1.10.0 Управление L2 функциями
Данной командой добавляется сетевой мост в систему и осуществляется переход в режим настройки его параметров.
Использование отрицательной формы команды (no) удаляет мост.
Синтаксис
Параметры
< BRIDGE — ID > – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
Командный режим
Пример
Переход в режим конфигурирования сетевого моста bridge 10:
bridge-group
Данная команда используется для добавления в текущего сетевого интерфейса в L2-домен.
Использование отрицательной формы команды (no) удаляет интерфейс из L2-домена.
Синтаксис
Параметры
< BRIDGE — ID > – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
tagged – Ключ для направлкения тэгированных кадров физического интерфейса в bridge . Применимо только на физических интерфейсах маршрутизаторов ESR -10/12 V /12 VF /14 VF /20/21/100/200.
Необходимый уровень привилегий
Командный режим
Пример
description
Данная команда используется для назначения описания конфигурируемому сетевому мосту.
Использование отрицательной формы команды (no) удаляет установленное описание.
Синтаксис
Параметры
< DESCRIPTION > – описание сетевого моста, задаётся строкой до 255 символов.
Необходимый уровень привилегий
Командный режим
Пример
enable
Данной командой разрешается работа сетевого моста. Без указания данной команды, сетевой мост не работает.
Использование отрицательной формы команды (no) выключает маршрутизацию данных.
Синтаксис
Параметры
Команда не содержит параметров.
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
mac-address
Данная команда позволяет задать MAC-адрес сетевого моста, физического или агрегированного интерфейса, отличного от системного.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< ADDR > – МАС-адрес сетевого моста, задаётся в виде XX : XX : XX : XX : XX : XX , где каждая часть принимает значения [00.. FF ].
Значение по умолчанию
Системный MAC -адрес.
Необходимый уровень привилегий
Командный режим
Пример
ports vrrp filtering
В текущей версии ПО данный функционал поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данной командой включается запрет на отправку VRRP-сообщений в интерфейсах, включенных в L2-домен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
enable – включение запрета на отправку VRRP -сообщений в интерфейсах, включенных в L 2-домен;
exclude vlan – при указании данного параметра VLAN исключается из списка фильтруемых.
Значение по умолчанию
Фильтрация VRRP -сообщений отключена.
Необходимый уровень привилегий
Командный режим
Пример
protected-ports
Данной командой сетевой мост переводится в режим изоляции интерфейсов. В данном режиме коммутация кадров между членами сетевого моста запрещена.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
exclude vlan – при указании данного параметра, VLAN исключается из списка изолируемых интерфейсов.
Значение по умолчанию
Члены сетевого моста не изолированы.
Необходимый уровень привилегий
Командный режим
Пример
show interfaces bridge
Данная команда используется для просмотра информации о VLAN, интерфейсах, туннелях объединенных мостом.
Синтаксис
Параметры
< BRIDGE — ID > – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
Командный режим
Пример
thresholds wifi-tunnels-number high
Данной командой устанавливается верхний порог аварии превышения числа включенных сабтуннелей softgre в bridge.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
Параметры
<NUM> –верхний порог аварии превышения числа включенных сабтуннелей softgre в bridge, принимает значение в диапазоне [1..1000]
Значение по умолчанию
Необходимый уровень привилегий
Командныйрежим
Пример
thresholds wifi-tunnels-number low
Данной командой устанавливается нижний порог аварии превышения числа включенных сабтуннелей softgre в bridge.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
Параметры
<NUM> –нижний порог аварии превышения числа включенных сабтуннелей softgre в bridge, принимает значение в диапазоне [1..1000]
Значение по умолчанию
Необходимый уровень привилегий
Командныйрежим
Пример
unknown-unicast-forwarding disable
Данной командой запрещается коммутация юникастового трафика с отсутствующими MAC-адресами в таблице MAC-адресов сетевого моста.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
Команда не содержит параметров.
Значение по умолчанию
Коммутация юникастового трафика с неизвестными MAC -адресами разрешена.
Необходимый уровень привилегий
Командный режим
Пример
Данная команда используется для связывания текущего сетевого моста с VLAN. Все порты, являющиеся членами назначаемого VLAN, автоматически включаются в сетевой мост и становятся участниками общего L2 домена. Для управления членством сетевых интерфейсов в VLAN используются команды, описанные в разделе Настройка и мониторинг VLAN.
Использование отрицательной формы команды (no) удаляет привязку VLAN и отключает соответствующие интерфейсы от сетевого моста.
Синтаксис
Параметры
< VID > – идентификатор VLAN , задаётся в диапазоне [1..4095].
Необходимый уровень привилегий
Командный режим
Пример
Управление Spanning Tree
В текущей версии ПО данный функционал поддерживается только на маршрутизаторе ESR-1000
instance
Данной командой создается соответствие между экземпляром протокола MSTP и группами VLAN.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< INSTANCE > – идентификатор MST -экземпляра, указывается в диапазоне [1..15];
< VID > – идентификационный номер VLAN , задаётся в диапазоне [1…4094].
Необходимый уровень привилегий
Командный режим
Пример
Данной командой указывается имя конфигурации MSTP.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< NAME > – имя конфигурации MSTP , задаётся строкой до 31 символа.
Необходимый уровень привилегий
Командный режим
Пример
revision
Данной командой задается номер ревизии конфигурации MSTP.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< NUM > – номер ревизии конфигурации MSTP , задается в диапазоне [0..65535].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
show spanning-tree
Показывает подробную информацию о настройке протокола STP для выбранного интерфейса или устройства в целом .
Синтаксис
Параметры
< IF > – физический или агрегированный интерфейс или группа интерфейсов, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
bridge – команда для отображения общей информации об устройстве.
Необходимый уровень привилегий
Командный режим
Пример
show spanning-tree active
Показывает информацию о настройке протокола STP, информацию об активных портах.
Синтаксис
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
Командный режим
Пример
show spanning-tree bpdu
Данной командой выполняется просмотр режима обработки пакетов BPDU-интерфейсом.
Синтаксис
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree
Команда активирует протоколы семейства Spanning Tree (STP, RSTP, MSTP) на маршрутизаторе.
