1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд
Скачать 3.9 Mb.
|
15. Настройка VLAN коммутаторов уровня доступа SwL2 VLAN на всех уровнях создаются одинаково Switch>en Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 10 Switch(config-vlan)#ex Switch(config)#vlan 20 Switch(config-vlan)#ex Switch(config)#vlan 30 Switch(config-vlan)#ex Switch(config)#ex Switch# Но на свичах 2го уровня можно создавать вланы, добавлять в них порты (access), делать порты транковыми. Добавление порта в влан: Switch(config)#int fa0/1 Switch(config-if)#sw mode acc (полностью – switchport mode access) Switch(config-if)#sw acc vlan 10 (полностью – switchport access vlan 10) Switch(config-if)#ex Switch(config)#ex После этого на порт FastEthernet0/1 пойдет только трафик 10го влана. Транки – ниже. На свитчах 3го уровня можно еще прописывать айпишники вланам и настраивать между ними маршрутизацию. 2й уровень может только пропускать или не пропускать тегированный трафик. 16. Конфигурирование транков. Статический транк: Switch(config)#int fa0/1 Switch(config-if)#sw mode trunk (полностью – switchport mode trunk) Switch(config-if)#sw trunk enc dot1q (полностью – switchport trunk encapsulation dot1q – настройка инкапсуляции по стандарту 802.1Q) Switch(config-if)#ex Switch(config)#ex Можно настроить транк, пропускающий только некоторые вланы Switch(config-if)#sw trunk allowed vlan 1,10,20 25 17-18. Настройка VLAN коммутаторов уровня распределения SwL3+Настройка маршрутизации между VLAN в сети с коммутатором swL3. Конфигурация sw1: vlan 2 ex vlan 10 ex vlan 15 ex interface FastEthernet0/1 switchport mode access switchport access vlan 2 ex interface FastEthernet0/2 switchport mode access switchport access vlan 2 ex interface FastEthernet0/3 switchport mode access switchport access vlan 15 ex interface FastEthernet0/4 switchport mode access switchport access vlan 10 ex interface FastEthernet0/5 switchport mode access switchport access vlan 10 ex interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10,15 ex Конфигурация sw2: vlan 2 ex vlan 15 ex interface FastEthernet0/1 switchport mode access switchport access vlan 10 ex interface FastEthernet0/2 switchport mode access switchport access vlan 2 ex interface FastEthernet0/3 switchport mode access switchport access vlan 2 ex interface FastEthernet0/22 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1,2,10 ex Конфигурация sw3: ip routing vlan 2 ex vlan 10 ex vlan 15 ex interface FastEthernet0/1 switchport mode trunk switchport trunk allowed vlan 1,2,10,15 ex interface FastEthernet0/2 switchport mode trunk switchport trunk allowed vlan 1,2,10 ex ex interface FastEthernet0/10 no switchport ip address 192.168.1.2 255.255.255.0 ex ex interface Vlan2 ip address 10.0.2.1 255.255.255.0 ex interface Vlan10 ip address 10.0.10.1 255.255.255.0 ex interface Vlan15 ip address 10.0.15.1 255.255.255.0 ex ex ip route 0.0.0.0 0.0.0.0 192.168.1.1 ex 26 19. Настройка маршрутизации между VLAN в сети с роутером Конфигурация sw1: vlan 2 ex vlan 10 ex vlan 15 ex interface FastEthernet0/1 switchport mode access switchport access vlan 2 ex interface FastEthernet0/2 switchport mode access switchport access vlan 2 ex interface FastEthernet0/3 switchport mode access switchport access vlan 15 ex interface FastEthernet0/4 switchport mode access switchport access vlan 10 ex interface FastEthernet0/5 switchport mode access switchport access vlan 10 ex interface FastEthernet0/20 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 2,10,15 ex Конфигурация R1: interface fa0/0.2 encapsulation dot1q 2 ip address 10.0.2.1 255.255.255.0 ex interface fa0/0.10 encapsulation dot1q 10 ip address 10.0.10.1 255.255.255.0 ex interface fa0/0.15 encapsulation dot1q 15 ip address 10.0.15.1 255.255.255.0 ex 27 20. Динамическое создание транков, протокол DTP Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию. Режимы DTP на интерфейсе: auto — Порт находится в автоматическом режиме и будет переведѐн в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме "auto", то trunk применяться не будет. desirable — Порт находится в режиме "готов перейти в состояние trunk"; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto). nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим "не-cisco" оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk'а. Перевести интерфейс в режим auto: sw1(config-if)# switchport mode dynamic auto Перевести интерфейс в режим desirable: sw1(config-if)# switchport mode dynamic desirable Перевести интерфейс в режим nonegotiate: sw1(config-if)# switchport nonegotiate Проверить текущий режим DTP: sw# show dtp interface 21. Режимы работы протокола VTP VLAN Trunking Protocol (VTP) — проприетарный протокол компании Cisco Systems, предназначенный для создания, удаления и переименования VLANов на сетевых устройствах. Передавать информацию о том, какой порт находится в каком VLANе, он не может. Аналогичный свободный протокол: GVRP Режимы работы протокола На коммутаторе VTP может работать в трёх режимах: 1. Server (режим по умолчанию): Можно создавать, изменять и удалять VLAN из командной строки коммутатора, Генерирует объявления VTP и передает объявления от других коммутаторов, Может обновлять свою базу данных VLAN при получении информации не только от других VTP серверов, но и от других VTP клиентов в одном домене, с более высоким номером ревизии. Сохраняет информацию о настройках VLAN в файле vlan.dat во flash. 2. Client: Нельзя создавать, изменять и удалять VLAN из командной строки коммутатора, Передает объявления от других коммутаторов, Синхронизирует свою базу данных VLAN при получении информации VTP, Сохраняет информацию о настройках VLAN в файле vlan.dat во flash. 3. Transparent: Можно создавать, изменять и удалять VLAN из командной строки коммутатора, но только для локального коммутатора, Не генерирует объявления VTP, Передает объявления от других коммутаторов, Не обновляет свою базу данных VLAN при получении информации по VTP, Сохраняет информацию о настройках VLAN в NVRAM, Всегда использует configuration revision number 0. В версии 3 VTP добавился новый режим работы и изменились некоторые режимы работы, по сравнению с предыдущими версиями: Server: Добавилась поддержка Private VLAN Могут анонсироваться VLAN из расширенного диапазона Client: Настройки VLAN сохраняются в NVRAM и в режиме клиента Добавилась поддержка Private VLAN Могут анонсироваться VLAN из расширенного диапазона Transparent без изменений Off: Новый режим работы VTP, который добавился в 3 версии. Не передает объявления VTP. В остальном аналогичен режиму Transparent 28 22. Отсечение по протоколу VTP (pruning) Стандартно настроенные cisco коммутаторы передают широковещательные сообщения (и одноадресные сообщения с неизвестным адресом получателя) по принципу лавинной рассылки во все активные VLAN-сети, через все магистрали, при условии, что в текущей топологии STP магистраль остается не заблокированной. Но в большинстве территориальных сетей многочисленные VLAN-сети определены лишь на нескольких (не на всех) коммутаторах. Поэтому решение по перенаправлению широковещательных сообщений через все магистрали является слишком расточительным. Коммутаторы поддерживают два метода: один из этих методов требует настройки вручную конфигурации списка допустимых VLAN-сетей для каждой магистрали, а второй метод, называемый отсечением по протоколу VTP, позволяет динамически определять с помощью протокола VTP cisco, для каких коммутаторов не требуются фреймы, поступающие из определенных сетей, после чего средствами протокола VTP происходит исключение соответствующих VLAN-сетей из магистралей, к которым они относятся. Под отсечением VLAN-сети в vtp domain, просто подразумевается, что через соответствующие магистральные интерфейсы коммутатора не происходит лавинная рассылка фреймов в исключенную VLAN-сеть. На рисунке ниже, показаны магистрали, от которых была автоматически отсечена сеть VLAN 10. Как показано на рисунке, коммутаторы 1 и 4 имеют порты в сети VLAN 10. но в связи с тем, что во всей сети разрешено отсечение по протоколу VTP, коммутаторы 2 и 4 автоматически определяют с помощью протокола VTP, что ни у одного из коммутаторов в нижней левой части рисунка нет портов в сети VLAN 10. В результате коммутаторы 2 и 4 отсекают сеть VLAN 10 от магистрали. Это приводит к тому, что коммутаторы 2 и 4 не передают фреймы для сети VLAN 10 через данные магистрали. Отсечение по протоколу VTP в пределах vtp domain, способствует увеличению доступной пропускной способности за счет сокращения трафика, передаваемого по принципу лавинной рассылки. 