switchport mode access

switchport access vlan 15

!

interface FastEthernet0/4

switchport mode access

switchport access vlan 10

!

interface FastEthernet0/5

switchport mode access

switchport access vlan 10

!

interface FastEthernet0/20

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 2,10,15

!

Для конфигурации R1:

!

interface fa0/0.2

encapsulation dot1q 2

ip address 10.0.2.1 255.255.255.0

!

interface fa0/0.10

encapsulation dot1q 10

ip address 10.0.10.1 255.255.255.0

!

interface fa0/0.15

encapsulation dot1q 15

ip address 10.0.15.1 255.255.255.0

!

Настройка native VLAN

В режиме умолчания информационный трафик VLAN 1 передается нетегированым (VLAN 1 работает, как native). В этом случае для физического интерфейса маршрутизатора устанавливается адрес из сети VLAN 1.

Чтобы задать адрес для физического интерфейса:

R1(config)# interface fa0/0

R1(config-if)# ip address 10.0.1.1 255.255.255.0

Когда нужно создать подинтерфейс передачи нетегированного трафика, в нем указывается, что он принадлежит native VLAN. Как пример, для native VLAN 99:

R1(config)# interface fa0/0.99

R1(config-subif)# encapsulation dot1q 99 native

R1(config-subif)# ip address 10.0.99.1 255.255.255.0