Использование отрицательной формы команды (no) выключает поддержку протоколов семейства Spanning Tree.
Синтаксис
Параметры
Команда не содержит параметров.
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree bpdu
В отличии от остальных команд раздела "Управление Spanning Tree", данная команда доступна на всех моделях маршрутизаторов ESR
Данной командой определяется режим обработки пакетов BPDU-интерфейсом, на котором выключен протокол STP.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
<MODE> – режим работы:
- filtering – на интерфейсе с выключенным протоколом STP BPDU-пакеты фильтруются;
- flooding – на интерфейсе с выключенным протоколом STP нетегированные BPDU-пакеты передаются, тегированные – фильтруются.
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree cost
Данной командой устанавливается метод определения ценности пути.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< COST > – стоимость пути, устанавливается в диапазоне [1..20000000].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree disable
Данной командой запрещается работа протокола STP на конфигурируемом интерфейсе.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree forward-time
Данной командой устанавливается интервал времени, затрачиваемый на прослушивание и изучение состояний перед переключением в состояние передачи.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< TIME > – время в секундах, принимает значения [4..30].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree hello-time
Данной командой устанавливается интервал времени между отправкой BPDU-пакетов.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< TIME > – время в секундах, принимает значения [1..10].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree link-type
Данной командой устанавливается протокол RSTP в передающее состояние и определяет тип связи для выбранного порта – «точка-точка», «разветвлённый».
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
point — to — point – команда определяет интерфейс как «точка-точка»;
shared – команда определяет интерфейс как «разветвленный».
Значение по умолчанию
point — to — point
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree max-age
Данной командой устанавливается время жизни связующего дерева STP.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< TIME > – время в секундах, принимает значения [6..40].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree mode
Данной командой выбирается поддерживаемый протокол из семейства STP.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
<MODE> – протокол семейства STP:
- STP – IEEE 802.1D Spanning Tree Protocol;
- RSTP – IEEE 802.1W Rapid Spanning Tree Protocol;
- MSTP – IEEE 802.1s Multiple Spanning Trees.
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree mst
Данной командой настраивается приоритет для определенного MSTP-экземпляра.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< INSTANCE > – идентификатор MST -экземпляра, указывается в диапазоне [1..15];
< PRIORITY > – приоритет, указывается в диапазоне c шагом 4096 [0..61440].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree mst configuration
Данной командой осуществляется переход в режим конфигурирования MSTP-параметров.
Синтаксис
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree mst cost
Данной командой устанавливается метод определения ценности пути для экземпляра MST.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< INSTANCE > – идентификатор MST -экземпляра, указывается в диапазоне [1..15];
< COST > – стоимость пути, устанавливается в диапазоне [1..20000000].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree mst max-hops
Данной командой устанавливается максимальное количество транзитных участков для пакета BPDU, необходимых для формирования дерева и удержания информации о его строении. Если пакет уже прошел максимальное количество транзитных участков, то на следующем участке он отбрасывается.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< NUM > – количество транзитных участков, задается в диапазоне [6..40].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree mst port-priority
Данной командой устанавливается приоритет интерфейса для экземпляра MST.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< INSTANCE > – идентификатор MST -экземпляра, указывается в диапазоне [1..15];
< PRIORITY > – приоритет, указывается в диапазоне c шагом 16 [0..240].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree pathcost method
Данной командой устанавливается метод определения ценности пути.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
long – значение ценности в диапазоне [1..200000000];
short – значение ценности в диапазоне [1..65535].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree portfast
Данной командой включается режим, в котором порт, при поднятии на нем линка, сразу переходит в состояние передачи, не дожидаясь истечения таймера.
Использование отрицательной формы команды (no) выключает режим моментального перехода в состояние передачи по поднятию линка.
Синтаксис
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree port-priority
Данной командой устанавливается приоритет интерфейса в связующем дереве STP.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< PRIORITY > – приоритет, указывается в диапазоне c шагом 16 [0..240].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
spanning-tree priority
Данной командой настраивается приоритет связующего дерева STP.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
<PRIORITY> – приоритет , указывается в диапазоне c шагом 4096 [0..61440].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
Настройка и мониторинг VLAN
force-up
Данная команда используется для включения режима активности VLAN вне зависимости от состояния интерфейсов, на которых разрешена обработка фреймов данного VLAN .
Использование отрицательной формы команды (no) отменяет режим активности VLAN .
Синтаксис
Параметры
Команда не содержит параметров.
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
ip internal-usage-vlan
В текущей версии данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данная команда используется для резервирования VLAN для внутреннего использования на интерфейсе.
Использование отрицательной формы команды (no) отменяет резервирование.
Синтаксис
Параметры
< VID > – идентификационный номер VLAN , задаётся в диапазоне [2…4094].
Необходимый уровень привилегий
Командный режим
Пример
Данная команда используется для добавления описания VLAN.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
< NAME > – описание VLAN , задаётся строкой до 255 символов.
Значение по умолчанию
Описание не задано.
Необходимый уровень привилегий
Командный режим
Пример
show interfaces switch-port vlans
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данная команда используется для просмотра режима участия интерфейсов в VLAN.
Синтаксис
Параметры
< IF > – имя физического или агрегированного интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
В команде можно указать несколько интерфейсов. Если не указывать индексы интерфейсов, то будет отображена информация о всех интерфейсах заданной группы. При выполнении команды без параметра будет показана информация для всех физических интерфейсов.
Необходимый уровень привилегий
Командный режим
Пример
show vlans
Данная команда используется для просмотра информации об определенной VLAN.
Синтаксис
Параметры
< VID > – идентификационный номер VLAN , диапазон допустимых значений [1 .. 4094].
Можно указать несколько VLAN перечислением через запятую «,» либо указать диапазон VLAN через дефис «-». При выполнении команды без параметра будут показаны все созданные VLAN .
Необходимый уровень привилегий
Командный режим
Пример
show vlans internal-usage
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данная команда используется для просмотра информации по VLAN, используемых системой.