23. Размещение и настройка компонентов службы DHCP в сети здания/сайта. DHCP - это протокол TCP/IP, автоматизирующий присвоение IP-адресов. Для использования протокола TCP/IP в сети администратор должен задать для каждого из компьютеров три параметра - IP- адрес, маску подсети и адрес используемого по умолчанию шлюза. При этом каждый компьютер должен иметь уникальный IP-адрес. Присвоенный адрес должен находиться в диапазоне подсети, к которой подключено устройство. DHCP "знает", из какой подсети приходит запрос на получение IP-адреса. Если в сети используются Windows Internet Naming Service (WINS) и Domain Name Service (DNS), то на каждом из клиентских компьютеров администратору необходимо также указать IP-адреса WINS и DNS-серверов. Администратор может сконфигурировать каждую из систем вручную или попросить сделать это пользователей, предоставив им необходимые данные. Однако последний подход рискован. Самый простой и безопасный способ - сконфигурировать один или несколько DHCP-серверов так, чтобы они автоматически присваивали IP-адреса каждому компьютеру в сети. Для этого нужно сконфигурировать сервер, ввести диапазоны адресов, настроить несколько дополнительных параметров и периодически осуществлять мониторинг. Как и другие сервисы NT, DHCP работает в фоновом режиме. DHCP надо устанавливать на сервер, но администрировать можно и с рабочей станции. Серверы DHCP должны иметь фиксированные (статические) IP-адреса, потому что они не могут присваивать адреса сами себе. На роль DHCP-сервера хорошо подойдет запасной контроллер доменов (Backup Domain Controller). Главный компонент настройки DHCP - диапазон IP-адресов (scope). Каждой подсети соответствует один диапазон. Допустим, вам доступны адреса с 10.0.0.2 по 10.0.0.100. Однако компоненты вашей сети (принтеры, маршрутизаторы, DHCP-сервер) разбросаны внутри этого диапазона; к примеру, адрес принтера - 10.0.0.57. Указывать в качестве одного из диапазонов 10.0.02-10.0.0.56, а в качестве второго - 10.0.0.58-10.0.0.100 не нужно. Вместо этого DHCP позволяет указать IP-адреса или диапазоны адресов, которые DHCP-сервер присваивать не должен. DHCP присваивает IP-адреса на определенный срок. По истечении половины этого срока клиент отправляет DHCP-серверу прямое сообщение с запросом о возобновлении аренды. Если сервер доступен, он ее продлевает. В противном случае клиент снова посылает запрос по истечении половины остатка интервала, и так далее. Наконец, клиент отправляет широковещательный запрос ко всем DHCP-серверам. 29 24. Настройка агента ретрансляции DHCP Relay Agent. Протокол DHCP является широковещательным и по умолчанию его пакеты не пересылаются маршрутизаторами из одной сети в другую (маршрутизатор разбивает на части широковещательный домен). Однако это не означает, что в каждой подсети должен находиться отдельный DHCP сервер. Выходом из подобной ситуации является размещение в сети агента-ретранслятора DHCP (relay agent). Relay agent представляет собой некое промежуточное устройство, которое может пересылать широковещательные DHCP-запросы между клиентом и сервером DHCP, находящихся в различных широковещательных доменах. Т.