Синтаксис
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
Командный режим
Пример
switchport access vlan
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-10/12V/12VF/14VF/20/21/100/200
Данная команда используется для включения/исключения интерфейса в/из VLAN в режиме работы access .
Синтаксис
Параметры
<VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094].
Необходимый уровень привилегий
Командный режим
Пример
switchport default-vlan tagged
Данная команда используется для изменения членства интерфейса во VLAN по умолчанию на тегированное.
Использование отрицательной формы команды (no) изменяет членство интерфейса во VLAN по умолчанию на нетегированное.
Синтаксис
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
Командный режим
Пример
switchport forbidden default-vlan
Данная команда используется для удаления интерфейса из VLAN по умолчанию.
Использование отрицательной формы команды (no) разрешает добавление vlan на порту.
Синтаксис
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
Командный режим
Пример
switchport general acceptable-frame-type
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данной командой задается тип фреймов, которые может принимать интерфейс.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
tagged — only – принимать только тегированные фреймы;
all – принимать все фреймы.
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
switchport general allowed vlan
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данная команда используется для включения/исключения интерфейса в/из VLAN .
Синтаксис
Параметры
<ACT> – назначаемое действие:
- add – включение интерфейса во VLAN;
- remove – исключение интерфейса из VLAN.
< VID > – идентификационный номер VLAN , задаётся в диапазоне [2…4094]. Можно задать диапазоном через «-» или перечислением через «,»;
< TYPE > – тип пакета:
- tagged – интерфейс будет передавать и принимать пакеты в указанных VLAN тегированными;
- untagged – интерфейс будет передавать пакеты в указанных VLAN нетегированными. VLAN, в которую будут направлены входящие нетегированные пакеты, настраивается командой switchport general pvid, описанной в switchport general pvid.
Значение по умолчанию
Если не указывать параметр < TYPE >, то по умолчанию устанавливается « tagged ».
Необходимый уровень привилегий
Командный режим
Пример 1
Исключить интерфейс из членства в VLAN 50
Пример 2
Включить интерфейс в VLAN 10-50 как тегированный
switchport general allowed vlan auto-all
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данная команда включает автоматическое добавление истерфейса во все созданные на маршрутизаторе VLAN.
Использование отрицательной формы команды (no) отключает автоматическое добавление порта во все созданные на маршрутизаторе VLAN.
Синтаксис
Параметры
<TYPE> – тип пакета:
- tagged – интерфейс будет передавать и принимать пакеты в указанных VLAN тегированными;
- untagged – интерфейс будет передавать пакеты в указанных VLAN нетегированными. VLAN, в которую будут направлены входящие нетегированные пакеты, настраивается командой switchport general pvid, описанной в switchport general pvid.
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
switchport general ingress-filtering disable
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данная команда используется для выключения фильтрации входящих пакетов на основе присвоенного им значения VLAN ID.
Использование отрицательной формы команды (no) включает фильтрацию.
Синтаксис
Параметры
Команда не содержит параметров.
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
switchport general macs-group
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данной командой назначается профиль MAC-адресов и сопоставляется VLAN-ID, в который будут попадать пакеты с MAC-адресом источника, являющегося частью профиля MAC-адресов. Информация о конфигурировании профилей находится в разделе 1.10.0 Управление профилями.
Использование отрицательной формы команды (no) удаляет сопоставление профиля MAC-адресов и VLAN-ID.
Синтаксис
Параметры
< NAME > – имя профиля MAC -адресов, задается строкой до 31 символа.
< VID > – идентификационный номер VLAN , задаётся в диапазоне [2..4094].
Необходимый уровень привилегий
Командный режим
Пример
switchport general pvid
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-1000/1200/1500/1700
Данной командой устанавливается идентификатор VLAN-порта (PVID) для входящего нетегированного трафика.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
Параметры
<VID> – идентификационный номер VLAN, задаётся в диапазоне [1…4094].
Значение по умолчанию
Необходимый уровень привилегий
Командный режим
Пример
switchport macs-group
В текущей версии ПО данная команда поддерживается только на маршрутизаторах ESR-10/12V/12VF/14VF/20/21/100/200
Данной командой назначается профиль MAC -адресов и сопоставляется VLAN-ID, в который будут попадать пакеты с MAC -адресом источника, являющегося частью профиля MAC-адресов . Информация о конфигурировании профилей находится в разделе 1.10.0 Управление профилями.
Использование отрицательной формы команды (no) удаляет сопоставление профиля MAC -адресов и VLAN-ID.
Синтаксис
Параметры
< NAME > – имя профиля MAC -адресов, задается строкой до 31 символа.
< VID > – идентификационный номер VLAN , задаётся в диапазоне [2..4094].
Администрирование #03. VLAN.
Сегодня мы поговорим про эту полезную вещь. Очень многие о ней слышали, но не все из них представляют, что это такое зачем оно нужно.
Основные термины:
Сетевая топология — способ описания конфигурации сети, схема расположения и соединения сетевых устройств.
Физическая топология — описывает реальное расположение и связи между узлами сети.
Логическая топология — описывает хождение сигнала в рамках физической топологии.
Общая идеология:
1) Локальную сеть, физически состоящую из нескольких железок (aka коммутаторов), но которая видится как сеть, в которой одна многопортовая железка.
2) И наоборот, на одной железке можно уместить несколько сетей так, что они не будут видеть друг-друга. Как будто мы попилили коммутатор на несколько маленьких свитчиков.
3) Комбинацию из 1 и 2:
То есть, мы можем создавать логическую топологию сети не зависимо от физической топологии.
Тут надо отступить чуть в сторону. Никто не запрещает вам создать несколько локальных сетей без всяких VLAN и компы из одной сети будут видеть друг-друга (см. картинку ниже)
Когда и зачем это нужно:
3) Когда вы сталкиваетесь с IP-телефонией и моделью подключения комп-телефон-свич (то есть, 2 устройства на одном порту и нужно разделать их трафик). Телефонию в принципе принято выносить в отдельный VLAN не зависимо от типа подключения телефонов. В общем случае, когда на порт приходит по некоторым признакам разный трафик, который не должен смешиваться. Например, интернет, телефония и некоторый прямой канал с дружественной фирмой от провайдера.
4) Когда вы хотите развести всех этих людей по подсетям. Бухи налево, юристы прямо, маркетологи направо. Может, им не стоит видеть друг друга в целях безопасности, кто знает?
Как всё происходит: на устройстве создается VLAN, в него добавляются порты, которые в этот VLAN входят. Порты бывают тегированные и нетегированные. Тег – это некоторая метка (число), которая идентифицирует принадлежность трафика к VLAN. Помечать трафик нужно, когда в одном проводе передается трафик нескольких VLAN’ов (см. картинку).
VLAN1 — зеленый, в него входят порты 1, 7, 12, 14, 16 на switch1 и порты 1, 3, 4, 7, 8, 9, 11, 15 на switch2.
VLAN2 — синий, в него входят порты 3, 4, 6, 8, 9, 11, 13, 15, 16 на switch1 и порты 2, 5, 8, 13, 14, 16 на switch2.
VLAN3 — красный, в него входят порты 2, 5, 10, 16 на switch1 и порты 6, 8, 10, 12 на switch2.
Можно было бы соединить свитчи тремя патч-кордами (пунктирные линии) по одному на каждый VLAN, но не всегда это возможно и здорово (например, когда ваши свитчи расположены на разных этажах или когда VLAN’ов много, а свободных портов мало).
Сейчас свитчи соединены патч-кордом, который воткнут в 16 порт на первом свитче и в 8 порт на втором. Чтобы по нему могли ходить пакеты всех трёх VLAN’ов и не перемешиваться, патч-корд должен быть воткнут в тегированные порты. Порты 16 на первом и 8 на втором свитче — тегированные, каждый из них принадлежит всем трём VLAN’ам (также говорят и наоборот – три VLAN есть в этих портах). На входе в эти порты метка ставится (если нету), но на выходе не снимается.
Порты, помеченные одним цветом — нетегированные, в них нет меток, так как метки внутри одной сети не нужны. То есть, метка на входе в порт снимается (если есть) и на выходе не ставится.
Обычные пользовательские компьютеры воткнуты в одноцветные порты и знать не знают про всю эту муть — всем управляет коммутатор (заботливо ставит метки, если трафик надо запихнуть в трехцветный провод и снимает метки, если надо отдать данные компу — чтоб бедняга не мучился). Linux умеет понимать VLAN’ы (при вашем желании), некоторые сетевухи с правильными дровами под виндой тоже. Но по умолчанию всё отдается коммутатору.
И вот у вас несколько VLAN’ов, все счастливы, но друг друга сети совсем не видят. А надо. Чтобы настроить между ними маршрутизацию, нужен (тссс!) маршрутизатор. Ну или хотя бы L3-switch.
По просьбам трудящихся подписчиков несколько команд:
VLAN на компе с Debian:
Можно настраивать с помощью vconfig или с помощью ip link.
Создать VLAN на интерфейсе eth0. Имя VLAN’a – eth0.80, оно по-хорошему должно быть именно в таком формате: интерфейс.тег, ну и тег тут 80, уже понятно:
# ip link add link eth0 name eth0.80 type vlan id 80
# ifconfig eth0.80 up
Добавить IP:
# ip a a 172.16.1.1/24 dev eth0.80
VLAN на D-Link:
Создать VLAN с названием 45 и тегом 45:
# create vlan 45 tag 45
Добавить нетегированные порты с 8 по 11:
# config vlan 45 add untagged 8-11
Добавить тегированный порт 14:
# config vlan 45 add tagged 14
Удалить 10 порт из VLAN:
# config vlan 45 delete 10
Посмотреть информацию о VLAN:
VLAN на Cisco
создать VLAN:
Добавить тегированные порты:
# config vlan2 add tagged 2,25
Изменить что-то с VLAN’ом:
добавить IP:
# ip address 10.1.2.1 255.255.255.0
Чтоб перевести порт в тегированный режим:
# switchport trunk encapsulation dot1q
# swichport mode trunk
Разрешить VLAN’ы 1 и 2:
# switchport trunk allowed vlan 1,2
Включение нетегированного VLAN’а:
# switchport trunk native vlan 1
Режим по умолчанию, в этом порту не может быть тегированных пакетов:
# switcport access vlan 1
Ну и напоследок: не стоит наслушавшись цискокурсов или начитавшись статей пилить свою сеть на VLAN’ы, если вы не понимаете, зачем вам это надо. Если у вас в широковещательном домене пару сотен устройств и все в одной сети, то не стоит заморачиваться (это моё личное мнение).
893 поста 14.8K подписчиков
Правила сообщества
# mount -o remount,rw /sysadmins_league
— # mount /dev/good_story /sysodmins_league
— # mount /dev/photo_it /sysodmins_league
— # mount /dev/best_practice /sysodmins_league
— # mount /dev/tutorial /sysodmins_league
Нетегированные порты в терминалогии cisco называются «access». Native VLAN — это номер VLAN который будет присваиваться любому нетегированному трафику, который проходит через транковый порт.
«Если у вас в широковещательном домене пару сотен устройств и все в одной сети, то не стоит заморачиваться» — Сетевой администратор из Вас не очень.