е. DHCP relay agent получает от клиента (в этом же сегменте сети) широковещательный пакет на поиск и получение DHCP-адреса и пересылает этот запрос определенному DHCP серверу (указывается в настройках ретранслятора). Далее ответы от DHCP-сервера будут направлены ретранслятору, который передаст их конечному хосту. Технология DHCP Relay Agent определена в стандарте RFC 1542 («Clarifications and Extensions for the Bootstrap Protocol»). В качестве DHCP Relay Agent обычно используют маршрутизаторы (большинство современных маршрутизаторов совместимы с RFC 1542 и могут работать в качестве Relay агента). В том случае, если настроить Relay на маршрутизаторе по каким- либо причинам невозможно, в качестве Relay агента можно настроить компьютер с серверной ОС Windows. DCHP Relay Agent является одной из функций службы Routing and Remote Access (RRAS). Поэтому предварительно необходимо установите роль RRAS (с дефолтными настройками), после чего запустить MMC оснастку Routing and Remote Access. В оснастке RRAS разверните ветку IPv4, щелкните правой кнопкой мыши по элементу General и в контекстном меню выберите пункт New Routing Protocol, выберите DHCP Relay Agent и нажмите ОК. Щѐлкните ПКМ по элементу DHCP Relay Agent и выберите пункт New Interface, укажите сетевой интерфейс, на котором будет слушать Relay –агент. Затем откройте окно свойств DHCP Relay Agent и укажите ip адрес DHCP сервера, на который нужно перенаправлять все DHCP запросы от клиентов. а маршрутизаторе R3 расположен DHCP-сервер, который централизованно выдает адреса в сети LAN_1 и LAN_2. Маршрутизаторы R1 и R2 в данной схеме являются DHCP-Relay агентами 30 Сконфигурируем на R3 два пула адресов для каждой локальной сети: !в режиме глобальной конфигурации определим адреса, которые будут исключены из пула (это адреса интерфейсов R1 и R2 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 !создадим пул адресов с именем LAN_1 ip dhcp pool LAN1 network 192.168.1.0 255.255.255.0 ip default-router 192.168.1.1 !создадим пул адресов с именем LAN_2 ip dhcp pool LAN2 network 192.168.2.0 255.255.255.0 ip default-router 192.168.2.1 Следующий этап — конфигурация агентов DHCP-Relay на маршрутизаторах R1 и R2. Суть DHCP- Relay заключается в пересылке широковещательного пакета от клиента одноадресатным пакетом DHCP-серверу. Конфигурация агентов выполняется следующей командой: !выбираем интерфейс, на который будет приходить широковещательный запрос от клиентов, в данном случае это интерфейс f0/0 маршрутизатора, который подключен к сегменту сети interface fa0/0 ip helper-address 10.1.1.2 аналогично конфигурируется маршрутизатор R2 interface fa0/0 ip helper-address 10.1.2.2 Нужно отметить, что команда ip helper-address x.x.x.x заставляет пересылать широковещательные UDP сообщения не только протокола DHCP, по умолчанию будут пересылаться также следующие запросы: Time (udp 37) TACACS (udp 49) DNS (udp 53) TFTP (udp 69) NetBIOS name service (udp 137) NetBIOS datagram service (udp 138) Если мы хотим исправить ситуацию, в режиме глобальной конфигурации определяем, какие запросы пересылать, а какие — нет: no ip forward-protocol udp 37 no ip forward-protocol udp 53 31 25. Настройка передаваемых параметров scope/pool-области DHCP-сервера. Область видимости (scope) DHCP является диапазоном адресов, которые могут назначаться клиентам. Кроме того, область видимости позволяет получать информацию о серверах DNS, WINS и других компонентах сети. Настройка передаваемых параметров: 003 – IP-адрес роутера 006 – DNS сервер 015 – DNS domain name 044 – WINS server 046 – NETBIOS server Настройка DHCP-пула на маршрутизаторе (аналогичным образом настраиваются пулы для каждой подсети) и указание шлюза по умолчанию для клиентов: Router(config)# service dhcp Router(config)# ip dhcp pool guest Router(config-pool)# network 192.168.20.0 255.255.255.0 Router(config-pool)# default-router 192.168.20.1 Как дополнительные параметры в пуле можно описать: Имя домена для DHCP-клиента - domain-name DNS-сервер - dns-server Сервер WINS для сетей microsoft - netbios-name-server Router(config-pool)# domain-name test.kv.ua Router(config-pool)# dns-server 192.168.20.101 Router(config-pool)# netbios-name-server 192.168.20.101 Исключение IP-адресов Исключить из пула адрес интерфейса маршрутизатора и DNS-сервера: Router(config)# ip dhcp excluded-address 192.168.20.1 Router(config)# ip dhcp excluded-address 192.168.20.101 |