Зачем при работе с интерфейсом использовать одновременно и старый Net-tools и новый iproute2? В данном случае нужно заменить
-ться
Прям чума 21 века
добавлю
FreeBSD
ifconfig vlan900 create
ifconfig vlan900 vlan 900 vlandev igb0
на линупсе так же можно пользоваться командой vconfig
а для rpm дистрибутивов
создать файл /etc/sysconfig/network-scripts/ifcfg-<IFNAME>.vlan
Тегированные порты? Чему же вы учите начинающих админов =) Тегированные могут быть только VLANы(в контексте статьи), а уж в каких портах какие VLANы тегированные, а какой без тага(может быть только один нетегированный VLAN на порту, или ни одного) — это как настроишь. Также статье не хватает упоминания о том, что рядовые железки по умолчанию видят только нетегированный трафик, а тегированный отбрасывают. Также в редких случаях следует иметь в виду что некоторые неуправляемые коммутаторы пропускают через себя тегированный трафик, а некоторые — нет. Ну и немножко понудеть — управлять свичами можно с любого VLANа, надо только сконфигурировать. Не хватает про свичи HP/Aruba(у них CLI на мой взгляд поприятнее, да и качество железок далеко не Dlink, про который почему-то тут есть). Не хватает про QnQ — для полного взрыва мозга, для тех кто не знал про VLANы =)
switchport trunk encapsulation dot1q такое нужно только на L3 коммутаторах
«Также на коммутаторах cisco есть interface vlan1, который является интерфейсом управления – на него назначаете IP, чтобы заходить на свичи по сети» — менеджмент интерфейс можно настроить на любом vlan. На серии smallbussines (SF-300, SG-202 и т.д.) менеджмент влан тоже меняется. interface vlan vlan_tag позволяет настроить L3 интерфейс во влане для, например, роутинга между ними
Расскажите про Q-in-Q vlan, пожалуйста
Если у вас в широковещательном домене пару сотен устройств и все в одной сети, то VLAN необходимы как минимум для четкой структуризации и более простого документирования сети.
Искал как удалить порт из влана, нашел твою статью, а у тебя только длинк.
Крч no swichport access vlan №
зачем телефоны выводить в отдельный влан?
Вас на хабре забанили?
С праздником коллеги!
Напоминаю, что сегодня день сисадмина! Всем причастным радоваться. А то забывать стали, что есть такой праздник.
Помогите с выбором бесплатной HelpDesk платформы для лицея
Всем привет. Пишу пост в надежде помощи ребят из IT-тусовки. Короче, нужно в образовательное учреждение (лицей) для сотрудников (учителей) автоматизировать подачу заявок на обслуживание. Честно скажу, беготня с листом бумаги — устаревший вариант времён дедушкиных подштанников. Так как в лицее работает все в доменной сети, есть выделенный IP-адрес, у всех есть компы с Windows 10 Pro на борту и смартфоны с Whatsapp и Telegram, появилась идея так или иначе привести эту сферу работы в порядок. Насмотрелся на разные системы подачи заявок, облизался и загрустил, когда увидел, сколько они стоят. Мне нужно не много, чтобы доменный пользователь, после авторизации в учётке, перешёл на сервер лицея, там ему выплюнули форму, дескать, опиши что нужно сделать, а мне потом его писанина была доступна с возможностью изменений статуса и так далее.
да, это я сейчас про идеальный вариант, само собой, способов как оставить заявку существует с десяток точно, через мессенджеры, почту, письмом и т.д. можно было бы и просто остановиться на письмах или сообщениях в личку, но хочется видеть некую структуру, упорядоченная история решения, так как некоторые проблемы бывают типовыми, и порой хочется посмотреть, как проблема решалась когда-то.
Из того, что успел пощупать, больше всего понравилась Intraservice, но там ограничено количество пользователей, а в моем случае их будет около 50 человек.
Прошу подсказать именно бесплатное решение, так как, честно, руководству и так норм, как говорится, а тетрадка меня ну совсем не устраивает. С работниками лицея пообщался, вариант автоматизации поддерживают, ждут предложения, а я жду вашей помощи, наверное кто-то что-то подходящее уже использует.
Вопрос по инвентаризации офисной техники
Я эникей в IT фирме по разработке ПО.
Достаточно давно висит вопрос об учете техники в компании. Может ли кто-нибудь подказать, какие решение используются у вас в компании?
По основым проблемам, комплектующие внутри ПК достаточно часто меняются между машинами. Машин чуть больше 200, не считая серверный парк.
Пробовал написать свою базу 1С, но ввиду небольшого опыта, получились костыли и всегда есть шанс упусть то или иное действие с техникой.
Фальшивый itшник
Я обычный казахский парень и как обычный казахский парень, я работаю devopsом. Ну у нас в степи обычно как бывает, когда человеку даже овец пасти не доверяют, а таксовать машины нет, приходится работать в it. Долгое время я прятался от степных волков и казашек которым пора замуж, на проекте в налоговой, притворно изображая администратора. Со временем я научился делать это так умело, что даже матёрые админы замечать перестали. Этот театр одного актера продолжался долгие 15 лет. Но однажды принудительно возвращенный в офис с удаленки, с удивлением обнаружил что половина отдела приходят со своими рабочими проблемами и мне приходится их решать. Посидев в роли наставника пару дней, понял, пора валить. Начал искать работу, где я смогу притворяться за ту же сумму но не так много. Однажды на одном из собеседований, когда я рассказывал какие мохинаций с bash я применял, что бы ничего не делать, hr мне поставил диагноз "так ты этот. как его. DevOps". Ого! подумал я "такими мы ещё не притворялись" и смело указал в резюме что DevOps. И с тех пор уже три года я успешно притворяюсь DevOps ом в разных фирмах. Это совсем просто прохожу одно собеседование за другим и когда появлялись вопросы на которые я не мог ответить, я просто иду читать ответы. А устроившись просто делал то что читал. И вот сегодня я вышел на новую работу в очередной раз я обманул devops senior-а рассказав как расцветёт его система с применением практик инфраструктурного кода. Он даже принял за чистую монету что ci на jenkins я использую, не потому что не знаю как это делается в gitlab, а потому что убежден что нельзя класть яйца репозитория и пайплайна в один сервис. Спустя какое то время, когда я выслушивал ответную его тираду "что микросервисы надо использовать только в том случае когда не можешь спрогнозировать нагрузку на систему". И тут меня осенило я имею дело с гениальным актером который научился притворяться на уровне senior DevOps. Придурка который открыл статью "какие вопросы надо задавать девопсу на собеседовании" я бы распознал сразу.
И вот первый рабочий день, начали мы как у них в обычаях со стендапа. Потому как он прошел закрались первые смутные сомнения. Senior в задачи погрузится не дал. На вопрос под какие ОС писать плейбуки? мне не внятно промычал и что то куда-то принялся писать. Какой вид бэкапа писать в плейбуке для mysql? сказали покамест не нужно писать его вообще. Из чего я понял что тех задание на испытательный месяц писали для меня на шару.
Senior поругал отвлеченого на посторонние разговоры в офисе девопса. Мол у нас дескать стендап, а ты отвлечен фу фу фу. Как бы показывая зубки альфача. А когда бета девопс начал что то тоже конкретизировать из серий "будет ли в плейбуке докер" последовал ответ он сам должен это спрашивать. А когда я повторил вопрос он не ответил. Ну думаю хрен с тобой senior помидор, самое место такому на rotten tomato's"
Где то два или три часа меня донимал бухгалтер требуя подписать все на свете.
Затем hr-ом я был запущен в корпоративный Битрикс где должен был ознакомиться с видео материалами. В сумбурные речи лекторов я вслушиваться не стал, в нашей профессии быстро учишься определять инфоциган торгующих рожей на фоне скрина какого-нибудь софта. Да мудрено ли с моим стажем в почти двадцать лет верить в сказки из серий "построение горизонтальных связей между работниками ускорит процесс согласования" ага щаз, вы мне ещё про "собор и базар" расскажите. Полтора часа ребята с видео, переливали из пустого в порожнюю, тыкая пальцем в схему о которой любая секретутка выразилась бы "ой бывала я в структурах и по больше". После увиденного смутные сомнения начали терзать с новой силой".
Окончательно точка поставлена была только во время прохождения материалов по логировнию, так они "протоколирование выполненных работ" у себя на иностранный манер обозвали. Снова и снова читая пяти страничный текст, я просто диву давался, как можно было простую мысль "записывайте за собой все что делаете" тонким слоем смысла натянуть на пять страниц с рисунками. Я всякое видел но такое, такое ощущение что у автора стояла задача зашифровать а не обьяснить. И когда я увидел тест в конце текста, все наконец-то встало на свой места.
Раз за разом проваливая тест на двух вопросах из шести, я разбирал ситуацию "Так значит ребята вы наняли инженера, час которого стоит как рандеву с путаной. И вместо того что бы дать доступ к aws, вы его талмудом от аутистов об тесты херачите? Сразу повеяло душком каворкинга родной нацкомпаний, в ней начальство так усердно делало вид что работает, что местами даже само в это верило. И вот эта вера и рождала в чреслах менеджмента, такие вот документы и тесты. Ну там то гос бюджет все понятно. А тут что происходит? А тут тоже самое, разница только в том весь этот театр для инвесторов. Через годик до инвестора дойдет что "царь не настоящий". А прибыль не женский оргазм, такое не сыграть. Если даже и получится, то на суде и бездарно как у Эмбер Херд. И пойду я с вами на hh собеседование клянчить. Подумал я и написал hr-у который как ни странно был самым настоящим "бро сори, но я сваливаю"
Потому что я притворяюсь почти 20 лет, уж я то в курсе как ложь огорчает, не умелая ложь бесит. А самообман это глупость вызывающая недоумение.
Урок 17. Виртуальные локальные сети VLAN — описание, принцип работы и настройка
Иногда нам может потребоваться разделить локальную сеть на несколько отдельных сегментов. Например, в компании несколько отделов: Отдел кадров, Производство, Высшее руководство, Технический отдел. Каждый отдел может иметь серверы, доступ к которым нужно ограничить сотрудникам из других отделов.
С одной стороны теоретически это легко реализовать. Ведь можно создать отдельную сетевую инфраструктуру для каждой сети.
Но с другой стороны проблема в том, что довольно сложно планировать такую сеть. Кроме того, может потребоваться изменить и саму конфигурацию сети.
Поэтому гораздо проще создать общую физическую сеть с последующим логическим сегментированием определенных частей сети.
Данный подход позволяет гораздо гибче планировать и управлять сетью, а также повышает безопасность сети.
Сегментированные сети и называются виртуальными локальными сетями (VLAN- Virtual LAN)
Как можно разделить одну физическую сеть на несколько виртуальных?
Это достигается с помощью коммутаторов. Коммутаторы поддерживают технологии IEEE 802.1Q и ISL. ISL — собственный протокол Cisco. Современные коммутаторы его уже не поддерживают, поэтому не будет далее рассматриваться.
Суть технологии заключается в том, что в Ethernet кадр вставляется специальная 4-х байтовая метка. Метка содержит 12-битный идентификатор VLAN, максимальное значение которого 4096. То есть всего может быть 4096 VLAN
Настройка VLAN
Для начала настроим сеть с одним коммутатором:
По умолчанию все порты коммутатора принадлежат VLAN 1, поэтому все компьютеры будут “видеть” друг друга. В этом легко убедиться, запустив утилиту Ping на всех хостах.
Создадим VLAN 23
Затем аналогично создадим и остальные VLAN.
Теперь назначим порты 0/1, 0/2, 0/3, 0/4, 0/5 в VLAN 23:
switch(config-if)# switchport mode access
Обрати внимание, что после ввода команды interface fastethernet 0/1 приглашение командной строки изменилось на switch(config-if)#. Это говорит о том, мы находимся в режиме настройки интерфейса.
Если портов слишком много, то будет довольно утомительно вводить одни и те же команды, поэтому гораздо удобнее выделить диапазон портов. Для этого выполни команду
| switch(config) interface range fastethernet 0/1-5 |
Все остальные порты назначим по той же схеме.
Теперь попробуй выполнить команду Ping на каждом компьютере. Компьютеры из другой VLAN уже не доступны.
Помни, что все введенные команды и конфигурация хранятся в оперативной памяти, поэтому при отключении питания все настройки будут удалены.
Как сохранить настройки?
Все настройки записываются в энергонезависимую память NVRAM. Для этого выполни
| switch# copy running-config startup-config |
При включении питания конфигурация из NVRAM записывается в оперативную память.Чтобы проверить произведенные настройки в оперативной памяти выполним команду
| switch# show running-config |
Для просмотра настроек, сохраненных в NVRAM выполни
| switch# show startup-config |
Просмотр сведений о VLAN
Для просмотра информации о VLAN выполни команду
| switch# show vlan |
Кстати, конфигурация VLAN сохраняется в отдельном файле, не в NVRAM. Файл с конфигурацией о VLAN хранится во Flash памяти коммутатора. Поэтому командой show running-config мы не увидим никакую информацию о VLAN.
Чтобы уивдеть файл, содержащий данные о VLAN выполни команду
| switch# dir flash: |
и ты увидишь файл vlan.dat
Типы портов
Теперь подключим к нашему коммутатору еще один коммутатор и выполним те же настройки
Однако компьютеры разных коммутаторов одного VLAN почему-то недоступны друг другу, хотя в рамках одного коммутатора все “видят” друг друга.
Все верно. Дело в том, что в технологии VLAN существуют 2 таких понятия, как порт доступа (access port) и магистральный порт (trunk port), а также связанные с ними нетегированный (untagged) и тегированный (tagged) кадры соответственно.
Все конечные устройства, такие как компьютер подключаются к портам доступа. Компьютеры вообще не знают, что принадлежат определенной VLAN, но это знает только коммутатор. Поэтому между коммутатором и компьютерами проходят нетегированные кадры, то есть кадры без метки-идентификатора VLAN.
Вспомни команду swith(config-if)# switchport mode access. Мы явно указываем коммутатору, что порт будет работать в режиме доступа.
Однако, если мы соединяем друг с другом коммутаторы, на которых настроен VLAN, то порты, их соединяющие, настраиваются как магистральные.
Во все исходящие кадры коммутатор вставляет соответствующую метку-идентификатор VLAN. Такие кадры называются тегированные.
Режимы работы trunk
Для автоматической настройки магистрального порта коммутаторы Cisco поддерживают специальный протокол DTP (Dynamic Trunk Protocol), который периодически посылает кадры соседним портам. Все коммутаторы поддерживают 4 режима работы магистрального порта
Auto — DTP-кадры не рассылает. Приняв DTP-кадр сразу переходит в магистральный режим.
Desirable — рассылает DTP-кадры. Если на другом конце готовы перейти в магистральный режим, то сразу оба порта переходят в данный режим.
Trunk — статический магистральный режим. DTP-кадры не рассылает.
Nonegotiate — готов перейти в магистральный режим только, если на другом конце установлен магистральный режим. DTP-кадры не рассылает.
В таблице указано в какое состояние перейдут порты автоматически в зависимости от установленных на них режимах:
| Режимы противоположных портов | Auto | Desirable | Nonegotiate | Trunk |
| Auto | Access | Trunk | Access | Trunk |
| Desirable | Trunk | Trunk | Access | Trunk |
| Nonegotiate | Access | Access | Access | Trunk |
| Trunk | Trunk | Trunk | Trunk | Trunk |
Настройка портов trunk
Статический trunk:
| switch(config-if)# switchport mode trunk |
В старых моделях коммутаторов может потребоваться настроить инкапсуляцию
| switch(config-if)# switchport encapsulation dot1q |
Затем снова включить статический режим trunk
| switch(config-if)# switchport mode trunk |
Динамический trunk:
| switch(config-if)# switchport mode dynamic auto |
| switch(config-if)# switchport mode dynamic desirable |
| switch(config-if)# switchport mode nonegotiate |
Для проверки текущего режима выполни
| switch# show dtp status |
Теперь можно настроить порты коммутаторов в магистральный режим.
Как только магистральные порты будут настроены необходимо разрешить/запретить передачу определенных VLAN через данный порт. По умолчанию разрешены все VLAN. Чтобы разрешить, например, VLAN 23 и 50
| switch(config-if)# switchport trunk allowed vlan 23, 50 |
Чтобы добавить VLAN 100 выполни
| switch(config-if)# switchport trunk allowed vlan add 100 |
Для удаления VLAN 23 выполни
| switch(config-if)# switchport trunk allowed vlan remove 23 |
Добавь все VLAN к магистральному порту и затем проверь доступны ли все компьютеры с одного и того же VLAN.
А если нам понадобится управлять коммутаторами мы должны выделить определенный VLAN?
Да, для этой цели в стандарте 802.1Q предусматривается так называемый нативный VLAN или Native VLAN. Все кадры в Native VLAN нетегированные. По умолчанию VLAN 1 является нативный и используется в качестве выделенного канала управления.
Но можно его поменять, к примеру, на VLAN 6.
Для этого на магистральном порту выполни команду
| swith(config-if)# switchport trunk native vlan 6 |
Просмотр сведений о trunk
Для просмотра информации о настройках и режимах интерфейсов будут полезны следующие команды:
| switch# show interface trunk |
| switch# show interface switchport |
Настройка маршрутизации
Как сделать так, чтобы компьютеры, принадлежащие разным VLAN, могли обмениваться друг с другом информацией?
Для этого нам понадобится маршрутизатор или коммутатор L3 с функцией маршрутизации. Маршрутизатор можно подключить к любому коммутатору.
Для этого порт коммутатора, подключенный к маршрутизатору, переключи в магистральный режим.
Для этого придется задействовать по одному порту в маршрутизаторе на каждый VLAN. Это довольно затратно, поэтому воспользуемся одним физическим интерфейсом, который разобьем на логические подинтерфейсы (subinterface).
Для начала административно включим сам интерфейс, так как по умолчанию все интерфейсы на маршрутизаторах выключены
Теперь настроим подынтерфейс 23 для VLAN 23:
Router(config-subif)# encapsulation dot1q 4
То же самое проделай и с остальными подынтерфейсами.
После того, как все будет настроено, проверь доступность всех компьютеров.
01. VLAN
VLAN (Virtual Local Area Network) — это технология, позволяющая объединять устройства в сети в сегменты на основе функций, приложений или требований управления. Виртуальные сегменты могут формироваться в независимости от физического расположения устройств. VLAN имеют те же свойства, что и физические LAN, за исключением того, что VLAN представляет собой логическое объединение, а не физическое. Поэтому во VLAN можно объединять устройства, независимо от того, где они находятся физически, а широковещательный, многоадресный и одноадресный трафик в одном VLAN отделен от других VLAN.
Стандарт IEEE 802.1Q определяет процедуру передачи трафика VLAN.
Основная идея технологии VLAN заключается в том, что большая локальная сеть может быть динамически разделена на отдельные широковещательные области, удовлетворяющие различным требованиям, каждый VLAN представляет собой отдельный широковещательный домен.
Рисунок 19.1 — логическое разделение сети на VLAN
Благодаря этим функциям технология VLAN предоставляет следующие возможности:
— Повышение производительности сети;
— Сохранение сетевых ресурсов;
— Оптимизация сетевого управления;
— Снижение стоимости сети;
— Повышение безопасности сети;
Ethernet-порт коммутатора может работать в трех режимах: Access, Trunk и Hybrid, каждый режим имеет различный метод обработки при передаче кадров с тэгом или без.
Порт в режиме Access относится только к одному VLAN, обычно используется для подключения конечных устройств, таких как персональный компьютер или WI-FI маршрутизатор в квартире или офисе.
Порт в режиме Trunk относится к нескольким VLAN и может принимать и отправлять кадры одновременно в нескольких VLAN. Обычно используется для соединения коммутаторов.
Порт в режиме Hybrid, также как и Trunk, относится к нескольким VLAN и может принимать и отправлять кадры одновременно в нескольких VLAN. Может использоваться как для подключения персональных компьютеров, так и для соединения коммутаторов.
Ethernet-порты в режимах Hybrid и Trunk могут принимать данные одним, но отправляют разными способами: Hybrid порт может отправлять пакеты в нескольких VLAN в нетэгированном виде, в то время как Trunk может отправлять трафик в нескольких VLAN только с тэгом, за исключением nativeVLAN.
1.2. Конфигурация VLAN
- Создание и удаление VLAN
- Назначение и удаление имени VLAN
- Назначение портов коммутатора для VLAN
- Выбор типа порта коммутатора
- Настройка порта в режиме Trunk
- Настройка порта в режиме Access
- Настройка порта в режиме Hybrid
- Включение/выключение vlan ingress rules глобально
- Настройка private vlan
- Настройка ассоциаций private vlan
1. Создание и удаление VLAN
Команда
Описание
! В режиме глобальной конфигурации
Cоздание VLAN, вход в режим конфигурирования VLAN
2. Назначение и удаление имени VLAN
Команда
Описание
no name <Vlan-name>
! В режиме конфигурации VLAN
Назначение имени VLAN
Удаление имени VLAN
3. Назначение портов коммутатора для VLAN
Команда
Описание
switchport interface <interface-list>
no switchport interface <interface-list>
! В режиме конфигурации VLAN
Добавление портов коммутатора во VLAN
Удаление портов коммутатора из VLAN
4. Выбор типа порта коммутатора
Команда
Описание
switchport mode <trunk|access|hybrid>
! В режиме конфигурации порта
Установка текущего порта в режим Trunk, Access или Hybrid
5. Настройка порта в режиме Trunk
Команда
Описание
switchport trunk allowed vlan
no switchport trunk allowed vlan
! В режиме конфигурации порта
Добавление VLAN в Trunk
Вернуть значение по-умолчанию
switchport trunk native vlan <vlan-id>
no switchport trunk native vlan
! В режиме конфигурации порта
установка PVID для интерфейса
возвращение значений по-умолчанию
6. Настройка порта в режиме Access
Команда
Описание
switchport access vlan <Vlan-id>
no switchport access vlan <Vlan-id>
! В режиме конфигурации порта
Добавление текущего порта в определенный VLAN.
Вернуть значение по-умолчанию
7. Настройка порта в режиме Hybrid
Команда
Описание
switchport hybrid allowed vlan <WORD| all| add WORD><tag|untag>
no switchport hybrid allowed vlan
! В режиме конфигурации порта
Создание/удаление VLAN, вход в режим конфигурирования VLAN
switchport hybrid native vlan <vlan-id>
no switchport hybrid native vlan
! В режиме конфигурации порта
установка PVID для интерфейса
возвращение значений по-умолчанию
8. Включение/выключение vlan ingress rules глобально
Команда
Описание
vlan ingress enable <Vlan-id>
no ingress disable <Vlan-id>
! В режиме конфигурации порта
Включение VLAN ingress rules
выключение VLAN ingress rules
9. Настройка private vlan
Команда
Описание
no private vlan
! В режиме конфигурации VLAN
Настройка текущего vlan в качестве Private VLAN.
Возвращение настроек по-умолчанию
10. Настройка ассоциаций private vlan
Команда
Описание
private vlan association <secondary-vlan-list>
no private vlan association <Vlan-id>
! В режиме конфигурации VLAN
Выбрать vlan для ассоциации с private vlan
1.3. Пример конфигурации VLAN
Сценарий:
Рисунок 19.2 — Топология для примера настройки VLAN
Представленная на рисунке 19.2, сеть разделена на 3 VLAN: VLAN2, VLAN100, VLAN200 по используемым приложениям, а также по соображениям безопасности. Эти VLAN расположены в разных локациях: A и B. Каждый из двух коммутаторов размещен в своей локации. Устройства в разных локациях могут быть объединены виртуальную локальную сеть, если трафик будет передаваться между коммутаторами A и B.
пункт конфигурации
описание
Коммутатор A и B: порт 2-4
Коммутатор A и B: порт 5-7
Коммутатор A и B: порт 8-10
Коммутатор A и B: порт 11
Соедините порты в режиме trunk на коммутаторах A и B друг с другом, подключите остальные сетевые устройства к соответствующим портам.
Коммутатор A:
Коммутатор B:
1.3.1. Пример конфигурации Hybrid порта
Сценарий:
Рисунок 19.3 — Пример применения Hybrid Port
ПК 1 подключен к интерфейсу Ethernet 1/0/7 Коммутатора “Switch B”, ПК2 подключен к интерфейсу Ethernet 1/0/9 коммутатора “Switch B”, интерфейс Ethernet 1/0/10 “Switch A” подключен к порту Ethernet 1/0/10 коммутатора “Switch B”
Для безопасности ПК1 и ПК2 не должны иметь возможность взаимодействовать друг с другом, но должны иметь доступ к сетевым ресурсам, находящимся за “Switch A”.